Page d'accueil d'OpenText.
Sujets techniques

Qu'est-ce que l'authentification multifactorielle ?

Illustration d'articles informatiques, mettant en vedette une ampoule.

Aperçu

Lorsque vous accédez à une ressource protégée, vous vous authentifiez auprès d'un système de stockage de données à l'aide de vos informations d'identification. Elle est composée d'une identité revendiquée et d'un secret qui y est associé. Traditionnellement, cela se faisait simplement avec un nom d'utilisateur et un mot de passe, ce qui reste la méthode d'authentification la plus courante aujourd'hui. Malheureusement, l'authentification par nom d'utilisateur/mot de passe s'est avérée très vulnérable à l'hameçonnage et au piratage d'identifiants. Comme les mots de passe sont souvent difficiles à mémoriser, les gens ont tendance à en choisir un simple et à le réutiliser pour leurs différents services en ligne et cloud. Cela signifie que lorsqu'un identifiant est piraté sur un service, des personnes malveillantes le testent sur d'autres services numériques personnels et professionnels. 

L'authentification multifactorielle (MFA) est conçue pour protéger contre ces menaces et d'autres types de menaces en exigeant que l'utilisateur fournisse deux méthodes de vérification ou plus avant de pouvoir accéder à une ressource spécifique comme une application, un stockage de données ou un réseau privé.

Le terme « facteur » désigne les différents types ou méthodes d'authentification utilisés pour vérifier l'identité déclarée d'une personne. Les différentes méthodes sont :

  • Quelque chose que vous connaissez , comme un mot de passe, un NIP mémorisé ou des questions de sécurité
  • Un objet que vous possédez— bien qu'historiquement il s'agisse d'un objet physique, il s'agit plus couramment d'un téléphone intelligent ou d'une clé USB sécurisée.
  • Un élément de votre identité— les méthodes biométriques courantes sont la reconnaissance des empreintes digitales ou du visage ; les méthodes biométriques moins courantes sont comme la reconnaissance vocale ou d'autres technologies de reconnaissance.

Authentification multifactorielle

Comment déterminer le nombre de facteurs à configurer pour une ressource protégée ?

Les exigences de sécurité et d'ergonomie dictent le processus utilisé pour confirmer l'identité du demandeur. L'authentification multifactorielle permet aux équipes de sécurité de répondre au contexte ou à la situation du demandeur (personne ou processus informatique), la suppression de l'accès étant le scénario le plus courant. Au-delà de la détermination du nombre de types d'authentification requis, le service informatique doit également trouver un équilibre entre le coût des exigences d'utilisation et le coût de leur mise en œuvre.

Authentification à facteur unique (SFA)

L'authentification forte du client (SFA) a été et demeure la solution par défaut pour sécuriser l'accès aux informations et installations mobiles, en ligne et autres informations et installations sécurisées. En raison de sa large diffusion et de son faible coût, le type d'authentification forte le plus courant est celui basé sur un nom d'utilisateur et un mot de passe. Néanmoins, les technologies sans mot de passe sont adoptées à un rythme croissant pour éviter les menaces posées par diverses attaques de phishing. Par exemple, la majorité des applications mobiles permettent l'utilisation de la reconnaissance d'empreintes digitales ou faciale au lieu du traditionnel nom d'utilisateur et mot de passe.

Les options sans mot de passe (par exemple, FIDO2 et les clés d'accès) sont actuellement disponibles auprès de tous les principaux fournisseurs de plateformes, notamment Microsoft, Apple et Google.

Les jetons d'authentification, utilisés pour vérifier les identités, doivent être protégés contre les personnes extérieures. Outre une sécurité accrue des jetons, ils sont souvent configurés pour expirer assez fréquemment, augmentant ainsi leur taux de renouvellement. Bien que l'utilisation de jetons éphémères sous l'interface sans mot de passe renforce la sécurité, elle n'atteint pas le niveau offert par l'authentification à deux facteurs.

Les mécanismes modernes sans mot de passe comme les clés d'accès ou WebAuthn ne sont généralement pas classés comme de simples SFA — ce sont des formes d'authentification plus fortes qui combinent souvent plusieurs assurances cryptographiques (quelque chose que vous possédez et parfois quelque chose que vous êtes). L'authentification sans mot de passe peut elle-même constituer une forme d'authentification multifactorielle forte ou d'authentification avancée lorsqu'elle est correctement mise en œuvre.

Authentification à deux facteurs (2FA)

L'authentification à deux facteurs (2FA) renforce la sécurité en exigeant de l'utilisateur qu'il fournisse un deuxième type d'information (savoir, avoir, être) pour la vérification d'identité. L'une des preuves d'identité peut être un jeton physique, comme une carte d'identité, et l'autre quelque chose de mémorisé, comme un défi/réponse, un code de sécurité ou un mot de passe. Un deuxième facteur augmente considérablement la difficulté pour les malfaiteurs et autres acteurs externes de réussir à pénétrer les systèmes de sécurité.

