De toute évidence, les mots de passe seuls ne suffisent pas à protéger les actifs, les réseaux, les applications et les données de l'entreprise. Selon les analystes de Verizon, en 2017, 81% des fuites de données dans le monde étaient dues à une mauvaise utilisation des informations d'identification, à des mots de passe volés ou faibles. Le nombre de fuites ainsi que les coûts des entreprises et les conséquences de ces violations augmentent chaque année. Afin d'atténuer ces risques, l'entreprise ne doit en aucun cas oublier d'assurer la sécurité de ses données.
L'authentification multifactorielle est toujours un élément indispensable dans l'environnement numérique d'aujourd'hui. Le taux de croissance annuel total du marché des jetons matériels est de 8%. L'authentification contribue à accroître la sécurité en combinant un ou plusieurs «facteurs», en aidant à identifier la personne demandant l'accès et à vérifier qu'elle est exactement ce qu'elle prétend être. Ces facteurs comprennent ce que vous avez (une carte à puce ou un identifiant mobile stocké sur un smartphone ou un autre appareil); ce que vous savez (par exemple, PIN) et quelque chose que vous êtes (données biométriques).
Un nombre croissant d'entreprises s'efforcent d'assurer la conformité réglementaire et une authentification forte avec un journal des événements devient une exigence assez urgente. Deux exemples frappants sont les règles de l'Union européenne concernant la directive de paiement PSD2 pour les institutions financières et les exigences de confidentialité du Règlement général sur la protection des données (RGPD) pour les citoyens. Cependant, ces exigences s'appliquent non seulement aux entreprises de l'UE, mais également à de nombreuses organisations d'autres parties du monde. La plupart des entreprises seront affectées par le RGPD, ainsi que par les initiatives gouvernementales dans leurs pays, comme HIPAA pour les soins de santé américains.
L'une des méthodes fiables pour déployer l'authentification multifacteur pour les employés est l'utilisation d'un jeton matériel. Il s'agit souvent d'un petit appareil portable qui calcule une séquence de chiffres valides pour une période de temps limitée et utilisé comme mot de passe à usage unique (OTP). L'utilisateur entre ce code (quelque chose qu'il a) plus un code PIN (quelque chose qu'il sait) pour confirmer son identité pour y accéder. En fait, cette valeur est comparée à la valeur calculée sur la plate-forme d'authentification du serveur interne en utilisant les mêmes techniques et données sources, y compris les compteurs d'heure et d'événements, les clés d'authentification et les algorithmes. Si l'OTP correspond à la valeur reçue, l'utilisateur y accède et cet événement est enregistré dans le journal d'audit de la plateforme.
Les jetons matériels existent depuis plus d'une décennie et sont toujours populaires auprès de nombreuses organisations. Les employés savent comment les utiliser et les jetons eux-mêmes n'échouent pas longtemps. De plus, les jetons ont déjà dépassé le facteur de forme standard sous la forme d'un porte-clés. Aujourd'hui, il existe des appareils qui tiennent dans un portefeuille. Ils sont suffisamment durables pour fonctionner et même les personnes malvoyantes peuvent les utiliser.
Le champ d'application des jetons matériels peut être complètement différent:
- Authentification pour l'accès aux travaux, aux applications cloud, l'accès à distance aux ressources;
- Effectuer des transactions financières, mettre à jour les données, exécuter les ordres;
- Cryptage des signatures, disques durs, e-mails, etc.
Toutes les exigences d'authentification ne sont pas les mêmes pour les entreprises, et de nombreuses organisations recherchent un «compromis» entre différents types d'authentificateurs. Pour la commodité des entreprises, il existe aujourd'hui de nombreux types de jetons différents sur le marché. Parmi eux:
- Générateurs de mots de passe à usage unique. Les jetons OTP génèrent un mot de passe aléatoire qui ne peut pas être réutilisé. L'utilisation de ces appareils peut faire partie d'une stratégie de conformité PSD2 et GDPR.
- Jetons BlueTooth. Ces appareils envoient un code sécurisé unique via Bluetooth et NFC, pour une facilité d'utilisation et de sécurité. Aide à répondre aux exigences PSD2, GDPR et FIPS 140.
- Jetons USB intelligents. Ils prennent en charge toutes les fonctions d'une carte à puce basée sur une infrastructure à clé publique (PKI), sans avoir besoin d'utiliser des lecteurs de carte. Assurez la conformité avec FIPS 140.
Les appareils modernes proposés sur le marché présentent également un certain nombre d'avantages:
- La sécurité Les appareils sont autonomes et résistants à la rupture, ils prennent en charge plusieurs variantes de normes de sécurité, telles que 3DES, OATH et FIDO.
- Souplesse. Aujourd'hui, il existe de nombreux facteurs de forme symbolique. Ils sont pratiques à utiliser (d'un simple clic de souris) et leur durée de vie est assez longue.
- La complexité En règle générale, un écosystème complet de jetons est fourni avec l'infrastructure pour fournir un support efficace.
- Conformité aux exigences. De nombreuses organisations à travers le monde nécessitent une authentification forte pour fournir un accès sécurisé et protéger les informations sensibles. L'utilisation de jetons matériels contribuera à garantir la conformité aux exigences réglementaires complexes.
Dans l'environnement dynamique d'aujourd'hui, afin de faire confiance aux utilisateurs présentant leurs données personnelles et de gérer efficacement l'accès aux ressources, une solution complète d'identification personnelle est nécessaire, dont la base est une authentification forte. L'introduction de telles solutions augmentera la fiabilité de l'identification des utilisateurs et fournira une protection efficace pour l'entreprise contre les menaces actuelles et futures.
Olivier Firion, Directeur Marketing Solution Globale, IAM Solutions HID Global