0024-MAG24 Dec - Flipbook - Page 46
DOSSIER
Innovation
6
Passwordless : la révolution
de l’authenti昀椀cation en marche
E
n 2004, Bill Gates annonçait, lors de la conférence RSA Security, la fin des mots de passe.
Vingt ans plus tard, les mots de passe sont toujours là. D’ailleurs, en moyenne, un seul utilisateur en gère et en retient plusieurs dizaines, c’est d’autant
plus compliqué qu’il se voit imposer des mots de passe
complexes (augmentation du nombre de caractères, ajout
de majuscules et de caractères spéciaux…). Ce n’est pas
demain que disparaîtront les mots de passe et pourtant, les approches innovantes de type Passwordless se
démocratisent avec de nombreuses solutions à la clé. Le
Passwordless est donc une méthode d’authentification qui
permet aux utilisateurs de se connecter sans utiliser de
mot de passe, en se basant sur un code PIN, sur des facteurs comme la biométrie (empreintes digitales, reconnaissance faciale) ou encore sur des clés de sécurité physiques. Ces clés (ou passkeys), qui exploitent les normes
de l’Alliance Fido et du World Wide Web Consortium,
génèrent deux clés, une publique et une privée. La clé
publique est détenue par le site Web ou l’application
depuis lequel ou laquelle l’utilisateur se connecte, quant
à la clé privée, elle reste stockée dans une zone protégée
de l’appareil. Ainsi, lors de la connexion, le site ou l’application va s’assurer qu’il s’agit bien d’un appareil identifié
dans sa base. A noter que Fido 2 est la dernière série de
7
normes d’authentification renforcée créées par la Fido
Alliance. Fido 2 comprend deux spécifications : l’authentification Web du W3C (WebAuthn) et le protocole Client to
Authenticator Protocol (CTAP) de la Fido Alliance.
Reste qu’une approche Passwordless n’est pas si simple
à mettre en œuvre dans les entreprises car ces dernières
disposent généralement de systèmes hétérogènes,
modernes et anciens, dont certains peuvent ne pas
prendre en charge les standards d’authentification sans
mot de passe. De plus, l’adoption de ces technologies
par les utilisateurs doit s’accompagner d’une rigoureuse
conduite du changement. Enfin, chaque entreprise est
différente avec des réglementations sur mesure et spécifiques à son secteur, ce qui multiplie les cas d’usages.
Pour toutes ces raisons, les entreprises doivent s’orienter vers des fournisseurs spécialisés capables de les
accompagner, comme Thales. En effet, Thales a lancé
l’été dernier Passwordless 360°, un ensemble complet
d’outils permettant aux entreprises de déployer l’authentification sans mot de passe sur un large éventail
d’applications, tels que l’accès sécurisé aux appareils
personnels et professionnels ou l’authentification sur
des ressources Web aussi bien modernes qu’anciennes.
Bien d’autres acteurs en font leur spécialité, comme
Okta ou encore Ping Identity.
La sauvegarde des applications SaaS
monte au créneau
A
l’heure où les entreprises souscrivent de plus
en plus à des solutions en mode SaaS, se pose
la question de la continuité de service suite à
des pannes ou des incidents majeurs pouvant
provenir de leurs fournisseurs. Comment s’assurer effectivement d’une reprise d’activité dans les meilleures
conditions quand votre fournisseur SaaS subit une
panne ? Cette question est surtout devenue sensible suite
à la panne géante CrowdStrike-Microsoft survenue l’été
dernier. Du reste, selon le cabinet d’études Gartner, d’ici
à trois ans, plus de 75 % des entreprises feront de la sauvegarde des applications SaaS et des données stockées chez
46 / décembre 2024 / janvier / février 2025
les fournisseurs de SaaS une de leurs priorités, contre
15 % aujourd’hui. Historiquement, les entreprises imaginaient que tous ces aspects de la sécurité des données
étaient gérés par leurs fournisseurs et à la décharge des
entreprises, il est vrai qu’un certain nombre d’éditeurs
SaaS offre en complément des services de sauvegarde
mais souvent rudimentaires. De base, nous sommes
plutôt dans un modèle de responsabilité partagée où
le fournisseur du service cloud assurera simplement la
restauration de l’application en cas de défaillance matérielle, mais pas des données liées au logiciel SaaS. Donc
sans option de back-up dédiée, les données ne sont pas