Voici une liste courante des méthodes d'authentification les plus populaires :

  • Mots de passe à usage unique— appareils TOTP, HOTP, YubiKey et autres appareils compatibles FIDO
  • Autres hors bande : appel vocal, notification mobile
  • PKI— certificats
  • Biométrie— empreintes digitales, reconnaissance faciale et vocale
  • Proximité— cartes, géorepérage d'applications mobiles
  • Ce que vous savez— mots de passe, questions de sécurité

Authentification à trois facteurs (3FA)

Cette méthode ajoute un facteur supplémentaire à la vérification à deux facteurs, ce qui rend la falsification d'une identité déclarée encore plus difficile. Un scénario typique pourrait consister à ajouter la biométrie à un système d'identification existant (nom d'utilisateur/mot de passe) ainsi qu'à une connexion par carte de proximité. Étant donné qu'elle ajoute un niveau de friction notable, son utilisation devrait être réservée aux situations exigeant un niveau de sécurité élevé. Les banques pourraient trouver des situations où l'authentification à trois facteurs (3FA) est pertinente, tout comme diverses agences gouvernementales. Certaines zones de contrôle renforcé au sein d'une partie d'un aéroport ou d'un hôpital sont également des zones où les équipes de sécurité ont jugé l'authentification à trois facteurs (3FA) nécessaire. L'authentification à trois facteurs (3FA) est rare et l'authentification multifacteur adaptative (MFA), qui évalue le risque contextuel, est la tendance dominante du secteur.

Où l'authentification multifactorielle est-elle généralement utilisée ?

Bien que de nombreuses organisations considèrent la vérification des utilisateurs comme une simple formalité, il est important de noter que le rapport annuel DBIR de Verizon montre systématiquement que le piratage d'identifiants figure parmi les principales stratégies de violation de données. Ce n'est qu'une question de temps avant que pratiquement toutes les organisations ne subissent un incident entraînant la perte d'informations sensibles, ce qui se traduit par une perte financière tangible et une perte potentielle de confiance de la part des clients.

Ce qui rend ces tendances remarquables, c'est que jamais auparavant l'authentification multifactorielle n'a été aussi simple et abordable à mettre en œuvre qu'aujourd'hui. Traditionnellement, les organisations limitent la mise en œuvre de l'authentification multifactorielle (MFA) à un petit sous-ensemble d'utilisateurs spécialisés qui traitent des informations présentant un niveau de risque plus élevé pour l'entreprise. Le coût et la facilité d'utilisation ont souvent été les facteurs limitatifs empêchant un déploiement plus large des technologies d'authentification forte. Historiquement, les méthodes d'authentification forte étaient coûteuses à l'achat, à déployer (y compris l'inscription des utilisateurs) et à administrer. Mais récemment, un ensemble de changements radicaux s'est produit dans tous les secteurs, au sein même des organisations, chez leurs clients (ou patients, citoyens, partenaires, etc.) et dans les technologies auxquelles ils ont accès.

Quels sont les principaux facteurs commerciaux qui motivent la mise en œuvre de l'authentification multifactorielle ?

Bien que chaque organisation ait ses propres exigences concrètes, il existe des facteurs de motivation commerciaux de haut niveau qui leur sont souvent communs :

  • La plupart des secteurs d'activité doivent se conformer à une loi sur la protection de la vie privée concernant les renseignements relatifs aux clients, aux patients ou aux finances. De plus, les agences gouvernementales continuent de renforcer leurs politiques exigeant l'authentification multifactorielle pour la vérification de l'identité des utilisateurs.
  • Plus que jamais, les professionnels travaillent en dehors du bureau, que ce soit en tant que grands voyageurs ou en tant qu'employés à distance. Ils utilisent l'authentification multifactorielle (MFA) dans le cadre de leurs pratiques de gestion des risques ou dans le cadre d'une initiative de conformité couvrant les informations (clients, patients, citoyens, RH, etc.) soumises aux exigences d'authentification gouvernementales.
  • Les utilisateurs experts et les organisations au sein desquelles ils travaillent évoluent dans un monde hyperconnecté, ce qui signifie que lorsque leurs identifiants sont compromis, la vulnérabilité exposée à leur employeur constitue une force irrésistible pour sécuriser leurs comptes avec l'authentification multifactorielle (MFA).
  • Presque tout le monde a un ordinateur connecté (téléphone intelligent) dans sa poche, à partir duquel il mène sa vie : médias sociaux, contenu personnalisé pour le consommateur et commerce électronique. Parce que les clients s'attendent à interagir numériquement avec les entreprises sur leurs appareils, les organisations adoptent souvent une stratégie d'application mobile agressive qui nécessite l'authentification multifactorielle (MFA) pour gérer leurs risques.

