Les mots de passe font de nouveau parler d’eux de façon négative, et un nombre croissant d’organisations les remplacent par des méthodes d’identification à la fois plus conviviales et plus sûres. Aujourd’hui, il est possible d’implémenter une authentification à deux facteurs (2FA) en deux heures à peine.
Il existe un grand choix de méthodes d’identification permettant aux clients, employés, partenaires ou simples usagers, d’accéder à des ressources numériques tels que des portails web, des sites de commerce en ligne, des e-services ou des systèmes IT d’entreprise.
« La méthode la plus courante reste le couple nom d’utilisateur/mot de passe – même si la plupart des gens ont pris conscience de leurs inconvénients : coûts associés à leur gestion, embarras pour les utilisateurs et les administrateurs, et absence de sécurité, » explique Daniel Hjort, responsable des solutions Smart ID chez Nexus Group, société spécialisée dans les identités et la sécurité.
Une autre méthode courante pour renforcer l’authentification consiste à s’appuyer sur des ressources matérielles telles que des cartes à puce ou des codes PIN permettant de générer des jetons matériels.
Daniel Hjort : « De cette façon, l’utilisateur s’identifie à l’aide de deux facteurs : quelque chose dont il dispose – le matériel –, et quelque chose qu’il connaît – le code pin. Cette méthode est plus sûre que les mots de passe statiques, et peut constituer une bonne solution. Mais elle s’avère plus coûteuse encore que les mots de passe, et encore plus embarrassante pour les utilisateurs et les administrateurs. »
Si vous souhaitez anticiper les problèmes liés à la sécurité, téléchargez notre Le guide de la sécurité des responsables IT
Méthodes actuelles d’authentification forte
Aujourd’hui la façon la plus économique et conviviale d’implémenter une authentification forte est, selon Daniel Hjort, de laisser le smartphone de l’utilisateur servir de deuxième facteur d’authentification.
« Simplement parce qu’aujourd’hui pratiquement tout le monde possède déjà un smartphone, que les gens gardent avec eux de jour comme de nuit. L’idée de s’appuyer sur un objet matériel que nous utilisons au quotidien et auquel nous sommes très attachés est aussi évidente que simple à mettre en œuvre, et je suis convaincu que cette approche sera bientôt la plus répandue. » Il existe différents moyens d’implémenter l’authentification 2FA mobile, parfois en seulement deux heures.
La première étape consiste à trouver la solution d’authentification 2FA mobile la mieux adaptée à votre organisation.
Daniel Hjort : « Le plus souvent, les fournisseurs vous permettent de tester gratuitement leurs solutions, vous n’avez donc pas à précipiter votre décision.
Il vous suffit de procéder à votre inscription en ligne sur le site web du fournisseur, et de copier le fragment de code que celui-ci vous fournit.
« Vous ajoutez ce fragment au code source de votre portail ou site de commerce en ligne, et c’est tout ! Les utilisateurs souhaitant accéder à vos ressources numériques sont alors priés de s’authentifier via une appli sur leur téléphone mobile. Si vous avez choisi un bon fournisseur, tout cela ne devrait pas vous prendre plus de deux heures. »
Et s’il existe déjà dans votre pays une appli d’authentification mobile couramment utilisée, telle que BankID en Suède, vous pouvez diriger vos utilisateurs directement vers cette appli.
Daniel Hjort : « Sinon, vous pouvez les diriger vers l’appli 2FA mobile de votre fournisseur, que vous utiliserez telle quelle, ou qui sera personnalisée au nom de votre organisation. Dans ce dernier cas, vous devrez également générer vous-même les identifiants électroniques pour vos utilisateurs. »
Quelle que soit la méthode que vous choisirez pour générer vos propres identifiants électroniques (eIDs), l’implémentation de votre solution d’authentification 2FA nécessitera sans doute plus de deux heures. Mais pour Daniel Hjort, l’opération est bien moins complexe qu’on le pense généralement.
« Avec l’aide de votre fournisseur, votre solution 2FA sera opérationnelle bien plus rapidement que vous ne vous y attendiez. Par ailleurs, des initiatives semblables à BankID se développent partout dans le monde ; par conséquent, même si le fait de générer vos propres eIDs pour vos utilisateurs présente de multiples avantages, vous n’aurez bientôt plus besoin de le faire si vous ne le souhaitez pas. »
