Malgré sa consonance maladroite, le « sans mot de passe » promet en fait de rendre la vie beaucoup plus facile - tant pour les utilisateurs que pour les équipes de sécurité. Il offre la perspective alléchante de réduire les coûts administratifs, d'améliorer la productivité et de réduire les cyber-risques. Pourtant, malgré ces avantages attrayants, l'adoption de cette technologie dans les environnements B2C (business-to-consumer) et B2B (business-to-business) n'a pas été aussi forte qu'on aurait pu le penser.
Toutefois, lorsque le plus grand éditeur de logiciels au monde décide de soutenir une nouvelle approche technologique, il est temps d'y prêter attention. Il y a quelque temps, Microsoft a qualifié les mots de passe de « peu pratiques, peu sûrs et coûteux ». En mars de cette année, la société a introduit l'authentification sans mot de passe pour les entreprises. En septembre, Microsoft a annoncé qu'elle allait étendre le support à tous les utilisateurs. On pourrait dire que l'ère de l'authentification sans mot de passe est enfin arrivée.
Quand les mots de passe ne sont plus adaptés
Les mots de passe existent depuis à peu près aussi longtemps que les ordinateurs. Leur disparition a été prédite à plusieurs reprises. Et pourtant, ils sont toujours là, sécurisant tout, des applications d'entreprise aux services bancaires en ligne, en passant par les comptes de messagerie et de commerce électronique.
Le problème est que nous avons désormais beaucoup trop de ces identifiants à gérer et à retenir. Selon une estimation, 57 % des travailleurs américains ont griffonné des mots de passe d'entreprise sur des notes autocollantes. Et ce chiffre ne cesse d'augmenter à mesure que nous étendons notre empreinte numérique. Selon une estimation datant d'octobre 2020, une personne moyenne possède environ 100 mots de passe, soit près de 25 % de plus qu'avant le début de la pandémie.
VOUS AIMEREZ ÉGALEMENT : Les pires mots de passe de 2020 sont là… Les vôtres figurent‑ils sur la liste?
Du point de vue de la cybersécurité, le défi que représentent les mots de passe est bien documenté. Ils fournissent aux attaquants une cible de plus en plus facile à voler, à deviner, à hameçonner ou à utiliser par force brute. Une fois qu'ils les ont en leur possession, les acteurs de la menace peuvent se faire passer pour des utilisateurs légitimes, passer outre les défenses de sécurité du périmètre et rester cachés dans les réseaux d'entreprise pendant beaucoup plus longtemps que ce ne serait le cas autrement. Il faut aujourd’hui 287 jours en moyenne pour identifier et contenir une brèche de données.
L’utilisation de gestionnaires de mots de passe et l'authentification unique offrent une certaine forme de solution à ces problèmes, en stockant et en rappelant des mots de passe complexes pour chaque compte afin que les utilisateurs n'aient pas à le faire. Mais ils ne sont toujours pas universellement populaires auprès des consommateurs. Le résultat? Nous réutilisons des informations d'identification faciles à mémoriser sur plusieurs comptes, ce qui expose les comptes des particuliers et des entreprises au bourrage d'informations d'identification et à d'autres techniques de force brute.
Il ne s'agit pas seulement d'un risque de sécurité. La gestion des mots de passe demande beaucoup de temps et d'argent aux équipes informatiques, et peut ajouter des frictions supplémentaires dans le parcours du client. Les brèches peuvent nécessiter des réinitialisations massives sur un grand nombre de comptes, ce qui peut nuire à l'expérience utilisateur dans les environnements B2B et B2C.
Les avantages du sans mot de passe pour votre entreprise
Dans ce contexte, l'authentification sans mot de passe offre une avancée majeure. En utilisant une application d'authentification avec des systèmes biométriques tels que la reconnaissance faciale, ou une clé de sécurité ou un code unique envoyé par e-mail/SMS, les entreprises peuvent d'un seul coup éliminer les problèmes de sécurité et d'administration associés aux informations d'identification statiques.
En adoptant cette approche pour les opérations B2B et B2C, les organisations peuvent :
- Améliorer l'expérience utilisateur : En rendant les connexions plus transparentes et en éliminant la nécessité pour les utilisateurs de se souvenir de leurs mots de passe. Cela pourrait même améliorer les ventes si moins de paniers d'achat sont abandonnés en raison de problèmes de connexion.
- Améliorer la sécurité : S'il n'y a pas de mots de passe à voler, les organisations peuvent supprimer un vecteur clé de compromission. On dit que les mots de passe ont été à l'origine de 84 % des brèches de données l'année dernière. Au moins, vous ferez en sorte que les méchants travaillent beaucoup plus dur pour obtenir ce qu'ils veulent. Et les attaques par bourrage de crédits, qui se comptent actuellement par milliards chaque année, appartiendront au passé
- Réduire les coûts et les atteintes à la réputation : En minimisant les possibilités de rançongiciels et de violations de données financièrement dommageables. Cela réduira également les coûts d'administration informatique associés à la réinitialisation des mots de passe et aux enquêtes sur les incidents. Selon un rapport, chaque réinitialisation de mot de passe pourrait coûter jusqu'à 150 £ (200 $) et 30 000 heures de productivité perdue par an. Sans parler du temps supplémentaire que les équipes informatiques peuvent consacrer à des tâches plus importantes.
Quels sont les obstacles à la mise en place d'une solution sans mot de passe?
Cependant, le sans mot de passe n'est pas une panacée. Il reste plusieurs obstacles à son adoption, notamment :
- La sécurité n'est pas garantie à 100 % : Les attaques par détournement de cartes SIM, par exemple, peuvent aider les acteurs de la menace à contourner les codes d'accès à usage unique (OTP) envoyés par SMS. Et si les pirates peuvent accéder aux appareils/machines, par exemple via des espiongiciels,, ils peuvent également intercepter les OTP.
- La biométrie n'est pas une solution miracle : En s'authentifiant à l'aide d'un attribut physique que l'utilisateur ne peut ni modifier ni réinitialiser, les enjeux deviennent beaucoup plus élevés si les attaquants trouvent un moyen de pirater le système. Des techniques d'apprentissage automatique sont déjà en cours de développement pour saper la technologie de reconnaissance vocale et faciale/image.
- Coûts élevés : Les PME ayant une grande base d'utilisateurs ou de clients peuvent constater que le déploiement d'une technologie sans mot de passe s'avère assez coûteux, sans parler des coûts potentiels liés à l'émission de dispositifs ou de jetons de remplacement, le cas échéant. Il est plus judicieux de faire appel à un fournisseur établi comme Microsoft, même si cela implique des coûts de développement interne.
- Réticence des utilisateurs : Ce n'est pas pour rien que les mots de passe ont résisté à l'épreuve du temps, malgré leurs importantes lacunes en matière de sécurité : les utilisateurs savent instinctivement comment les utiliser. Il est plus facile de surmonter la peur de l'inconnu dans un environnement d'entreprise, où les utilisateurs n'ont d'autre choix que de suivre les règles. Mais dans un monde B2C, cela pourrait créer suffisamment de frictions supplémentaires pour rebuter les clients. Il faut donc veiller à ce que le processus de connexion soit aussi transparent et intuitif que possible.
À l'aube de l'ère post-pandémique, deux tendances façonneront l'avenir de l'adoption des systèmes sans mot de passe : l'augmentation de l'utilisation des services en ligne grand public et l'émergence du milieu de travail hybride. L'appareil mobile étant au centre de ces deux tendances, il semble logique que toute stratégie d'entreprise sans mot de passe commence ici.