Quelles sont les réglementations qui obligent les organisations à utiliser l'authentification multifactorielle pour se conformer ?

L'authentification multifactorielle est maintenant une exigence de base dans :

  • PCI DSS v4.0— pour tout accès distant aux systèmes traitant les données des titulaires de cartes.
  • HIPAA— pour la sécurisation des renseignements personnels sur la santé et la protection des renseignements personnels (RPS).
  • NIS2 et DORA— exigeant des contrôles d'accès stricts dans les secteurs critiques.
  • Les polices d'assurance cybernétiques exigent généralement l'authentification multifactorielle pour être couvertes.

Comment rendre l'authentification multifactorielle moins intrusive pour l'utilisateur ?

Le service informatique a accès à quelques technologies permettant de réduire les difficultés que l'authentification multifactorielle peut potentiellement engendrer pour les utilisateurs :

  • Authentification unique.
  • Évaluation des risques liés à une demande d'accès.
  • Choisir le type d'authentification qui convient le mieux à l'utilisateur.

Authentification unique (SSO)

L'authentification unique (SSO) permet aux utilisateurs de s'authentifier auprès de plusieurs ressources à partir d'une seule interaction, ce qui signifie que les utilisateurs saisissent une seule information d'identification à partir de laquelle l'infrastructure sous-jacente s'authentifie en leur nom auprès de chacune des ressources protégées au cours de cette session. L'approche la plus sûre en matière d'authentification unique (SSO) consiste à utiliser un ensemble unique d'identifiants pour chaque ressource configurée pour l'authentification unique. Cela permet d'atteindre un niveau de sécurité élevé parce que :
  • L'utilisateur ne connaît pas les identifiants réels de la ressource, mais seulement ceux fournis à la passerelle d'authentification. Cela oblige l'utilisateur à utiliser la passerelle d'authentification plutôt que d'accéder directement à la ressource. Cela signifie également que chaque ressource possède une accréditation unique. Donc, si le système d'identification de l'un d'eux est compromis, ça ne compromet pas les autres. Cette approche permet aux services informatiques de se conformer aux exigences de l'authentification multifactorielle tout en effectuant des authentifications séquentielles aux ressources protégées.
  • En tirant parti du contexte de l'utilisateur, la technologie basée sur les risques (RBA) peut être utilisée pour invoquer l'authentification multifactorielle uniquement lorsque cela est nécessaire. Que ce soit pour se conformer à une directive gouvernementale ou pour appliquer la politique de gestion des risques de l'organisation, l'authentification basée sur les rôles (RBA) peut être utilisée pour réduire le nombre de fois où une demande d'authentification est imposée à un utilisateur. Les politiques combinent généralement le lieu, l'appareil et l'heure d'accès.

Options d'authentification à faible friction

Bien que les mots de passe à usage unique (OTP/TOTP) traditionnels demeurent le type d'authentification à deux facteurs le plus courant, d'autres options peuvent s'avérer plus judicieuses dans certaines situations. Les applications mobiles de notification push hors bande offrent une option simple d'utilisation des mots de passe à usage unique (OTP), car il suffit à l'utilisateur d'appuyer sur le bouton Accepter. Dans les situations à haut risque, certaines applications push peuvent être configurées pour exiger une empreinte digitale afin de vérifier l'identité de la personne, ainsi qu'une confirmation d'informations (comme un numéro affiché sur l'ordinateur) afin de vérifier que l'utilisateur possède bien l'ordinateur et le smartphone.

La reconnaissance faciale s'impose rapidement comme la méthode d'authentification biométrique de choix. La simplicité d'utilisation de Windows Hello, qui s'améliore avec le temps, offre une expérience utilisateur pratique. Le principal problème est que Windows Hello ne fonctionne pas correctement dans différentes conditions d'éclairage. Ce problème de reconnaissance faciale en fonction de l'éclairage peut être résolu par des enregistrements faciaux supplémentaires. Plus récemment, certaines applications mobiles offrent la possibilité d'enregistrer les motifs de l'iris d'une personne dans ses yeux. Utilisées conjointement (reconnaissance faciale, empreintes digitales, iris), les options d'authentification biométrique placent la barre de sécurité très haute pour qu'un intrus puisse la franchir. Les méthodes biométriques constituent également une excellente option pour les organisations qui cherchent un moyen simple de se protéger contre les attaques de phishing.

