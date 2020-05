En cette journée du 7 mai 2020 est célébrée la journée mondiale du mot de passe. Et si c’était la dernière ? Il faudrait alors imaginer un monde où les utilisateurs n’auraient plus besoin de définir ou de réinitialiser à maintes reprises plusieurs mots de passe, par nécessité dans le cadre d’une politique de sécurité ou simplement à cause d’un oubli. Difficile pour certains peut-être. Pourtant, les mots de passe sont connus comme le maillon faible de la sécurité, que ce soit pour les particuliers ou les professionnels.

Si Gartner prévoit que la plupart des organisations mettront en place des méthodes sans mot de passe dans plus de 50 % des cas d’utilisation d’ici 2022, un long chemin reste toutefois à parcourir. Les pratiques risquées en matière de mots de passe et d’authentification sont en effet monnaie courante dans la vie professionnelle et personnelle.

Aujourd’hui, les entreprises cherchent des moyens de tirer parti de la digitalisation et de l’usage massif des smartphones afin de fournir des produits et des services améliorés plus rapidement et plus efficacement. Toutefois, les organisations qui poursuivent des plans ambitieux de rationalisation des parcours clients et collaborateurs se trouvent confrontés à des enjeux liés à la protection de leurs ressources. Des technologies et des contrôles de sécurité sont mis en place pour protéger l’entreprise, mais ces mêmes contrôles peuvent frustrer les individus, notamment lorsqu’il est question de mot de passe.

Les utilisateurs se lassent de créer de nouveaux mots de passe pour différents services et de devoir changer de combinaisons régulièrement, selon les impératifs des politiques de sécurité. Pour réduire la mémorisation, nombreux sont ceux qui finissent par se fier à des mots de passe simplistes, faciles à déchiffrer ou à réutiliser sur plusieurs sites. Selon notre dernière étude, 39 % des particuliers et 48 % des professionnels de l’IT en France définissent le même mot de passe pour plusieurs comptes. Dès lors, il suffit d’une combinaison découverte pour prendre le contrôle de plusieurs comptes.

Le phishing continue par ailleurs d’être un problème de sécurité massif, car les techniques d’attaque ne cessent d’évoluer. Les faux emails parfaitement imités invitent les utilisateurs à saisir leurs identifiants afin de récupérer ces derniers, puis de prendre le contrôle des comptes et d’accéder aux données personnelles. Ainsi, même les mots de passe les plus complexes ne suffisent plus à empêcher les hackers de s’infiltrer.

En outre, lorsque des cybercriminels s’introduisent dans une entreprise et volent des identifiants, ils accèdent non seulement aux comptes de cette organisation, mais aussi à ceux d’autres entités pour lesquelles les utilisateurs ont défini la même combinaison “nom/mot de passe”. Des milliards d’identifiants volés sont aujourd’hui disponibles à la vente sur le Dark Web et les cybercriminels lancent maintenant des tentatives de connexion automatisées avec ce trésor de mots de passe volés.

La recrudescence des cyberattaques et leur sophistication soulignent le besoin urgent de disposer de couches supplémentaires d’outils d’authentification. Mais pour réussir, ils doivent aussi être pratiques. Une authentification multi-facteurs, résistante au phishing doit être envisagée, c’est à dire dotée d’un niveau de sécurité plus élevé que ceux fournis par les mots de passe à usage unique (OTP), même s’ils sont combinés avec l’usage d’un téléphone mobile. La transition que doivent opérer les entreprises pour moderniser leurs solutions d’authentification et tendre vers un monde sans mot de passe est aujourd’hui possible, facilitée par des dispositifs compatibles avec les protocoles modernes et aboutis tels que FIDO2 ou WebAuthn ; deux standards qui permettent une authentification sans mots de passe via la biométrie, un terminal mobile ou encore des clés de sécurité, assurant un niveau de sécurité maximal.

Tant que les services informatiques des entreprises devront s’appuyer sur des mots de passe pour l’authentification, les exigences en matière d’assistance seront coûteuses. Sans compter sur une sécurité insuffisante et des expériences frustrantes pour les clients qui sont inévitables. Mots de passe oubliés et volés dégradent leur niveau de satisfaction, réduisent la fidélité à la marque et contribuent à la perte de revenus. Il est donc temps que les entreprises mesurent l’intérêt de s’affranchir des mots de passe et prennent conscience de la nécessité d’abandonner leurs méthodes d’authentification traditionnelles qui ne sont plus adaptées aux menaces et aux technologies actuelles, qui ont évolué de façon significative au cours de la dernière décennie.

___________________

Par Laurent Nezot, Sales Director France chez Yubico