Protéger une PME des impacts majeurs de cyberattaque

par | Avr 22, 2025 | Risques

Comment une PME peut se protéger à un coût raisonnable des impacts majeurs de cyberattaque ? Sélectionner les mesures adaptées à son domaine d’activité en fonction des véritables risques pour une PME. Nous proposons une approche pragmatique et limitant les investissements nécessaires.

AU SOMMAIRE DE CET ARTICLE

Différencier les techniques de cyberattaque et leurs impacts

Pour comprendre comment se protéger des cyberattaques, il nous faut aborder 3 caractéristiques d’une cyberattaque qui vont nous permettre de sélectionner les mesures efficaces pour une PME :

  1. Les techniques employées par les auteurs de cyberattaque.
  2. Le but recherché par les auteurs de cyberattaque.
  3. Les impacts subis par la PME et ses partenaires.

Les techniques de cyberattaque les plus courantes

Les techniques de cyberattaque s’appliquent à votre infrastructure, à vos identifiants ou à vos comportements :

  • Les Malwares : logiciels du type virus ou trojan malveillants et installés sur vos machines.
  • Le phishing : obtention d’informations personnelles en se faisant passe pour quelqu’un que vous connaissez.
  • Les attaques VPN / accès distants : connexion sur vos machines à distance et prise de contrôle de vos données.
  • Usurpation de compte mail : accès à votre compte mail avec vos identifiants.
  • Exploitation de vulnérabilités OS/Applications : accès à vos machines par une faille connue de sécurité.
  • Vol d’identifiants : vol de vos comptes et mots de passe.
  • DDoS : saturer un site web avec des requêtes.

Il existe des outils et des bonnes pratiques pour se protéger de ces techniques. Les anti-virus, les firewalls et une application rigoureuse des mises-à-jour s’imposent, complétés par des login sans mot de passe et une bonne formation aux techniques de phishing.

Les buts recherchés par les auteurs de la cyberattaque

Le but recherché lors d’une cyberattaque peut être différent selon votre domaine d’activité et vos ressources financières:

  • Le vol de données
  • Le vol financier
  • Le chantage
  • L’usurpation d’identité
  • La paralysie de l’activité

Par exemple la technique du phishing peut être utilisée dans tous les buts décrits ci-dessus, alors que la technique du DDoS cherchera uniquement à paralyser l’activité d’un site internet. Nous comprenons qu’en fonction du but recherché par l’auteur d’une cyberattaque, les techniques vont être plus élaborées, ce qui va nécessiter des mesures de protections également plus élaborées.

Les Ransomwares

Il est un type de cyberattaque qui nécessite des clarifications, car il est devenu à la fois fréquent et très impactant. Pour le comprendre, Il faut préciser que le ransomware se décline en 2 variantes :

  • le chiffrage des données et demande d’une rançon pour les récupérer, ce qui va immédiatement paralyser votre activité pour une période assez longue. Dans cette variante, le hacker cible un seul but : le chantage.
  • le vol de données « sensibles » et demande d’une rançon pour ne pas les publier, ce qui représente un risque futur et portant atteinte à votre réputation et à vos partenaires commerciaux. Dans ce cas, le hacker cible deux buts : le vol de données + le chantage.

Dans 30 % des attaques avec chiffrage des données, les données sont également volées afin de faire chanter la victime si elle ne veut pas payer. Il s’agit alors d’une combinaison des deux variantes ci-dessus avec comme but : vol de données + chantage.

Le ransomware peut utiliser plusieurs techniques d’attaque pour atteindre les données convoitées, sur un PC ou sur des serveurs à l’intérieur de votre réseau. La vitesse d’exécution devient très courte, réduisant la capacité de réaction avant d’être bloqué.

Concernant la question de savoir s’il faut payer la rançon, il faut comparer le coût de la rançon et le temps de récupération des données, par rapport à la restauration des sauvegardes. Clairement, le coût de la restauration est nettement moindre que le coût de la rançon, de plus le temps de récupération des données chiffrées peut se compter en semaines après le paiement de la rançon, contre quelques jours pour une restauration de données bien préparée.

