Au cours de la décennie 2010, les failles informatiques ont mis à mal bien des entreprises et des industries. Les équipes IT ont dû s’adapter aux nouvelles pratiques des salariés et à des menaces toujours plus importantes.
Bien sûr, les causes des cyberattaques sont nombreuses mais l’une des plus importantes reste notamment les mauvaises habitudes liées aux mots de passe (réutilisés, trop simples et inchangés pendant des années…).
Car oui, les mots de passe représentent une porte d’entrée pour de très nombreuses failles informatiques. Et finalement presque rien n’a été fait pour changer les pratiques des utilisateurs.
Aujourd’hui, des bases de données existent et rassemblent des millions de mots de passes piratés à travers le monde et revendus à grande échelle. A cela s’ajoute le manque de processus de gouvernances cohérents et complets sur la gestion du cycle de vie des identités, et qui permettrait de créer des règles plus simples.
Pour la décennie 2020 qui vient de s’ouvrir, les défis sont grands et faire la promotion de l’identification multifactorielle devrait être l’une des priorités pour que les entreprises soient mieux armées digitalement.
Des changements sans précédents dans les 10 années à venir
Au cours des deux prochaines années, l’identification sans mots de passe devrait prendre de l’ampleur, notamment avec l’émergence de technologies d’authentification comme le FIDO lancé en 2013. Cela permettra de faciliter la vie des consommateurs, mais également des entreprises et de leurs salariés qui n’auront plus à retenir un mot de passe complexe pour chaque compte.
D’autres alternatives existent également comme le SSO (single sign-on) et qui permet aux utilisateurs de définir un mot de passe unique et ensuite de s’identifier sans avoir à le saisir à nouveau.
Au cours des années à venir, les technologies de biométrie vont continuer à se démocratiser. Il est désormais possible de s’identifier grâce aux empreintes digitales mais des techniques plus avancées vont faire leur apparition, comme la reconnaissance de l’iris. A mesure que ces technologies vont se déployer, les règles de sécurité vont, in fine, se renforcer puisqu’elles s’axeront sur des capteurs et des critères plus nombreux et de meilleure qualité (balayage de l’iris, posture du corps etc…).
Bien évidemment, tout cela ne se fera pas sans conséquences puisque des voix s’élèveront pour réguler ces pratiques, au nom de la protection de la vie privée et de l’impact des dangers liés à la centralisation des informations de ces identificateurs biométriques.
Cependant, nous verrons que les méthodes plus avancées de machine learning vont permettre de mieux contextualiser l’authentification pour l’améliorer. Cela nécessitera, bien évidemment, un travail de mise en place et de back office à la pointe pour définir les contours de ces paramètres d’identification, afin notamment d’identifier les comportements à la perfection.
Comment les technologies de biométrie vont-elles être utilisées ?
Il n’est de surprise pour personne que la biométrie représente l’avenir dans bien des domaines, et la cybersécurité en fait partie. A force de démocratisation, sa gestion se fera de plus en plus via des appareils utilisés par les utilisateurs finaux.
Ces données biométriques stockées localement sur le smartphone d’un utilisateur par exemple sont l’assurance d’une meilleure sécurité et l’élimination de bien des risques d’atteintes à la vie privée. La raison est simple : les données biométriques facilitent l’authentification des personnes avec des dispositifs qui sont uniquement en leur possession et qui ne posent pas de risque supplémentaire pour la sécurité car ces informations ne sont pas en ligne et ne quittent jamais le système détenu par l’utilisateur final.
Grâce à cette sécurité accrue, les bases de données biométriques centralisées continueront d’être plébiscitées, et également à certains niveaux par les gouvernements.
Bien sûr, des pans entiers de la société les rejetteront par crainte. Et il est toujours sain de se méfier de certaines technologies trop prometteuses car cela permet de les réguler pour avoir une utilisation plus déontologique.
Concernant la biométrie, il va falloir rester attentif quant aux bases de données géantes uniques qui ne sont pas des modèles à plébisciter. Un trop grand nombre de renseignements personnels détenus en une seule base peut conduire à des abus. Bien des voix de citoyens en Europe et aux États-Unis se font déjà entendre à ce sujet pour s’opposer à la mise en place de bases de données centralisées.
Car même si la biométrie promet de renforcer la sécurité, elle n’est pas à l’abri d’une faille informatique. Le pire à craindre étant l’ampleur que cela prendrait si des règles strictes et fiables ne sont pas adoptées. Bien évidemment, éduquer les utilisateurs sera primordial puisqu’ils sont en premier lieu détenteur de leurs données. Ils auront aussi leur rôle à jouer pour ne pas partager leurs propres informations personnelles à tout va.
L’importance que prendra les réglementations pour la protection de la vie privée
L’une des pratiques les plus décriées et pourtant très répandue consiste à créer des comptes en se connectant via la synchronisation d’informations avec l’un des réseaux sociaux sur lequel un utilisateur est inscrit. Mais il sera intéressant de voir comment les pressions vont croître à l’encontre de bien des entreprises technologiques pour protéger avec plus de fermeté les données privées de leurs utilisateurs. Bon nombre de ces grandes entreprises présentes en ligne ont entaché leur réputation à force de scandales sur la gestion des données personnelles de leurs utilisateurs, engendrant une perte de confiance et une méfiance de la part des consommateurs.
Les réglementations pour protéger la vie privée continueront à se développer sur le modèle du RGPD, et les entreprises incluront ces critères dans l’ensemble de leurs stratégies en matière de sécurité.
L’impact mondial du règlement général sur la protection des données va s’accroître. L’adoption exponentielle de l’authentification multifactorielle (AMF) est d’ailleurs un exemple concret de la puissance du règlement adopté par l’Union Européenne.
______________________________________
Par Gerald Beuchelt, Chief Information Security Officer, LogMeIn