Les violations de données, le phishing, et l’élaboration de réglementations favorisent l’adoption rapide de l’authentification forte. Selon le rapport 2019 de Javelin Strategy & Research sur l'état actuel de l'authentification forte, le recours à l'authentification sécurisée par cryptographie a triplé depuis 2017
Alors que les violations de données et les attaques par phishing, de plus en plus sophistiquées, continuent d'alimenter les compromissions de comptes en ligne et les pertes financières, le rapport 2019 de Javelin Strategy & Research, sur l’état de l’authentification forte, indique que les entreprises intensifient leurs efforts, et investissent dans des processus plus résistants.  Le rapport, sponsorisé par l’Alliance FIDO, analyse l’état des pratiques en termes d’authentification des clients et des employés d’entreprises américaines, et tire les conclusions sur le rôle joué par l’authentification forte dans la protection des comptes, mais aussi dans la sécurisation de l’accès aux données importantes et aux systèmes critiques.
Voici les principales conclusions et recommandations du rapport :
• Le recours à l’authentification forte a considérablement augmenté depuis 2017. Le nombre d'organisations recourant à l'authentification forte basée sur la cryptographie à clé publique a triplé depuis 2017 en ce qui concerne l'authentification du consommateur. Elle a augmenté de près de 50 % pour l'authentification en entreprise sur la même période. Cette méthode d’authentification présente l’avantage de ne pas être sensible au phishing, aux attaques de l’homme du milieu (ou « man-in-the-middle »), ou à toute autre attaque ciblant les identifiants – ce qui n’est pas le cas des mots de passe et mots de passe à usage unique (OTP), qui y sont vulnérables.
• La réglementation accélère le passage à l'authentification forte. Près de 70 % des entreprises estiment être soumises à une forte pression réglementaire pour proposer une authentification forte à leurs clients. Cette statistique est notamment liée à l’entrée en vigueur de la directive DSP2, ainsi qu’à la réglementation en matière de protection des données dans les États de l’Union Européenne et aux États-Unis, comme par exemple en Californie.
• Le non-recours aux systèmes d'authentification forte présente un risque sous-estimé pour les entreprises et leurs clients. Bien que les cybercriminels ciblent une grande variété d’informations confidentielles, les deux tiers des entreprises utilisent uniquement des mots de passe pour authentifier leurs employés. Elles estiment en effet que ces derniers sont suffisants pour le type de données qu’elles protègent.
• Toutes les mesures d’authentification forte ne sont pas égales. Selon Javelin, l’adoption de solutions d'authentification forte qui sont basées sur des normes et qui utilisent une sécurité cryptographique, telle que celles proposées par l’Alliance FIDO, peut aider les entreprises à réduire les coûts liés au respect de la réglementation, aux attentes des clients, et à des systèmes de fraude de plus en plus sophistiqués.
● Il est temps de mettre un terme aux OTP. Alors que les cybercriminels utilisent l'ingénierie sociale, le portage téléphonique et les malwares pour compromettre les authentificateurs OTP, Javelin recommande de les délaisser, au profit d’une authentification forte sécurisée par cryptographie.
Le rapport inclut des études de cas de Google, Tradelink et Visa, qui s'appuient toutes sur l'authentification FIDO pour renforcer la protection des comptes de leurs clients et de leurs employés.
« L’augmentation du recours à l’authentification forte est somme toute assez logique. En effet, malgré l’augmentation des violations de données, des attaques par phishing, et des pressions dans le domaine réglementaire, les coûts financiers, associés à la mise en œuvre de l’authentification forte ont, eux, diminué, explique Al Pascual, vice-président et directeur de la recherche, chez Javelin Strategy & Research. Ce qui est moins encourageant, c’est que les sociétés n’adoptant pas ces solutions pensent que les mots de passe seuls constituent une sécurité suffisante. Elles doivent comprendre que même les données à faible risque peuvent avoir une valeur non négligeable pour les fraudeurs, et les exposer à un contrôle réglementaire. Il est nécessaire pour elles de planifier dès maintenant leur passage à une authentification forte, sous peine de demeurer une cible de choix pour les cybercriminels. »
« Les entreprises reconnaissent enfin que les mots de passe et OTP ne fournissent pas une protection suffisante contre les menaces actuelles, confie Brett McDowell, directeur exécutif de l’Alliance FIDO. Nous espérons que cette étude contribuera à mieux faire connaître les nouvelles capacités d'authentification reposant sur la cryptographie, conformes aux normes industrielles de l’Alliance FIDO et du W3C, et désormais largement disponibles sur les principales plateformes d'applications internet et mobiles. Ces fonctionnalités permettent aux applications de lier les informations d’identification du compte au périphérique physique de l’utilisateur, de sorte qu’elles ne peuvent pas être récupérées via des attaques par phishing. Les plateformes regroupent ces fonctionnalités de sécurité dans des expériences plus pratiques pour les utilisateurs, leur permettant d’utiliser leur empreinte, leur visage, ou leur clé de sécurité pour se connecter à tous leurs sites internet et applications favoris. »
Le rapport complet de Javelin Strategy & Research.
| 