Seul 3 à 5 % des cas de paiement de la rançon n’auraient pas récupéré leurs données, ce qui est tout de même conséquent.

Les impacts d’une cyberattaque pour une PME et ses partenaires

En différenciant la technique d’attaque et le but recherché, nous pouvons maintenant aborder les différents impacts. Ils peuvent être financiers, opérationnels, juridiques, de réputation ou stratégiques.

Le cas du Ransomware peut conduire à tous les impacts possibles. Vous payerez peut-être une rançon, vous devez interrompre votre activité, vous êtes responsable du non respect de prescriptions légales, votre réputation est compromise et si vous ne récupérez pas vos données, votre PME va peut-être disparaître.

Vous comprenez maintenant pourquoi le Phishing et le Ransomware sont devenus les risques les plus élevés. Le phishing peut amener à tous les sinistres (vol de données, chantage, usurpation d’identité)  et le Ransomware peut conduire à tous les impacts potentiels pour une PME, jusqu’à sa disparition.

Prendre conscience des risques majeurs pour une PME

Les risques liés aux cyberattaques ne sont pas qu’un problème IT et qui peut coûter cher, mais c’est un risque pour la survie même d’une PME. Considérons maintenant les impacts pour une PME :

  • Impacts financiers : paiement d’une rançon, vols de fonds, interruption de services.
  • Impacts opérationnels : indisponibilité, perte de données, difficulté à communiquer.
  • Impacts juridiques et de conformité : violation dela LPD ou RGPD, procédures judiciaires, audit externe obligatoire.
  • Impacts de réputation : perte de confiance, difficulté à gagner de nouveaux marchés.
  • Impacts stratégiques : perte d’avantage concurrentiel, mise en péril de l’entreprise.

Les risques pour une PME sont donc majeurs, peut-être même plus impactant qu’un sinistre suite à une inondation par exemple, car lors d’un vol de données vous pouvez être tenu responsable des conséquences pour des clients ou des partenaires.

En étant informé des techniques de cyberattaques, des buts recherchés par les auteurs de cyberattaques et des impacts pour une PME, il est maintenant possible de prendre les mesures adaptées pour limiter aussi bien les cyberattaques, que leurs conséquences.

Se prémunir contre les conséquences d’une cyberattaque

Subir une cyberattaque n’est pas une fatalité, des sociétés particulièrement exposées comme les opérateurs de communication ou dans le domaine de l’énergie subissent quotidiennement un nombre extrême d’attaques. Leur position intéresse particulièrement les hackers qui cherchent à obtenir des informations sensibles ou à nuire aux infrastructures critiques d’un pays. Pourtant ces opérateurs parviennent à résister à ces attaques et ne subissent pas les impacts majeurs décrits précédemment, car ils ont pris les mesures indispensables à leur protection.

Une PME peut également se protéger, mais afin de choisir les mesures efficaces et supportables financièrement, il faut distinguer deux types de mesures :

  • Les mesures préventives : qui vont réduire le risque de réalisation d’une cyberattaque. Comme la gestion des identifiants, les mises-à-jour des OS/Applications ou les protections de votre réseau.
  • Les mesures de résiliences : qui vont permettre à une PME de reprendre son activité suite à une cyberattaque. Comme des sauvegardes hors site et un plan de reprise d’activité documenté et testé.

Les mesures préventives ne suffisent plus dans le contexte de cyberattaques à grande échelle. Le facteur humain, les échanges avec des partenaires ou l’intervention de sous-traitants dans votre réseau sont autant de risques pouvant vous exposer à une cyberattaque. C’est pourquoi les mesures de résilience sont aujourd’hui indispensables pour réduire les impacts potentiels suite à une cyberattaque.