La reconnaissance vocale a gagné en popularité dans le secteur des services financiers. Les institutions l'apprécient parce qu'il est entièrement passif pour les clients lorsqu'ils s'adressent à un représentant du service client. Le représentant est avisé lorsque l'identité du client a été vérifiée. Ils utilisent la reconnaissance vocale au lieu des questions pièges avec les clients qui ont souvent du mal à se souvenir des réponses correctes. Dans ce cas, la sécurité et la facilité d'utilisation sont optimisées.

FIDO/FIDO2 sont des options intéressantes lorsque les utilisateurs se déplacent entre plusieurs appareils. L'un des points forts de FIDO en tant qu'option d'authentification attrayante réside dans son large soutien des fournisseurs et son orientation vers la facilité d'utilisation. FIDO a connu un succès notable dans les universités qui accueillent un grand nombre d'étudiants utilisant divers services numériques. FIDO permet la portabilité de l'authentification sans mot de passe sur différents appareils et plateformes.

Le profilage des gestes sur téléphone intelligent est une forme d'analyse comportementale qui analyse la manière dont une personne interagit physiquement avec son appareil. Il utilise des heuristiques pour suivre les schémas gestuels et produit des scores de confiance basés sur la cohérence de ces schémas. À mesure que davantage de données sont recueillies, le système gagne en confiance dans la reconnaissance du comportement unique de l'utilisateur, ce qui améliore la précision — ou la fidélité — du profil gestuel. Bien que n'étant pas initialement suffisamment robuste pour servir de méthode principale de vérification d'identité, le profilage gestuel peut constituer un facteur complémentaire utile lorsqu'il est combiné à d'autres méthodes d'authentification.

Comment OpenText vous aide

OpenText ™ Advanced Authentication fait partie de notre portefeuille de solutions de gestion des identités et des accès de niveau entreprise. Il permet un déploiement flexible de l'authentification multifactorielle, notamment :

  • Authentification sans mot de passe et biométrique.
  • Décisions d'accès fondées sur les risques et contextualisées.
  • Application des politiques dans les environnements hybrides et multicloud.
  • Intégration par API, SDK et protocoles de fédération (SAML, OAuth, OIDC).

Que vous sécurisiez vos utilisateurs internes, vos partenaires ou vos consommateurs, OpenText offre une authentification sécurisée, conforme et évolutive à l'échelle de l'entreprise.

En quoi l'authentification avancée OpenText diffère-t-elle des autres solutions MFA ?

Les équipes de sécurité implémentent souvent les logiciels de soutien fournis avec le système d'authentification qu'elles adoptent. Cela semble bien fonctionner jusqu'à l'achat de différents appareils nécessitant une implémentation logicielle différente, créant ainsi un nouveau silo. Dans les grandes organisations, il est possible d'avoir plusieurs silos de technologies sans mot de passe utilisés soit pour l'authentification multifacteurs, soit pour satisfaire à d'autres exigences d'authentification. Le point faible de cette situation est que chaque système d'authentification possède son propre ensemble de politiques. La mise à jour régulière de ces multiples bases de données de polices d'assurance entraîne des frais administratifs plus élevés et présente le risque de se retrouver avec des polices incohérentes.

OpenText Advanced Authentication est conçu pour répondre aux besoins d'authentification multifacteurs des plus grandes organisations. Son approche fondée sur des normes offre une architecture ouverte, exempte des risques de dépendance vis-à-vis d'un fournisseur unique. Ce cadre prend en charge divers appareils et des méthodes prêtes à l'emploi supplémentaires, mais peut également être élargi à mesure que de nouvelles technologies sont mises sur le marché.

Quelle que soit la plateforme (web, mobile, client), OpenText Advanced Authentication offre également une prise en charge prête à l'emploi des plateformes et applications les plus courantes. Outre son rôle de moteur de politique central pour les authentifications à l'échelle de l'entreprise, OpenText Advanced Authentication offre également un moteur basé sur les risques pour contrôler quand l'authentification multifactorielle est invoquée ainsi que les types d'authentification proposés selon les différents niveaux de risque. Au-delà de son propre moteur intégré, OpenText Advanced Authentication s'intègre à OpenText Access Manager pour fournir un ensemble robuste d'options d'authentification unique et de mesures de risque pouvant être utilisées dans le cadre d'un cas d'utilisation de gestion des accès adaptatifs .

Produits connexes

OpenText™ Advanced Authentication

Activez l'authentification sans mot de passe et multifactorielle pour une protection simple à l'échelle de l'organisation

OpenText™ Access Manager

Activez l'authentification unique et le contrôle d'accès sur les plateformes mobiles, infonuagiques et existantes.

OpenText™ Core Identity Foundation

Plateforme de sécurité d'identité native du nuage

Voir tous les produits connexes

Comment pouvons-nous vous aider?

Notes de bas de page