Thapana - stock.adobe.com

L’authentification sans mot de passe gagne en attrait

Selon une étude de 451 Research pour Yubico, cette approche séduit de plus en plus, même si son adoption reste significativement en retrait par rapport à l’authentification à facteurs multiples.

Cet article est extrait d'un de nos magazines. Téléchargez gratuitement ce numéro de : Information Sécurité: Information sécurité 19 – Authentification : le mot de passe en sursis

Renforcer les mécanismes d’authentification tout en en simplifiant l’expérience pour les utilisateurs. Le message semble passer de mieux en mieux. C’est du moins ce que laissent entrevoir les résultats d’une étude menée par 451 Research à l’automne 2020 auprès de 200 entreprises en Amérique du Nord. Mais une autre étude centrée sur l’Allemagne, la France et le Royaume-Uni fait apparaître une photographie moins encourageante.

Le verre à moitié plein

Outre-Atlantique, donc, les observations s’avèrent plutôt positives. Ainsi, plus d’un tiers des sondés (34 %) ont déjà déployé une forme de technologie d’authentification sans mot de passe. 27 % de plus indiquent avoir un pilote en cours en la matière. Pour 13 % de sondés supplémentaires, le déploiement est attendu d’ici la fin 2021. Et près des deux tiers se disent « très familiers » des standards d’authentification FIDO. On peut en ajouter 29 % de plus qui se disent « peu ou prou » familiers de ceux-ci.

Qui plus est, l’adoption de l’authentification à facteurs multiples (MFA) semble clairement en progression, avec des budgets à la hausse pour près de 75 % des sondés. Un peu moins de la moitié des sondés (49 %) mentionnent l’authentification à double facteur (2FA) et la MFA parmi les technologies adoptées en réponse à la pandémie de Covid-19 et à la massification du recours au télétravail qu’elle a induite.

Sans surprise, c’est l’amélioration de la sécurité qui a motivé ce choix pour 57 % des sondés, sensiblement devant la protection de données sensibles et la lutte contre la fraude, ou encore des besoins spécifiques au télétravail. Mais l’expérience utilisateur (mentionnée par 43 % des sondés), la complexité (41 %) et le coût (36 %) caracolent en tête des freins au déploiement de la MFA.

Ou à moitié vide

La seconde étude est plus récente et peut-être plus représentative, surtout pour le Vieux Continent. Elle a été conduite par Censuswide entre fin février et début mars 2021, auprès de 3 006 employés d’organisations en comptant plus de 250, dans 12 secteurs d’activité différents. Et là, patatras.

« 78 % des entreprises doivent encore mesurer la valeur de la mise en œuvre de la 2FA. »
Etude Censuswide

Selon l’étude, « 78 % des entreprises doivent encore mesurer la valeur de la mise en œuvre de la 2FA ». De fait, seuls 22 % des sondés mentionnent l’implémentation de la 2FA comme solution de sécurité nécessaire pour améliorer la sécurité du système d’information. Alors même que 19 % admettent réutiliser des mots de passe et que bon nombre se disent prêts à partager le mot de passe de messagerie professionnelle (29 %), des services cloud métiers (33 %), ou encore du VPN d’entreprise (27 %).

Parmi ceux qui l’ont déjà adopté, 47 % utilisent un code à usage unique (OTP) par SMS. Mais ce n’est pas forcément la seule méthode : 54 % disent s’appuyer sur une application mobile d’authentification ; 32 % mentionnent les jetons OTP matériels ; et 27 % les clés de sécurité physiques.

En France, 23 % des sondés indiquent écrire leur mot de passe pour ne pas l’oublier et 11 % le réutiliser pour plusieurs comptes différents. Et ils sont autant à reconnaître l’enregistrer dans un document sur le terminal. Plus préoccupant encore, 23 % indiquent qu’ils réutiliseraient le même mot de passe après une brèche.

Mieux (ou pire) encore : 75 % des sondés préféreraient avoir leurs identifiants professionnels compromis que ceux qui leur sont personnels. Et ils apparaissent confiants : 67 % s’estiment en mesure de repérer une tentative de phishing.

Seuls 19 % des sondés français indiquent que leur organisation requiert le recours à la 2FA, principalement par le truchement d’une application d’authentification mobile (40 %) ou une clé de sécurité physique (28 %). Mais 54 % des sondés concernés n’apprécient guère un procédé dont ils jugent l’expérience plutôt négative.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close