Nous avons tous pu observer dans la presse des situations de PME ayant subi récemment un incident majeur, j’en retiens trois situations caractéristiques qui démontrent l’importance des mesures de résilience :

  • Cas 1 : Un ransomware qui paralyse une entreprise pendant plus d’une semaine, la récupération des données se révèle complexe et l’accès aux données de clients est impossible de manière prolongée.
  • Cas 2 : Une erreur humaine a conduit à la perte de données d’une PME, celle-ci n’a pas été en mesure de récupérer ses données, après avoir dépensé des sommes conséquentes, elle a malheureusement fait faillite. Une cyberattaque peut conduire à la même situation en cas de perte de données sans capacité de restauration.
  • Cas 3 : Une cyberattaque menée contre une PME bien préparée. Elle n’a pas subi d’interruption de service, elle a récupéré ses serveurs en quelques jours et n’a pas constaté de fuite de données

La différence entre ces trois cas est le niveau de préparation des mesures de résilience. Savoir comment réagir immédiatement en cas d’attaque, puis comment restaurer ses serveurs et ses données.

Pour conclure, il faut rappeler que les mesures ne se limitent pas à des solutions techniques, mais comprennent des procédures documentées et communiquées, et surtout une vigilance de tous les instants.

Prochainement

Dans notre prochain article, nous aborderons le Plan de reprise d’activité.

Rédigé par Michel Sauty

Consultant Sénior IAM

Découvrez nos services

Les solutions d’authentification résistant au phishing

par | Avr 15, 2025 | Authentification

Nous allons voir comment les solutions d’authentification sans mot de passe peuvent faciliter l’accès aux applications web, tout en étant hautement résistant au phishing, ce risque de cybersécurité qui représente encore l’un des risques majeurs de cyberattaque.

AU SOMMAIRE DE CET ARTICLE

Le patchwork des solutions d’authentification

En voulant se connecter aux applications de votre entreprise, internes ou externes sur internet, vous  vous authentifiez selon des procédures disparates :

  • avec un nom d’utilisateur + un mot de passe
  • avec un nom d’utilisateur + un mot de passe, et un second facteur simple (SMS ou OTP one time password), que vous devez saisir pour confirmer votre identité.
  • avec un nom d’utilisateur + un mot de passe, et un second facteur par mail. Vous recevez un mail avec un code à saisir pour confirmer votre identité.
  • avec un nom d’utilisateur + un mot de passe, et un second facteur par une application propriétaire qui permet de valider la demande de connexion.

Chaque solution basée sur un mot de passe sera  efficace, à la condition de définir un mot de passe complexe, unique et de ne jamais le partager. Or la réalité est un peu différente, pour se souvenir d’un mot de passe, celui-ci est rarement complexe et il est souvent réutilisé dans  plusieurs comptes.

J’interviens personnellement à distance sur des sites clients de grands comptes, et il n’est pas rare que je voie sur l’écran d’un utilisateur un fichier ouvert avec les mots de passe qu’il doit saisir de nombreuses fois durant la journée. Il est en cours de partage de son écran  avec plusieurs personnes qui peuvent voir ses mots de passe, cela vous donne une idée de la confidentialité des mots de passe …

Il est bien entendu possible d’utiliser un gestionnaire de mot de passe, mais vous devez alors définir un mot de passe maître pour accéder à l’ensemble de vos mots de passe. Il faudra alors définir un mot de passe maître qui soit assez complexe pour ne pas être trouvé, mais pas trop complexe non plus car il faudra le saisir plusieurs fois par jour.

Aujourd’hui chaque utilisateur est confronté à une combinaison de ces différentes solutions d’authentification, comparable à un patchwork assemblé de tissus et de couleurs différents.

Ce patchwork de solutions d’authentification devient difficilement gérable, et même source de stress et d’agacement à l’usage. Il offre également un angle d’attaque aux hackers qui exploitent le nombre de confirmations de login nécessaires pour soumettre de fausses demandes que vous pourriez valider involontairement.

