Un monde sans mots de passe: refuser ou approuver

Aviez-vous déjà remarqué que ces derniers temps, vous deviez vous connecter sur quasiment chaque site web? Et qu’il faut donc à chaque fois se souvenir de son mot de passe? Et je ne parle même pas de toutes les applis sur votre smartphone, qui exigent aussi un login. Ces mots de passe sont destinés à nous protéger, nous dit-on par ailleurs. Et bien moi je dis: le mot de passe est mort. Adieu!

Ce ne sont certes pas là mes propres paroles, mais celles de Bill Gates, fondateur et inspirateur de Microsoft. Ces propos, il ne les a pas tenus récemment, mais il y a pas mal de temps déjà durant un discours prononcé lors de la RSA Security Conference en février 2004. Il y a donc 15 ans de cela, Bill prévoyait la disparition du mot de passe classique.

Aujourd’hui, la technologie fait son jeu. Le périmètre réseautique n’existe plus. Car là où avant, la sécurité reposait principalement sur la protection du ‘omwalling’ (généralement les périmètres physique et numérique du bâtiment et du réseau d’une entreprise comportant les pare-feu nécessaires), c’est votre identité qui est devenue le nouveau périmètre. Avec vos identifiants (credentials) personnels, vous vous connectez en effet aux médias sociaux, à vos différents appareils tels le smartphone et l’ordinateur portable – et qui sait bientôt votre voiture de fonction -, mais aussi aux diverses applications professionnelles: les systèmes ERP tels Salesforce, les outils collaboratifs (Office 365, Teams, Slack, …) ou les environnements ‘cloud’ (Azure, AWS, …). En outre, vous pouvez avec les services dans le nuage vous connecter n’importe où et avoir accès où vous voulez.

Identité découverte

Cette accélération technologique génère cependant des défis sécuritaires. On enregistre du reste déjà des glissements dans le paysage du cyber-crime. ‘L’identité grimpe en effet vers le sommet en tant que tout nouveau vecteur d’attaque: 80 pour cent⁽¹⁾ des fuites de données sont dus à l’abus de mots de passe personnels. Et 81 pour cent des brèches (breaches) sont à mettre au compte d’un faible mot de passe par défaut ou de mots de passe volés. L’évolution est tout aussi claire dans d’autres statistiques. Il y a dix ans, on trouvait dans le top quatre⁽¹⁾ des brèches date une seule cause liée à l’identité, alors qu’elles étaient déjà trois sur quatre en 2019 (données de login volées, hameçonnage, abus de données privées).

Les utilisateurs sont évidemment partie prenante de la cause. Pas moins de 59 pour cent d’entre eux réutilisent le même mot de passe que celui qui a été volé. C’est peut-être là un réflexe humain, quand il y en a tellement à retenir. Et quand on sait que l’identité est le nouveau vecteur d’attaque, il y a de quoi s’inquiéter que la moitié de l’ensemble du personnel public et militaire semble utiliser un faible mot de passe sur LinkedIn. Il ne faut alors pas être un hacker invétéré pour retrouver une identité et mettre la main sur des données de login personnelles.

Surtout si vous travaillez dans un environnement ‘cloud’, votre identité (et celle des employés) est la première qu’il faut sécuriser le mieux possible.

I am. So, IAM

Le problème – et le défi correspondant qui se pose à chaque équipe de sécurité – est aussi une affaire d’expérience d’utilisation. Qui dit beaucoup d’applis, dit beaucoup de mots de passe. De plus, il convient toujours plus souvent de rechercher une combinaison assez complexe (faite de chiffres, de capitales, de signes spéciaux et surtout PAS de fragments de votre nom). Il n’est vraiment pas simple de retenir tout cela. De même l’obligation de renouveler à chaque fois ses mots de passe provoque une certaine lassitude au mot de passe. Surtout lorsqu’on utilise des outils pour gérer les données de login.

Il est possible de résoudre le problème par Single Sign On (SSO). Il s’agit là d’une très intéressante option, par laquelle l’utilisateur ne doit se souvenir que d’un seul mot de passe pour accéder à ses applis tant professionnelles que personnelles. Il ne doit donc plus stocker de mots de passe dans le nuage, car tout peut être conservé et donc aussi sécurisé dans un seul liu sûr (le répertoire central).

Pour sécuriser ce SSO, on ne peut plus compter sur une seule et même méthode d’authentification, comme un mot de passe. Voilà pourquoi il est fortement conseillé avec cette méthode de recourir à la Multi-Factor Authentication (MFA). C’est ainsi que SSO peut être combiné dans de nombreux cas au badge d’accès de l’employé ou à son smartphone. Single Sign On peut devenir un élément d’un Identity and Access Management (IAM) perfectionné. Concrètement, IAM implique que vous créiez automatiquement des profils d’utilisateur, que vous les actualisiez ou les supprimiez. L’accès lié à ces profils vaut tant pour les systèmes IT dans leur enseemble que pour les données et les applis.

Avec IAM, il est possible mettre en grande partie le processus d’authentification entre les mains de l’utilisateur. Une fois que vous aurez simplifié les processus de par l’automatisation liée aux processus business existants, vous pourrez, en tant qu’équipe IT, confier à l’utilisateur la responsabilité de réinitialiser lui-même ses mots de passe. D’autre part, vous pourrez avec IAM gérer aussi les droits d’accès à certains documents, applis, voire espaces, ce qui réduira énormément le risque qu’une personne non autorisée puisse avoir accès aux données.

L’étape ultime – et je cite de nouveau Bill Gates – est une authentification sans mot de passe. Comme par exemple avec un lien qui est valable de manière limitée dans le temps (pensez par exemple à des téléchargements via WeTransfer) ou qui ne peut être ouvert que par le destinataire. L’employé est satisfait, parce qu’il ne doit plus saisir que son login avant de se connecter automatiquement via une notification push sur son smartphone. Deny or approve (refuser ou approuver) est la seule chose sur laquelle il doit cliquer. On pourrait encore éventuellement la combiner à une sécurité biométrique, comme un scan de l’empreinte digitale.

Pourquoi démarrer avec IAM?

Ces avantages ne riment pas uniquement avec une productivité accrue. Un bon IAM réduit aussi la pression au travail du département IT, qui ne doit plus répondre à la question ‘J’ai oublié mon mot de passe’. Et il accroît la sécurité, car l’utilisateur est immédiatement informé, lorsque quelqu’un veut utiliser son login. Il reçoit en effet directement une notification push de l’outil. En utilisant une approche IAM, il est possible de conserver les différentes identités et de les baser sur des règles établies. Cela permet d’intégrer aussi plus rapidement de nouvelles personnes en cliquant sur la base d’un profil.

Ce faisant, on augmente la satisfaction non seulement de l’utilisateur, mais aussi de l’équipe IT qui peut se focaliser sur des choses plus stratégiques. IAM, ce n’est pas seulement de la technologie, mais ce sont aussi des gens et des processus.

_{¹ Sources: Verizon “2008 Databreach investigation” & Verizon “2018 Databreach investigation”}