twobee - Fotolia
L’authentification multifacteurs nécessite un équilibre délicat
Les DSI sont confrontées à une situation délicate lorsqu’il s’agit de mettre en place une authentification à facteurs multiples. Les utilisateurs n’apprécient généralement pas la multiplication des couches de sécurité.
Les DSI qui utilisent des systèmes d’authentification à facteurs multiples doivent jongler entre les besoins de sécurité des données de l’entreprise, et une expérience utilisateur simple. De fait, les utilisateurs n’aiment avoir à franchir plusieurs étapes pour accéder à leur travail. Les organisations répondent à ce défi en essayant de trouver un moyen terme, par le biais de technologies telles que le SSO, l’ouverture de session unique.
« L’authentification à facteurs multiples est un impératif, mais il n’y a pas de solution rapide », explique Chris Hoover, directeur technique de PossibleNow, un prestataire de services informatiques : « ce que l’on peut faire, c’est utiliser le SSO pour que les utilisateurs n’aient à s’authentifier qu’une fois avoir d’avoir accès à tout leur environnement de travail ».
Donner accès
PossibleNow utilise l’authentification à facteurs multiples pour tous ses documents et applications Office 365. Avec le SSO, les utilisateurs n’ont pas à s’authentifier pour chaque application ou document. Mais la clé, pour Hoover, est de s’assurer que la seconde couche d’authentification soit aussi simple que possible : une fois qu’il a saisi son nom d’utilisateur et leur mot de passe, l’utilisateur n’a qu’à appuyer sur sa carte à puce d’entreprise pour confirmer son identité et gagner accès à son environnement.
D’autres entreprises prennent une approche comparable. Une entreprise services financiers du Midwest, par exemple, utilise Duo Security : lorsque l’utilisateur cherche à accéder à une application métier, il indique son nom d’utilisateur et son mot de passe. Il reçoit alors une notification de l’application Duo sur son smartphone, qui demande d’accepter la demande ou de la rejeter. Après cela, le service utilise le SSO pour donner accès à toutes les applications sans nouvelle authentification.
Eric Szurgot, ingénieur en chef chargé de la gestion des identités dans cette entreprise, explique avoir retenu « une approche centrée sur l’utilisateur ».
L’autre solution peut être de ne demander des facteurs supplémentaires d’authentification que pour les applications ou les documents donnant accès à des données sensibles. L’utilisateur peut ainsi mieux comprendre et accepter de devoir passer au travers de filtres de sécurité renforcés pour accéder à des contenus critiques.
Un DSI d’Atlanta, chargé de la stratégie de gestion des identités de son entreprise, explique ainsi que cette dernière base les exigences d’authentification sur le niveau de risque associé à l’utilisateur et aux données. Dès lors, l’authentification à facteurs multiples n’est pas systématiquement requise : « si un employé manipule d’importants volumes de données critiques, nous demandons l’authentification à facteurs multiples. Sinon, autant donner un accès simple ».
Quelle approche choisir ?
Certaines organisations sont toutefois plus strictes que d’autres, notamment en raison de contraintes réglementaires, et place dès lors la sécurité avant l’expérience utilisateur lorsqu’il s’agit de penser authentification à facteurs multiples.
Easterseals Bay Area, prestataire de services de santé, doit ainsi recourir à l’authentification à facteurs multiples pour toutes les données médicales et les dossiers patients. Pour renforcer la sécurité, l’organisation empêche ses personnels d’utiliser des terminaux personnels dans le cadre de leurs fonctions. Les employés reçoivent un smartphone propriété de l’organisation qu’ils doivent utiliser pour leur travail, alors même qu’ils préfèrent plutôt employer des appareils personnels.
La protection des données implique en fait toujours de trouver un équilibre délicat en sécurité forte et confort des utilisateurs, relève Jack Gold, fondateur du cabinet d’analystes J. Gold Associates. Car si une mesure de sécurité s’avère trop contraignante, les utilisateurs vont chercher à la contourner. Dès lors, il est important d’informer les utilisateurs des raisons pour lesquelles des contrôles supplémentaires sont ajoutés, et ce qui risque de se produire s’ils ne sont pas respectés.
Pour Gold, « l’éducation et la formation des utilisateurs est souvent négligée dans la plupart des entreprises, mais c’est un ingrédient clé de toute politique de sécurité. Il faut mettre les utilisateurs de son côté. La DSI doit également prévoir un mécanisme de collecte de réactions afin que les utilisateurs puissent faire entendre leur voix sur ce qui fonctionne et sur ce qui est trop lourd. Afin d’apporter les corrections nécessaires ».