Les solutions éprouvées en 2025

Pour dépasser les solutions basées sur les mots de passe, il existe le standard FIDO (Fast Identiy Online) qui simplifie l’authentification par des solutions sans mot de passe et résiste au phishing. FIDO se décline en 3 types de solutions :

  • UAF : authentification sans mot de passe et utilisant votre smartphone pour vous authentifier. Cette solution enregistre votre smartphone auprès du service web, lorsque vous devez vous authentifier à ce service web, celui-ci va demander à votre smartphone de valider votre identifié, ce qui sera effectué avec le(s) capteur(s) biométrique(s) de votre smartphone. Il s’agit d’une solution simple et liée à votre smartphone, remplaçant les solutions avec mot de passe et robuste.
  • U2F : il s’agit essentiellement d’un second facteur d’authentification à l’aide d’une clé de sécurité. Vous devez saisir un nom d’utilisateur + mot de passe, ensuite vous devez valider votre identité avec la clé de sécurité (du type Yubikey). Bien qu’utilisant un mot de passe, cette solution est très robuste, car personne ne peut valider votre identité sans votre clé physique, rendant impossible de se connecter à votre place.

Ces deux solutions renforcent considérablement le niveau de sécurité et sont résistantes au phishing. Elles sont par contre limitées à un smartphone ou une combinaison mot de passe + clé de sécurité. C’est alors que la 3ème solution apporte une vraie réponse au login sans mot de passe et indépendante des appareils avec FIDO2.

FIDO2 : est une solution d’authentification forte, conçue pour être sans mot de passe et disponible sur plusieurs appareils avec un même identifiant. Elle combine la cryptographie à clé publique avec l’authentification biométrique. La clé privée de l’utilisateur reste stockée sur un périphérique, pendant que la clé publique est partagée avec le service auprès duquel ils doivent vous authentifier. Une implémentation du standard FIDO2 est constituée par les passkeys, il s’agit d’un identifiant basé sur une clé publique / privée et authentifié soit par la biométrie, soit par une clé de sécurité physique. L’implémentation des passkeys existe en deux variantes à ce jour:

Les passkeys synchronisés entre des périphériques : c’est le cas en utilisant un stockage cloud (comme iCloud, Google Password Manager ou Microsoft Authenticator). Cette solution est pratique, facile à mettre en œuvre et robuste. Elle permet à plusieurs appareils de vous authentifier par la biométrie (empreinte digitale, reconnaissance faciale) de manière identique, et d’ajouter un nouveau périphérique de manière simple.

Les passkeys liés à une clé de sécurité unique, celle-ci étant partagée entre des périphériques. Cette solution nécessite de disposer d’une clé de sécurité et doit être configurée, elle est moins facile à mettre en œuvre, par contre elle représente le plus haut de degré de protection, car la clé privée de cryptographie ne quitte jamais le périphérique comme l’exige le standard FIDO2. Avec cette variante, le passkey est associé et enregistré sur la clé, il est par conséquent impossible de s’authentifier sans disposer de la clé physique.

A la lecture de ce qui précède, UAF et U2F sont deux implémentations limitées de FIDO2, en ce sens que UAF est lié à un smartphone pour vous authentifier auprès d’un service web, et U2F combine un mot de passe avec une clé phyisique.

Par contre, les passkeys constituent une implémentation ouverte de FIDO2 et se trouve en cours d’adoption sur le marché. Les grands éditeurs (Google, Microsoft, Apple) ont en effet intégrés les passkeys dans leurs solutions.

Pour résumer :

  • Les passkeys permettent une authentification sans mot de passe et partagée entre plusieurs appareils.
  • Les passkeys sont résistants au phishing, au vol et à l’usurpation d’identité.
  • La variante des passkeys synchronisés est davantage utilisé à titre personnel par sa simplicité de mise en œuvre.
  • La variante des passkeys liés à une clé de sécurité est davantage utilisée en entreprise par le niveau maximum de sécurité assuré.

Une véritable simplification pour les utilisateurs

En terme d’expérience utilisateur, les passkeys représentent l’implémentation la plus aboutie de login sans mot de passe. Par exemple, pour se connecter à Google, il suffit de saisir son e-mail, puis de valider la clé de sécurité (un code PIN peut être demandé pour protéger la clé de sécurité).

