Un quotidien passwordless, ça vous tente?

À qui n’est-ce jamais arrivé de décider de prendre un café le temps qu’une bonne âme du support informatique vole à sa rescousse pour une réactualisation de mot de passe? Et s’il existait des solutions d’authentification qui ne s’appuient pas sur les mots de passe? Qui limitent les coûts de gestion et soient sécurisées et simples d’utilisation?

Combien de temps cumulé sur une année – multiplié par le nombre de collaborateurs et selon la fréquence de réactualisation des codes de sécurité… et j’en passe – pensez-vous qu’une entreprise consacre à des logins et mots de passe?

Tant en termes de sécurité que de temps, cette myriade de mots de passe et leur actualisation nécessaire nuisent à la productivité et induisent des coûts opérationnels non négligeables pour les entreprises.

Problématique

Nous générons quotidiennement une énorme quantité́ de données sensibles. En commandant en ligne, en nous connectant à notre entreprise ou encore en utilisant notre téléphone portable par exemple…

Vous pensez que ces données sont protégées? Eh bien, selon un sondage réalisé en février 2020 par la société Yubico :

– 49% des répondants ont admis partager des mots de passe avec des collègues pour accéder aux comptes professionnels;

– 59% ont déclaré que leur organisation ne repose que sur la mémorisation pour gérer les mots de passe;

– 42% ont déjà utilisé des sticky notes pour se souvenir des mots de passe.

Réaction humaine, nous adoptons des comportements visant à trouver des solutions de contournement pour nous simplifier la vie, au détriment de notre sécurité informatique et de la protection de nos données personnelles.

Résultat à l’antipode de la raison même d’exister des mots de passe: nous offrir davantage de protection. Cherchez l’erreur…

Et toutes ces données doivent être protégées par des mots de passe spécifiques, solides et multiples. Or, qui n’a – ici encore – jamais succombé à la tentation d’utiliser le même password sur différents sites ou serveurs? Pour le plus grand bonheur des hackers qui, avec une seule et même clé, peuvent ouvrir bien des cavernes d’Alibaba…

Pistes de solution

Notre cerveau n’est simplement pas fait pour retenir tant d’informations «par cœur». In fine, soit on l’oublie, soit on le note… Des solutions «coffre-fort» telles que LastPass (permettant de stocker tous nos mots de passe en un seul lieu) peuvent alors s’avérer très utiles, mais elles restent des solutions de contournement. Le problème n’est pas traité à la source.

Grâce à l’authentification à de multiples facteurs (multi-factor authentication – MFA), on peut déjà se connecter à un outil informatique en utilisant au moins deux méthodes successives pour vérifier notre identité:

– quelque chose que l’on sait ou que l’on est (empreinte digitale, mot de passe, PIN, question secrète…);

– quelque chose qu’on possède (un token, votre smartphone…).

Plusieurs solutions MFA existent sur le marché. Je pense notamment à Google Authenticator. Une fois que vous avez saisi un mot de passe, vous recevez un message sur votre smartphone pour valider que c’est bien vous qui tentez de vous authentifier. Même chose lorsque votre banque vous envoie un SMS pour valider un achat en ligne.

À l’échelle d’une entreprise, la solution est ailleurs: supprimer totalement l’utilisation de mots de passe tout en maintenant un niveau de sécurité fort.

L’exemple d’une solution: Secret Double Octopus

Secret Double Octopus, de la société éponyme, vous permet, au bureau ou en télétravail, d’accéder aux ressources de votre entreprise avec une solution MFA qui offre une expérience utilisateur fiable et qualitative, que ce soit en vous connectant avec une machine Windows, un Mac ou encore un client léger (Citrix, VMware Horizon). S’appuyant sur un protocole robuste et sécurisé, cette solution s’intègre à tout un lot de sites web et solutions cloud (Azure, Amazon AWS…) qui peuvent être proposés par votre société puisqu’elle s’appuie sur des standards utilisés par beaucoup d’éditeurs.

Concrètement, lorsque vous démarrez votre ordinateur pour une nouvelle journée de travail, on vous demande habituellement vos login et mot de passe. Ici, vous recevez directement sur votre téléphone (quelque chose que vous possédez) une notification vous invitant à valider que vous accédez à votre ordinateur. Vous utilisez alors votre empreinte digitale (quelque chose que vous êtes) pour pouvoir commencer à travailler.

Plus besoin alors de retenir de mot de passe! Et que vous travailliez en présentiel ou en distanciel, vous bénéficiez de la même «expérience utilisateur».

Plus agréable pour les utilisateurs, moins contraignant pour les services de support IT et plus bénéfique pour les dirigeants… La solution Secret Double Octopus n’a, je crois, pas fini de faire parler d’elle.

By Yvan Barnabaux

Recevoir notre actualité
Suivez-nous
Coordonnées

1, rue de la Poudrerie
3364 Leudelange, Luxembourg
+352 27 99 49 29
contact@innoviction.lu

Merci à nos partenaires