La sécurité IT n’est pas une sinécure. Je ne fais pas uniquement référence à ces tâches sans fin que sont la surveillance, l’application de correctifs ou la formation. Ni à la course contre la montre pour réagir sans tarder aux découvertes de nouvelles vulnérabilités qui se succèdent, ni même à la crainte d’être rappelé d’urgence au bureau pour gérer une crise.
La sécurité IT est une discipline exigeante car elle va bien au-delà des aspects techniques. Votre succès repose sur votre capacité à conseiller, à communiquer et à accompagner les collaborateurs de l’entreprise. Du point de vue de la sécurité, les entreprises les plus efficaces sont celles qui obtiennent l’adhésion de tous, et pas uniquement celles bardées de certifications. Votre capital humain est la première et la plus importante ligne de défense de votre entreprise.
Mais c’est là tout le problème : même les personnes les mieux intentionnées commettent des erreurs. Il suffit d’un clic malheureux ou d’un mot de passe réutilisé pour fragiliser vos mesures de sécurité. La formation contribue à réduire ces risques, mais elle a ses limites. Les équipes de sécurité ont le devoir de protéger tous les utilisateurs, cela va de soi.
Mais cette responsabilité incombe également aux collaborateurs et aux clients, et devient donc collective.
D’après mon expérience, les mesures de sécurité les plus efficaces sont celles qui protègent l’organisation ou l’individu, mais demandent peu d’effort en termes d’utilisation. La praticité favorise la conformité et, partant, la sécurité. C’est là qu’entrent en scène les passkeys.
Que sont les passkeys et pourquoi sont-elles importantes ?
Depuis plus de 50 ans, nous avons recours aux mots de passe pour protéger les systèmes informatiques et les applications contre une utilisation non autorisée. Ils ont rempli leur rôle mais, au fil du temps, leurs faiblesses deviennent de plus en plus apparentes.
Les mots de passe peuvent être volés, devinés ou divulgués. Ils constituent un fardeau pour les utilisateurs, 47 % des consommateurs considérant les multiples exigences à respecter en termes de complexité des mots de passe comme une source de frustration. Le consommateur lambda doit gérer plus de 100 mots de passe pour les applications qu’il utilise, ce qui rend leur réutilisation un problème aussi critique que courant. Si un site web compromis divulgue vos identifiants, un acteur malveillant peut accéder à chaque site ou service que vous utilisez.
Dans un monde parfait, chacun respecterait les pratiques préconisées en matière de mots de passe et utiliserait des mots de passe forts et complexes pour chaque service et site web pour lesquels il possède un compte. Mais c’est loin d’être le cas. D’où la nécessité de se tourner vers une méthode plus performante.
Et c’est là que les passkeys sont très intéressantes. Elles permettent en effet de mettre en œuvre un mécanisme d’authentification sans mot de passe qui est intrinsèquement résistant au phishing, convivial et efficace. Les passkeys remplacent les mots de passe traditionnels par un identifiant cryptographique résidant sur le terminal de l’utilisateur.
Aucun vol ni fuite n’est possible. Les passkeys résident sur le terminal d’un utilisateur ou l’un de ses comptes cloud, et elles sont souvent liées à un autre élément personnel (par exemple des facteurs biométriques comme une empreinte digitale ou la reconnaissance faciale), ou à une information qu’il est le seul à connaître, comme le code PIN de son téléphone.
Avec les passkeys, l’utilisateur n’a plus besoin de mémoriser un long mot de passe respectant le nombre correct de caractères spéciaux et de chiffres. Et comme elles sont générées mathématiquement, on ne peut pas les « deviner ».
Mais surtout, les passkeys sont pratiques. Non seulement il n’est pas nécessaire de les mémoriser, mais elles n’exigent aucun apprentissage particulier. Si vous avez déjà saisi un code PIN dans un smartphone ou que vous vous êtes authentifié dans une application bancaire avec FaceID, vous savez comment utiliser une passkey.
Les passkeys sont des authentifiants FIDO détectables qu’il est possible de synchroniser sur d’autres terminaux d’un écosystème donné. En d’autres termes, la passkey utilisée sur un smartphone peut l’être aussi sur une tablette ou un ordinateur portable, en toute sécurité et commodité. La sécurité, dans ce cas, ne vous impose pas d’employer le même terminal pour tous les services et applications que vous utilisez.