  • L’expérience est fluide, rapide et adaptée à l’utilisation de plusieurs appareils (smartphone, PC, tablette).
  • Il n’y a plus de mot de passe à créer, à changer, à réactiver et à saisir.
  • Il n’y a plus de risque de vol d’identité et de phishing pour les comptes configurés avec un passkey.
  • L’authentification associe l’appareil qui stocke le passkey, qui ne peut alors pas être copié, transmis à un tiers ou imité.
  • Les identifiants peuvent être utilisés sur de systèmes d’exploitation ou des browsers différents.

Il existe également des clé de sécurité avec une reconnaissance biométrique intégrée, ce qui combine une clé physique + la biométrie, donc « quelque chose que vous possédez » et « quelque chose que vous êtes ». La reconnaissance biométrique est traitée par la clé, qui n’échange jamais vos empreintes ou identifiants hors de la clé.

Si vous utilisez un gestionnaire de mot de passe pour maîtriser des dizaines de logins, vous pouvez également y stocker vos passkeys ou les TOTP (mot de passe basé sur le temps). Ce qui peut être une solution élégante pour centraliser vos mots de passe et vos passkeys / TOTP.

La cybersécurité dispose à présent des standards, des solutions techniques et se déploie progressivement. Les grands acteurs du marché s’investissent dans ces solutions, ce qui est une condition essentielle pour leur adoption à grande échelle. Il reste encore les acteurs de plus petite taille qui doivent intégrer les passkeys dans leurs développements. Ce qui va prendre encore quelques années et va progressivement créer deux familles d’applications : les applications sécurisées et résistant au phishing, et d’autre part les applications toujours exposées aux risques de phishing.

Le patchwork des solutions d’authentification commence à avoir moins de couleurs et de tissus différents, devenant plus homogène et cohérent dans son utilisation. Afin de favoriser l’adoption des passkeys, n’hésitez pas à les configurer lorsqu’une application vous propose de créer un passkey pour vous authentifier. Vous augmenterez votre propre sécurité et celle de l’application en question.

Prochainement

Nous venons de voir comment les passkeys simplifient les login et sont résistant au phishing.. Dans notre prochain article, nous allons aborder les risques majeurs de cybersécurité pour les PMEs..

Rédigé par Michel Sauty

Consultant Sénior IAM

Découvrez nos services

Login sans mot de passe pour renforcer votre sécurité

par | Sep 18, 2024 | Authentification

Nous sommes confrontés au quotidien à la nécessité de se connecter à nos ordinateurs et smartphones, et en même temps au risque croissant de cyber-attaques pouvant tous nous concerner.

AU SOMMAIRE DE CET ARTICLE

Le login à nos PC est fasitidieux si nous voulons utiliser un mot de passe robuste et, en même temps, nos mots de passe constituent la première cible de cyber-attaques.

Un mot de passe identifié par un hacker devient un risque majeur pour nos données, nos applications et les données que nous partageons avec d’autres utiliateurs. Nous allons voir comment le Login sans mot de passe nous protège et améliore notre sécurité.

Limites des login avec mot de passe

Complexité des mots de passe

Hive Systems a démontré depuis 2020 qu’un mot de passe peut être trouvé à l’aide de la puissance de calcul d’un processeur graphique du commerce. Par exemple pour un mot de passe de 8 caractères ils donnent les temps suivants selon leur complexité :

  • Chiffres seuls : en 37 secondes
  • Lettres minuscules : en 22 heures
  • Lettres majuscule/minuscule : en 8 mois
  • Chiffres + lettres majuscule/minuscule : en 3 ans
  • Chffres + lettres majuscule/minuscule + caractères spéciaux : en 7 ans

Il ressort de leur étude qu’un mot de passe peut résister aux hackers en 2024. Pour cela, il devrait être composée de 13 caractères minimum avec une combinaison de chiffres + lettres majuscule/ minuscule + caractères spéciaux (#, $, ^, …). Il nécessiterait alors  11 milliards d’années de calcul.

