Mettre en place une authentification forte pour les services critiques

📖 Définition ≪ Mettre en place une authentification forte pour les services critiques ≫: 

L’authentification forte permet aux utilisateurs d’un service de s’identifier de manière plus sécurisée qu’avec un simple couple « nom d’utilisateur / mot de passe ».

Objectifs: 

- Fournir un meilleur niveau de sécurité sur les services critiques
- Renforcer la traçabilité

Clés de succès: 

- Bien définir le cas d’usage
- Ne pas hésiter à combiner plusieurs technologies pour un meilleur niveau de sécurité

Guide: Mettre en place une authentification forte pour les services critiques: 

Même si l’authentification par simple mot de passe est encore très fréquente, celle-ci présente d’importantes vulnérabilités. Pour protéger l’accès aux services sensibles, l’entreprise peut donc avoir besoin de mettre en œuvre des systèmes d’authentification forte, afin de contrôler l’identité des utilisateurs. Ceux-ci reposent sur la combinaison d’au moins deux facteurs, comme un mot de passe et un code à usage unique, une empreinte digitale, un certificat numérique… On parle alors d’authentification multifactorielle.

Il existe trois grandes familles d’authentification forte :
1. Les mots de passe à usage unique
2. Les certificats numériques
3. La biométrie

Les mots de passe à usage unique ne peuvent être utilisés qu’une seule fois, souvent même dans une plage de temps limitée. L’exemple classique est le code envoyé par SMS pour valider un paiement en ligne. Il existe aussi des dispositifs d’authentification, type clef USB, capables de générer un code à usage unique en se basant sur un secret partagé.

Les certificats numériques reposent sur un système de clefs. Celles-ci sont des cartes d'identité numériques qui indiquent l'émetteur d’une information. L’approche la plus courante est la PKI, ou infrastructure à clef publique. Dans un cadre restreint, un simple serveur de clefs suffit à la mettre en oeuvre. Dans un contexte d’utilisation plus large, il est nécessaire de passer par des tiers de confiance, comme des autorités de certification, qui permettent de sécuriser les clefs publiques.

Des technologies émergentes comme la Blockchain offrent de nouvelles possibilités d’identification équivalentes aux certificats. Leur particularité réside dans l’architecture décentralisée : l’identité est garantie par l’ensemble des acteurs participant à la Blockchain.

Enfin, la biométrie utilise la reconnaissance faciale, vocale ou les empreintes digitales pour identifier un utilisateur autorisé. Les approches biométriques connaissent un fort développement à l’heure actuelle grâce au support de ces fonctionnalités sur les récentes générations de terminaux mobiles. Cela permet de rendre ces technologies bien plus largement accessibles qu’auparavant.

Plusieurs approches peuvent être combinées : des certificats peuvent par exemple être stockés sur une carte à puce déverrouillable au moyen d’une empreinte digitale.

Pour choisir parmi les différentes possibilités, vous devez analyser le cas d’usage :

Si l’important est de faciliter l’authentification pour vos employés, la biométrie évite d’avoir à mémoriser et à saisir des mots de passe. Son usage est néanmoins soumis à un certain nombre de restrictions (cf. lien ci-dessous), les données biométriques étant considérées comme des données personnelles.

Si des acteurs externes à l’entreprise utilisent vos services, vous pouvez avoir besoin de vous protéger contre d’éventuels litiges. Dans ce cas, il faut opter pour une solution permettant la non-répudiation, c’est-à-dire le fait de pouvoir garantir l’identité de l’expéditeur. Seules les solutions incluant un certificat numérique sont reconnues comme légitimes pour répondre à ce besoin. Dans un périmètre bien délimité, comme les échanges avec vos fournisseurs ou partenaires, la PKI ou la Blockchain sont des options à étudier. Si votre service est accessible au grand public, mieux vaut passer par un tiers de confiance.

Tags: 

D'AUTRES ARTICLES TROP COOL !

Comment sensibiliser vos collègues aux risques de phising en entreprise
Non le fishing n’est pas une technique de pêche anglo-saxonne. On parle de fishing, ou d’hameçonnage pour parler en bon...Lire la suite