L’importance de la praticité pour les professionnels de la sécurité (et les utilisateurs)
L’identité est souvent la cause profonde d’une brèche de sécurité. En 2022, les attaques de phishing liées à des identifiants ont enregistré une hausse brutale de 61 %. D’après la dernière étude DBIR (Data Breach Investigations Report) de Verizon, 50 % de toutes les attaques abouties étaient imputables à des identifiants volés. Tout simplement parce que les mots de passe ne sont plus adaptés au monde hyperconnecté actuel.
Du point de vue de la sécurité, les passkeys remplacent avantageusement les mots de passe. Leur autre avantage est qu’elles sont très faciles à utiliser, ce qui les rend particulièrement attrayantes. Les professionnels de la sécurité savent depuis longtemps que si une règle ou procédure est trop lourde ou complexe, les utilisateurs trouveront inévitablement le moyen de la contourner.
C’était déjà le cas en 2008, lorsqu’une étude RSA a révélé que, si la plupart des collaborateurs d’une entreprise comprennent la raison d’être des politiques de sécurité de leur organisation, beaucoup sont prêts à les contourner pour accomplir leurs tâches. C’était toujours vrai en 2022, lorsque le magazine Harvard Business Review a constaté que 67 % des collaborateurs enfreignent délibérément la politique de sécurité de leur entreprise, le plus souvent pour des raisons de productivité (pour 85 % d’entre eux).
Et si les utilisateurs ne respectent pas les bonnes pratiques de sécurité dans le cadre de leur travail, quelle probabilité ont-ils de le faire dans la sphère privée, lorsque les enjeux sont apparemment moindres et qu’il n’y personne pour faire respecter les règles ?
C’est ce qui explique en fin de compte pourquoi la commodité et la simplicité d’utilisation sont tellement importantes pour les professionnels InfoSec. Si un collaborateur doit achever un projet dans des délais très serrés, faire une entorse au règlement de sécurité peut sembler un risque acceptable. Du point de vue psychologique, ses besoins immédiats priment sur la nécessité de protéger l’entreprise.
Et dans le cas des applications et services orientés clients que nous utilisons dans notre vie privée, il est probable que nous ne percevons pas le risque associé comme suffisamment important pour respecter à la lettre les bonnes pratiques en matière de mots de passe. Il est facile de se laisser aller à un faux sentiment de sécurité en se convaincant d’être une « cible trop petite » pour intéresser les acteurs malveillants, mais tous les vétérans de la sécurité savent combien il est important de rester vigilant en toutes circonstances.
Mettre en place des règles strictes, organiser régulièrement des formations de qualité et instaurer une culture de la sécurité ne suffisent pas. Il faut dissuader les utilisateurs de prendre des raccourcis susceptibles de mettre en péril l’entreprise.
Il est clair que les passkeys ne règlent qu’une partie du problème. Mais l’identité joue un rôle central dans la structure d’une organisation, surtout compte tenu de la généralisation du télétravail et du travail hybride qui a suivi la pandémie et de la dépendance croissante vis-à-vis des technologies numériques (qui augmentent la surface d’attaque), dans la sphère privée comme dans l’environnement de travail. Il semble donc logique de se concentrer sur la question.
Il ne sera pas difficile de remporter l’adhésion des consommateurs en ce qui concerne l’adoption des passkeys. D’une part, elles éliminent la nécessité (mais aussi la possibilité) de passer outre les bonnes pratiques en matière de mots de passe. D’autre part, les utilisateurs ne seront plus confrontés à la complexité (et à la charge cognitive) de la gestion des identifiants pour un nombre incalculable d’applications, de sites web et de services utilisés au quotidien. Enfin, les passkeys contribuent à éliminer le risque d’erreur humaine qui, d’après Tessian et l’Université de Stanford, représente 85 % de toutes les brèches de sécurité.
J’ai la conviction que les personnes, au lieu d’être considérées comme un maillon faible de la chaîne de sécurité, peuvent au contraire représenter la meilleure défense d’une organisation contre les dangers du monde numérique et connecté. Le problème tient à ce qu’elles ne disposaient pas jusqu’à présent des outils nécessaires pour se protéger correctement, et pour protéger l’entreprise qu’ils représentent.
Qu'en est-il des clés d'identification dans l'entreprise",
Les clés d'identification représentent un grand pas en avant dans l'authentification des consommateurs en ligne, mais certains RSSI se montrent prudents quant à leur utilisation dans l'entreprise pour les besoins d'identification des employés. Et tout se résume au contrôle des politiques.
