Êtes-vous un retardataire sans mot de passe ?

Alors que les attentes en matière de sécurité et de convivialité augmentent, de nombreuses équipes de sécurité informatique se trouvent à la croisée des chemins : décider d’une stratégie pour tirer parti des technologies sans mot de passe au sein de leur organisation, à la fois au sein de leurs consommateurs et pour sécuriser leur engagement auprès de ceux-ci. Presque toutes les organisations disposent d’une infrastructure d’authentification multifactorielle, mais la mise en œuvre actuelle est-elle adaptée à chaque situation ? Existe-t-il d’autres options d’authentification qui augmentent l’efficacité et la convivialité ? Lorsque les équipes de sécurité informatique évaluent leurs options, elles sont souvent confrontées à ces types de problèmes :

• Assurer la sécurité pendant la transition
• Maintenir l’expérience utilisateur et l’accessibilité
• Gestion de l’intégration avec les systèmes existants
• Répondre aux exigences de conformité et réglementaires
• Frais d’équilibrage

Étant donné que ces objectifs et ces défis sont équilibrés, l’examen des tendances du marché peut fournir des informations utiles. C’est pourquoi OpenText^tm a sponsorisé une enquête Dark Reading composée de 140 professionnels de l’informatique et de la cybersécurité. Dans cette enquête, Dark Reading a pu recruter un large éventail de professionnels de la cybersécurité et de l’informatique, notamment des rôles de CIO/CTO ou de VP (18 %), des rôles de CSO/CISO (6 %), des directeurs et responsables de la cybersécurité (19 %), des responsables informatiques. ou personnel de cybersécurité (9 %), personnel de cybersécurité (17 %) et autres rôles informatiques et d’ingénierie (29 %).

Le côté sécurité du sans mot de passe

Sans surprise, Dark Reading confirme que les équipes de cybersécurité comprennent que les informations d’identification sont un élément majeur de leur profil de vulnérabilité. L’enquête montre que 90 % d’entre eux sont préoccupés par les diplômes traditionnels, et même la moitié d’entre eux travaillaient pour une organisation qui a été victimisée. Dans l’ensemble, huit personnes interrogées sur dix ont découvert des attaques émanant de tiers, et celles-ci s’appuient sur les faiblesses des informations d’identification traditionnelles. Les deux principaux problèmes de vulnérabilité concernaient les attaques de phishing et les informations d’identification volées.

La valeur commerciale du contrôle des risques

Les personnes interrogées ont confirmé qu’à plusieurs niveaux, elles voient des forces centrées sur l’entreprise entrer en jeu lors de l’adoption de technologies sans mot de passe dans leur environnement. Fondamentalement, une vérification d’identité renforcée est un élément fondamental de la gestion des risques d’une entreprise axée sur le numérique. Les organisations sont en mesure de permettre des interactions plus efficaces et plus puissantes lorsqu’elles peuvent s’appuyer sur une vérification d’identité solide. Ces nouveaux modèles commerciaux affectent non seulement la manière dont ils peuvent étendre les capacités de leurs employés internes, mais également la manière dont ils peuvent s’engager et interagir avec leurs consommateurs à un niveau plus élevé, à mesure que davantage de types d’informations numériques peuvent être partagés. Les organisations peuvent avoir tout autant confiance en leur identité revendiquée lorsque les services sont consommés à distance que pour les engagements sur site.

Le côté commercial du sans mot de passe

« L’expérience utilisateur améliorée » était un autre élément important expliquant pourquoi les intervenants considéraient l’authentification sans mot de passe comme une avancée importante. En fait, ce conducteur est arrivé deuxième pour « sécurité améliorée ». Les équipes informatiques envisagent généralement des approches sans mot de passe, car elles peuvent améliorer la sécurité en réduisant les risques associés aux mots de passe faibles ou volés, aux attaques de phishing et à la réutilisation des mots de passe. Dans l’ensemble, s’il est bien fait en termes de mise en œuvre et d’adéquation aux cas d’utilisation, le système sans mot de passe résout les défauts les plus flagrants des informations d’identification traditionnelles :

• Pas de mémorisation – toute personne ayant une présence en ligne reconnaît déjà cette réalité frustrante de mémoriser des mots de passe, particulièrement les plus forts. Il ne faut pas longtemps avant que les gens aient recours à une mauvaise hygiène des informations d’identification pour gérer les nombreux services en ligne qu’ils consomment. Les mauvaises pratiques telles que le partage d’informations d’identification sur plusieurs comptes et l’utilisation de mots de passe faibles ou devinables.
• Connexions simplifiées : au-delà de la complexité de la gestion des noms d’utilisateur et des mots de passe traditionnels, la simplicité d’une expérience d’authentification rapide provenant d’une empreinte digitale, d’une reconnaissance faciale ou même d’une application d’authentification constitue un contraste saisissant. L’expérience est rapide et à faible friction.
• Erreurs réduites : oui, la saisie des informations d’identification peut être laborieuse, mais les erreurs de saisie sont pires. « Est-ce que j’ai gros doigt sur mon mot de passe ou est-ce le mauvais » ? Des informations d’identification mal saisies bloquent l’accès et l’engagement et sont évidemment néfastes pour les entreprises, tant en interne qu’en contact avec les consommateurs. C’est déjà assez grave de retarder un processus commercial, mais une expérience frustrante peut pousser les clients vers des concurrents. En termes de rapidité et de convivialité, s’il est bien fait, le sans mot de passe peut changer la donne.

Même si je ne suis pas sûr de la véracité de cette affirmation, un résultat inattendu de l’enquête me semble être la perception que l’absence de mot de passe entraîne une diminution de la charge informatique ; il arrive en troisième position derrière l’amélioration de la sécurité et de l’expérience utilisateur. Les appels au support technique pour gérer les verrouillages de compte et les problèmes de réinitialisation de mot de passe dépassent-ils le coût de l’inscription et de l’administration sans mot de passe ? Il semble que la majorité du personnel informatique et de sécurité pense que c’est le cas.

En réunissant à la fois l’aspect favorable aux affaires et le potentiel d’économie des technologies sans mot de passe, un tiers des personnes interrogées ont évalué leur effet cumulatif sur les résultats financiers en l’évaluant comme un impact « important » ou « très important ». Un autre tiers a sélectionné un impact mineur. Cela représente les deux tiers des professionnels de l’informatique et de la sécurité qui estiment que l’adoption de technologies sans mot de passe est bénéfique pour leur entreprise.

Si vous êtes intéressé par le rapport de Dark Reading, regarde-le ici. Il offre des perspectives intéressantes.