La complexité du mot de passe est donc le premier critère pour être résistant aux hackers.

    Algorithme de hachage

    L’étude de Hive Systems en 2024 a mis en évidence un second critère : l’algorithme de hachage. Par exemple un mot de passe de 8 caractères (chiffres + lettres majuscule/minuscule + caractères spéciaux) serait trouvé :

    • en 1 seconde avec l’agorithme MD5.
    • en 5 jours avec l’algorithme bcrypt.

    Hachage : algorithme utilisé pour convertir le mot de passe saisi en une chaîne codée de texte. Par exemple le mot de passe « MonMotdePasse2024 » génère le code « E3F8B8436A2ED35AE3A4AFC82BB421E9 » avec l’algorithme MD5. Ce code est non réversible, ce qui signifie qu’il n’existe pas d’algorithme pour obtenir le mot de passe en clair à partir du code et c’est ce code qui est stocké.

    L’algorithme bcrypt est conçu pour mettre plus de temps à convertir le mot de passe. Il est donc plus résistant aux techniques dites de force brute. Par contre l’algorithme SHA-256 est conçu pour être plus rapide à convertir un mot de passe, il sera privilégié par les applications nécessitant de fréquentes saisies de mot de passe.

    Le calcul du temps nécessaire à trouver un mot de passe dépend donc de sa complexité et de l’algorithme de hachage utilisé dans nos applications.

    Les mots de passe sont vulnérables

    Dans la réalité de tous les jours, les mots de passe sont clairement vulnérables. Ils sont trop courts ou utilisent des séquences de lettres ou chiffres identifiables instantanément. Si vous gérez plusieurs dizaines de mots de passe, comme la moyenne des utilisateurs, il est fréquent de réutiliser un mot de passe pour plusieurs comptes ou de faire varier un mot de passe avec une séquence de chiffre que l’on incrémente à chaque modification.

    En résumé, il est possible d’utiliser des mots de passe forts et résistants aux hackers. Mais il n’est tout simplement pas réaliste de déverrouiller son PC avec un mot de passe complexe plusieurs dizaines de fois par jour.

    Solutions de login sans mot de passe

    Solution de login sans mot de passe

    Les solutions de login sans mot de passe sont aujourd’hui supportées par le système d’exploitation de votre PC (Windows ou Mac OS) et de vos smartphones (Android ou IOS). Leur activation dépend du matériel : PC, capteur ou caméra.

    Les solutions de login sans mot de passe s’appuient sur 3 types de solution pour vous authentifier :

    • Ce que vous connaissez : un code PIN ou un schéma (mouvement à réaliser sur une image).
    • Ce que vous êtes: vos empreintes digitales, votre visage ou vos iris.
    • Ce que vous possédez: une clé de sécurité ou un badge.

    Il s’agit de solutions de login pour ouvrir une session sur un PC ou déverrouiller une session active. Il ne faut pas les confondre avec les solutions d’authentification dans vos applications en local ou en web. Celles-ci vont être complétées de facteurs supplémentaires (MFA) ou de solutions plus élaborées permettant de partager un login avec plusieurs applications (SSO).

    Solution Code PIN / Schéma

    Ces solutions de login vous donnent accès à une session sur votre PC et implicitement à votre compte Windows. Cette distinction entre la session et le compte a son importance pour les deux solutions utilisant le code PIN ou le schéma.

    En effet, le code PIN n’est pas une simplification du mot de passe avec un code numérique à 6 chiffres, qui pourrait sembler moins robuste qu’un mot de passe. Le code PIN utilise un credential stocké sur votre PC (Trusted Platform Module basé sur un chip matériel), celui-ci est ensuite utilisé pour vous authentifier à votre compte. Il est donc fiable et ne peut pas être utilisé sur un autre PC.

