Double-authentification, ou authentification forte, voilà un terme que l’on entend de plus en plus souvent lorsqu’on parle de cybersécurité. Mais que signifie-t-il, en quoi cela s’applique-t-il au monde de l’entreprise, et avec quelles conséquences ?
Authentification simple & authentification forte
L’authentification est l’opération qui permet à un service de vérifier qu’un utilisateur est bien celui qu’il prétend être, et par extension qu’il peut accéder à ses données et à ses services.
Dans un monde connecté, l’authentification la plus courante recourt à un identifiant (login) et un mot de passe : pour accéder à sa messagerie, Alice saisit son identifiant (Alice) et le mot de passe associé. Le service de messagerie compare alors le mot de passe avec celui qu’il a enregistré. S’il est correct, Alice peut accéder à sa messagerie.
On parle ici d’authentification simple, car la sécurité repose sur un unique facteur : le secret du mot de passe (l’identifiant est en effet considéré comme une information publique). Que le mot de passe soit révélé, et il n’assure plus aucune sécurité.
C’est pourquoi il existe des authentifications dites fortes (ou double-authentification, ou authentification à deux facteurs). Elles combinent alors deux facteurs parmi trois :
1. Quelque chose que je connais : typiquement, un mot de passe,
2. Quelque chose que je possède : comme une clé de sécurité ou une carte à puce,
3. Quelque chose que je suis : typiquement, une caractéristique biométrique (empreinte digitale).
Au quotidien, pour faire un paiement par carte, je fais ainsi une authentification forte : j’ai besoin de présenter ma carte (quelque chose que je possède) et de saisir un code PIN (quelque chose que je connais). Pour frauder, un criminel doit impérativement compromettre les deux facteurs. C’est ce qui assure naturellement une plus grande sécurité.
NB : l’état de l’art comme la réglementation évaluent la force d’une authentification par son nombre de facteurs, pas par leur nature. Ainsi, une authentification biométrique seule n’est pas considérée comme plus sûre qu’un mot de passe (un seul facteur dans les deux cas).
L’authentification forte en entreprise
Longtemps considérée comme coûteuse et peu ergonomique, l’authentification forte s’est démocratisée. Avec l’adoption de la norme DSP2, toutes les banques proposent une solution d’authentification forte pour les opérations en ligne (combinant typiquement la possession d’un smartphone et la connaissance d’un code PIN).
D’autre part, des initiatives comme l’Alliance FIDO mettent à la disposition de chacun des solutions d’authentification forte (clé USB ou application mobile) bon marché et compatibles avec les principaux services numériques : connexion à Windows 10, Google, Facebook… De nombreuses applications professionnelles acceptent ces solutions.
L’authentification forte peut ainsi être utilisée par toutes les entreprises pour sécuriser les données et fonctions les plus critiques.
Et l’expérience utilisateur alors ?
Paradoxalement, elle est globalement meilleure qu’avec le mot de passe : certes, l’enrôlement (la première utilisation) peut être lourde (face à face, contre-appel…), mais par la suite l’authentification forte permet d’utiliser un mot de passe plus simple (code PIN), le même pour tous les services compatibles, voire de se passer de mot de passe (biométrie).
Quelques exemples d’authentification forte
- Une clé de sécurité USB et un mot de passe ;
- Une application mobile déverrouillée par un mot de passe ou une empreinte biométrique ;
- Ou encore un mot de passe et un code reçu par SMS.
Allez plus loin avec Oppens
La plate-forme de cybersécurité Oppens.fr vous aide à optimiser la sécurité informatique de votre activité. Conçue en effet pour les TPE et PME, simple et complète, offrant une évaluation et des conseils gratuits sans inscription préalable, elle sélectionne les meilleurs produits de cybersécurité adaptés à vos besoins.
Avec Oppens, vous construisez facilement votre stratégie de sécurisation en fonction de votre situation actuelle, du niveau que vous devriez avoir et de votre budget. Alors, n’attendez pas, protégez-vous sur oppens.fr !