L’un des principaux avantages des passkeys pour les consommateurs est qu’ils peuvent être synchronisés sur plusieurs appareils dans le même écosystème. Bien que cela soit pratique pour les consommateurs, c’est une préoccupation pour une entreprise dont les besoins en matière de sécurité et de conformité exigent que les informations d’identification soient liées à un seul appareil.
Actuellement, certaines plateformes ne permettent pas aux entreprises d'imposer la création d'une clé d'identification liée à un appareil, ce qui limite leur utilisation dans un environnement d'entreprise. Les appareils personnels partagés et les clés d'identification synchronisées pourraient signifier que des identifiants d'entreprise sont partagés avec des personnes ne faisant pas partie de l'entreprise. Sans parler de la nécessité de tenir compte des différentes postures de sécurité des appareils gérés, non gérés, existants et nouveaux.
C'est un espace en évolution et il est encore très nouveau. Mais il existe des moyens d'utiliser efficacement les clés d'identification dans votre organisation aujourd'hui, en particulier pour les cas d'utilisation à faible niveau d'assurance de sécurité. Je suis convaincu qu'en tant qu'industrie, nous aurons plus de réponses sur l'utilisation des clés d'identification dans un contexte de personnel dans un avenir proche. Pour l’instant, vous devez évaluer l’utilisation des passkeys en fonction des besoins spécifiques de votre organisation en matière de sécurité, de conformité et de réglementation.
Je manquerais à mon devoir si je ne mentionnais pas que Okta FastPass (que j’utilise quotidiennement) est une solution d’entreprise idéale conçue pour être résistante au phishing, liée à l’appareil, pratique et sensible au contexte de l’appareil. Nous sommes passés à 100 % sans mot de passe ici chez Okta et nous partageons activement notre expérience pour aider davantage d’organisations à éliminer également les mots de passe.
Comme meilleure pratique, les entreprises devraient améliorer leurs contrôles de sécurité d’accès (par exemple, 2FA héritée ou MFA résistante au phishing) avec des contrôles d’assurance des appareils pour atteindre les résultats souhaités. Okta FastPass les y amène également en combinant une authentification résistante au phishing avec le contexte de l'appareil.
Un avenir sans mot de passe à l’horizon
J’espère qu’un jour, les mots de passe ne seront plus qu’un lointain souvenir. Pendant un temps, ils ont bien rempli leur fonction, mais comme toutes les technologies obsolètes, ils seront remplacés par une solution plus performante. Je suis convaincue que les passkeys font partie de cette solution.
Toutefois, restons réalistes : la transition vers les passkeys ne se fera pas du jour au lendemain. Même s’il serait inexact de les qualifier de technologie d’avant-garde compte tenu du taux d’adoption rapide par le secteur, elles n’ont pas encore atteint une masse critique.
L’adoption des passkeys sera un processus graduel qui interviendra au cours de la prochaine décennie, voire à plus long terme. Cela étant, il est temps, pour les entreprises, de commencer à s’y intéresser et à adopter les passkeys car tout le travail de fond a déjà été fait.
Google, Microsoft et Apple prennent tous en charge les passkeys dans leurs derniers systèmes d’exploitation mobiles et de bureau. Un nombre croissant d’applications grand public et professionnelles ont implémenté la prise en charge des passkeys, telles que PayPal, eBay, CloudFlare, Dashlane, GoDaddy, etc. Chaque mois voit augmenter le taux d’adoption et nous rapproche d’une acceptation généralisée.
Premiers pas avec les passkeys
La mise en œuvre des passkeys dans vos propres applications est également une perspective tout à fait réalisable. Okta Customer Identity Cloud (propulsé par Auth0) vous permet de mettre en œuvre des clés d'identification en quelques jours, et il peut parfaitement coexister avec d'autres méthodes d'authentification pendant que vos clients ou utilisateurs effectuent la transition.
Les passkeys mèneront finalement à un monde numérique plus sûr et plus utilisable. C’est une perspective passionnante. Bien que la transition prenne du temps, il convient de rappeler qu’à mesure que chaque application ou fournisseur introduit la prise en charge de la technologie, la sécurité de votre organisation s’améliore en conséquence. Et vous avez accompli cela d’une manière facile à adopter pour vos clients et vos collègues. Pour en savoir plus sur les passkeys, téléchargez notre livre blanc.