    Solutions bio-métriques

    Login bio-métrique

    Les solutions bio-métriques sont les plus simples d’utilisation, car réellement sans saisie, et personne ne peut les utiliser à votre place. Ces solutions nécessitent une configuration pour capturer vos empreintes ou numériser votre visage, qui sont ensuite stockés de manière sûre sur votre PC, votre smartphone ou directement sur le capteur.

    Les solutions avec reconnaissance d’empreinte digitale sont aujourd’hui courantes, il faut toutefois s’assurer dans le cas de capteur externe qu’il utilise la technologie “Match on Chip” et le protocole SDCP. Ce qui assure que les empreintes soient traitées en interne au capteur et que la communication avec le PC soit sécurisée. Pour l’anecdote, ne pas oublier de configurer au moins 2 empreintes de chaque main, ce qui peut être utile en cas de blessure à un doigt.

    Les solutions avec reconnaissance faciale utilisent une caméra avec infrarouge, ce qui permet de travailler dans des conditions d’éclairage mauvaises et empêche l’usurpation d’identité à partir d’une photo. Leur utilisation permet par exemple de déverrouiller un PC sans retirer ses lunettes, ce qui rend le système rapide et fluide.

    Solutions clé de sécurité ou badge

    Clé de sécurité

    Les clés de sécurité ou badge sont les solutions les plus robustes et les plus flexibles. Une clé de sécurité, type Yubikey, est un composant matériel que vous insérez dans un lecteur USB ou que vous connectez en NFC. Il s’agit d’une clé matérielle, au même titre que la clé de votre habitation, sans la clé vous ne pouvez pas vous connecter à votre PC. La même clé peut être utilisée pour plusieurs PC, et il existe une version bio-métrique de ces clés que vous pouvez déverrouiller avec vos empreintes digitales. Elle permettent de stocker des credentials et supportent de plus les protocoles FIDO2, U2F, Smart Card, OpenPGP ou OTP ce qui permet de les utiliser pour s’authentifier dans des applications ou sur le web en tant que facteur multiple.

    En résumé, pour vous affranchir du login avec mot de passe, vous avez 3 approches :

    • Code PIN ou schéma : efficace et rapide si vous utilisez votre PC à la maison.
    • Empreinte digitale ou reconnaissance faciale : efficace et rapide également en déplacement, n’ayant pas à exposer vos mots de passe ou votre code PIN aux regards indiscrets.
    • Clé de sécurité : robuste et portable d’un PC à un autre, de plus extensible aux authentifications MFA.

    Simplification et renforcement de la sécurité

    A l’emploi, les solutions sans mot de passe apportent une vraie simplification pour l’utilisateur. Il n’est plus nécessaire de se rappeler un mot de passe complexe, qu’il faudra changer une fois par mois ou par trimestre. De plus le temps de login s’en trouve réduit et l’expérience utilisateur beaucoup plus fluide.

    Les protocoles utilisés par chaque solution améliorent grandement la sécurité du login à un PC, s’appuyant sur des standards matériel et d’authentification qui rendent encore plus difficile à un hacker de contourner le login. Nous quittons ainsi le débat sur le temps pour craquer un mot de passe, pour entrer dans un environnement apportant une réelle simplification et une sécurité accrue.

    La tendance du marché va clairement dans la direction du login sans mot de passe, mais comme tout changement, cela prendra plusieurs années. Il faut en effet faire évoluer le matériel, leur configuration et les habitudes. Le changement d’habitudes étant le plus délicat, il suffit de se rappeler le débat pour passer au passeport bio-métrique et les peurs que cela a généré lors de sa mise en oeuvre.

    Prochainement

    Nous venons de voir comment le login sans mot de passe simplifie le login utilisateur et renforce la sécurité. Dans notre prochain article, nous allons présenter comment étendre l’authentification sans mot de passe à vos applications en local en en web, tout en renforçant la sécurité d’accès.

    Michel Sauty

    Rédigé par Michel Sauty

    Consultant Sénior IAM

    Découvrez nos services