L’authentification multifacteur (MFA) s’impose comme le moyen de plus en plus utilisé par les entreprises pour renforcer la sécurité des accès de leurs employés et parfois de leurs clients. Une démocratisation de l’authentification forte.
Alors que l’authentification forte fut longtemps réservée à quelques secteurs, quelques catégories d’utilisateurs bien délimitées, l’avènement de l’authentification multifacteur (MFA) est en train de redéfinir le marché des solutions d’authentification. Ainsi, pour sa banque en ligne, Orange a fait le choix de l’authentification multifacteur dans le Cloud d’inWebo pour protéger les comptes de ses clients. Philippe Carles, RSSI Orange Bank explique ce choix : « L’identification et l’authentification sont clairement un enjeu de sécurité primordial pour une banque en ligne. Nous voulions un système d’authentification forte pour conditionner l’accès à l’espace client, sceller les transactions, authentifier un client qui appelle la hotline, disponible sur le web et le mobile. » Les développeurs ont intégré la librairie inWebo dans les applications mobiles de la banque. « Notre gros challenge était de trouver un compromis entre une expérience client fluide et un haut niveau de sécurité. »
Le smartphone, un support d’authentification idéal ?
Avec le RGPD, de plus en plus d’entreprises se tournent vers le MFA afin d’augmenter le niveau de sécurité des comptes de leurs utilisateurs et le smartphone moderne doté d’un lecteur d’empreinte, de la reconnaissance faciale et qui permet la réception d’un SMS de confirmation semble le support idéal pour aller au-delà du mot de passe. Pourtant, Google a récemment dévoilé la Titan Security Key, une petite clé USB compatible U2F (Universal Second Factor) qui ajoute un facteur d’authentification pour se connecter à tous les services compatibles, G Suite en tête. Google vient concurrencer les clés de sécurité de Neowave ou du suédois Yubico. Ce dernier produit la YubiKey, un token d’authentification physique. « La dernière version de YubiKey 5 intègre maintenant le protocole FIDO 2, un protocole que nous avons développé notamment avec Microsoft afin d’offrir une authentification sans mot de passe. Son atout est de pouvoir être utilisée comme une carte à puce sans nécessiter de lecteur puisqu’on l’utilise en l’insérant dans le port USB de l’ordinateur ou via NFC pour les smartphones » argumente Claire Galbois-Alcaix, directeur marketing de Yubico.
Gérer les accès aux applications Cloud et traditionnelles
Si une nouvelle génération de solutions d’authentification arrive, pour Bernard Montel, responsable avant-vente d’un acteur historique du secteur, RSA, celles-ci vont devoir cohabiter avec les solutions existantes : « Il faut être capable de fusionner le monde de l’ancien, l’authentification traditionnelle par token en mode non connecté et ces nouveaux besoins. Nous fusionnons ces deux mondes pour accéder à un bon vieux VPN Radius avec de la biométrie ou un push SMS. »
Pour Nicolas Petroussenko, Regional Vice President d’Okta France, les entreprises recherchent désormais des solutions globales : « Les entreprises adoptent de plus en plus une approche globale de gestion et fédération des identités, de SSO et l’identification mais cela ne signifie par pour autant que les entreprises vont vers un fournisseur unique. Elles privilégient les solutions Best-of Breed SSO capables de fonctionner avec d’autres briques du marché. » Julien Cassignol, architecte solutions chez One Identity, éditeur de solution de gouvernance des identités rejoint le responsable d’Okta France dans son analyse et pointe les limites du MFA : « Tous les cas d’usage ne se prêtent pas nécessairement au multifacteur qui impose une action supplémentaire. Offrir une expérience transparente avec des systèmes plus classiques comme Kerberos, une authentification par jeton ou avec des certificats est parfois le plus pertinent. »
L’IAM migre vers les métiers
Si le besoin en solutions d’IAM, d’IAG et de PAM est manifeste dans les entreprises, le profil des utilisateurs des solutions a changé. Initialement conçues pour être exploitées par la DSI, celles-ci sont parfois très difficilement exploitables par les métiers. Or ce sont bien les métiers qui sont les mieux placés pour accorder ou révoquer les droits d’accès à leurs applications. C’est la raison pour laquelle, des entreprises françaises se tournent vers des challengers comme Ilex ou Usercube dont les solutions sont mieux adaptées à cet usage. Charles Dupont, cofondateur et directeur associé de l’éditeur français Usercube, explique : « Nous avons créé Usercube avec l’idée que l’on pouvait faire de l’IAM/IAG de façon différente. La gestion d’identité ne peut être qu’une solution d’informaticiens. »
A la fois plus facile d’accès pour les métiers mais mieux intégrée, la gestion des identités du futur doit pouvoir intégrer les nouveaux usages en termes d’identification car désormais l’utilisateur est roi et c’est à l’infrastructure de s’adapter au mieux aux nouveaux usages.
