- L’authentification forte au service du télétravail
- « Les attaques par force brute et ingénierie sociale rendent obsolètes les simples mots de passe »
- Trois Avis d'experts - Olivier Morel, directeur général d’Ilex International - Jean-François d’Argenlieu, Vice-Président Business Development chez inWebo & Hadib Changriha, ingénieur avant-vente chez CyberRes / Micro Focus
L’avis des experts en cybersécurité est unanime, le traditionnel login/mot de passe doit disparaître. Peu sûr et relativement facile à pirater, celui-ci doit faire place à l’authentification forte. Encore faut-il trouver le juste équilibre entre sécurité et expérience utilisateur.
Les accès distants et en particulier le déploiement d’accès VPN à grande échelle ont permis aux entreprises d’assurer une continuité de services lors des différentes phases de confinement de la population. Si le chiffrement est un moyen de se protéger des écoutes et d’attaques de type “Man in the Middle”, le maillon faible de ces infrastructures a été l’authentification. De nombreux RSSI ont tiré la sonnette d’alarme sur les dangers d’une authentification de ces utilisateurs distants par de simples mots de passe. Jean-François d’Argenlieu, Vice-Président Business Development chez inWebo, spécialiste français de l’authentification forte souligne : « Ceux-ci nous ont sollicités afin de sécuriser leurs accès VPN et cela a représenté pour nous un surcroît d’activité tout à fait significatif avec une activité au premier trimestre équivalente à l’ensemble de l’année précédente. » Les banques, assureurs mais aussi acteurs de la santé ont tiré l’activité d’un acteur qui propose une solution d’authentification 100 % logicielle en mode SaaS, certifiée par l’ANSSI, une approche particulièrement bien adaptée à un déploiement rapide sur les infrastructures des entreprises, mais aussi immédiatement opérationnelle auprès d’utilisateurs qui ne pouvaient pas retourner à leur bureau pour procéder à des installations sur leur poste et bénéficier d’une formation.
Une sécurité renforcée
Après l’ouverture des VPN, les entreprises ont revu à la hausse la sécurité de leurs accès distants, un mouvement qui a aussi été observé par Yubico, le fabricant de clés d’authentification physiques : « Le login/password a été une solution d’urgence adoptée afin d’assurer la continuité d’activité » explique Dorian Delorme, ingénieur sécurité avant-vente chez Yubico, « mais les RSSI se sont rapidement tournés vers nous afin de muscler la partie authentification de leurs VPN, chercher le meilleur équilibre entre la sécurité et l’expérience utilisateur. » Alors que, généralement, ce sont des utilisateurs à hauts privilèges qui disposent de clés physiques, le fabricant a vu de nouvelles populations équipées par leurs entreprises mais dans un contexte où les salariés étaient confinés à leur domicile, les solutions d’authentification physiques semblaient désavantagées. L’expert souligne un point technique crucial pour l’enrôlement de ces populations : « Nous embarquons les derniers protocoles que sont FIDO 2 et FIDO U2F, des protocoles qui sont à la fois passwordless, mais qui rendent aussi possible un déploiement en self-service : L’utilisateur peut s’enrôler de lui-même, simplement en branchant la clé sur son poste, sans configuration préalable par un administrateur. Les clés sont envoyées directement aux utilisateurs sous blister, ce qui facilite énormément la logistique. » Outre l’accès à distance, l’autre grand cas d’usage de ces clés d’authentification porte sur l’ouverture de session sans saisie de mot de passe. Ainsi, la clé vient sécuriser cet instant critique pour l’utilisateur qui va lui donner accès à toutes ses applications sans devoir saisir le moindre mot de passe.
L’ouverture des plateformes IAM, une clé du succès
L’autre brique clé de cette sécurisation des accès distants, ce sont les plateformes IAM sur lesquelles viennent se greffer ces moyens d’authentification forte. Spécialiste de ce type de solution, Ilex International a vu les projets de ses clients changer de dimension lors de la crise sanitaire : « Du jour au lendemain, les entreprises ont dû augmenter leurs moyens d’accès distants et passer, comme à la Société Générale de quelques milliers d’accès distants à plusieurs dizaines de milliers » explique Olivier Morel, directeur général d’Ilex International qui ajoute : « Il y a eu une montée en puissance des infrastructures pour encaisser la charge générée par un plus grand nombre d’utilisateurs, mais il s’agissait aussi de ne pas ouvrir la boîte de Pandore et autoriser n’importe quel type d’accès. » L’éditeur a ainsi observé un renfort des mécanismes d’authentification chez de nombreux clients, avec notamment la mise en œuvre de mécanisme d’authentification multi-facteurs pour accéder au système d’information. Les moyens d’authentification forte et en particulier les systèmes MFA s’appuyant sur les smartphones sont certainement ceux qui ont le plus progressé suite à la crise sanitaire. Les entreprises ont notamment arrêté certaines méthodes d’authentification obsolètes, notamment à base de SMS. L’authentification devient de plus en plus adaptative et prend en compte le contexte de l’accès (géolocalisation, heure, identification du terminal), afin d’évaluer le niveau de risque et enclencher une ou plusieurs méthodes d’authentification en fonction de ce niveau de risque. Une évolution claire vers les concepts du “Zero Trust”.
