Les clés d’accès sont-elles adaptées aux entreprises ?

Chaque géant technologique vante les mérites des clés d’accès comme un moyen efficace et pratique de remplacer les mots de passe, capable de mettre fin au phishing et au vol d’identifiants. L’idée de base est simple : vous vous connectez à l’aide d’une clé cryptographique stockée de manière sécurisée dans un module matériel spécial intégré à votre appareil, puis vous déverrouillez cette clé à l’aide de données biométriques ou d’un code PIN. Nous avons déjà abordé en détail la question des clés d’accès pour les particuliers dans deux articles (l’un sur la terminologie et les cas d’utilisation de base, l’autre sur des scénarios plus complexes). Cependant, les entreprises ont des exigences et des approches totalement différentes en matière de cybersécurité. Alors, que valent les clés d’accès et FIDO2 WebAuthn dans un environnement d’entreprise ?

Raisons justifiant le passage des entreprises aux clés d’accès

Comme pour toute migration à grande échelle, le passage aux clés d’accès implique une solide analyse de rentabilité. En théorie, les clés d’accès permettent de résoudre plusieurs problèmes urgents à la fois :

• Diminuer le risque de violations causées par le vol d’identifiants : la résistance au phishing est le principal avantage annoncé des clés d’accès.
• Renforcer les défenses contre d’autres attaques liées à l’identité, comme les attaques par force brute et le bourrage d’identifiants.
• Contribuer à la mise en conformité. Dans de nombreux secteurs d’activité, les autorités réglementaires imposent l’utilisation de méthodes d’authentification robustes pour les employés, et les clés d’accès répondent généralement à ces critères.
• Réduire les coûts. Si une entreprise choisit d’utiliser des clés d’accès stockées sur des ordinateurs portables ou des smartphones, elle peut atteindre un niveau de sécurité élevé sans avoir à assumer les dépenses supplémentaires liées aux appareils USB, aux cartes à puce, ainsi qu’à la gestion et à la logistique associées.
• Augmenter la productivité des employés. Un processus d’authentification simple et efficace permet à chaque employé de gagner du temps au quotidien et de réduire le nombre de tentatives de connexion infructueuses. Le passage aux clés d’accès va généralement de pair avec l’abandon des changements réguliers de mot de passe, une pratique universellement redoutée.
• Alléger la charge de travail du service d’assistance en diminuant le nombre de tickets concernant des mots de passe oubliés et des comptes verrouillés. (Bien entendu, d’autres types de problèmes apparaissent à la place, comme la perte d’appareils contenant des clés d’accès.)

Quelle est l’ampleur de l’adoption des clés d’accès ?

Selon un rapport de la FIDO Alliance, 87 % des organisations interrogées aux États-Unis et au Royaume-Uni sont déjà passées à l’utilisation de clés d’accès ou sont en train de le faire. Toutefois, en examinant le rapport de plus près, on s’aperçoit que ce chiffre impressionnant inclut également les solutions courantes des entreprises, comme les cartes à puce et les jetons USB, pour l’accès aux comptes. Bien que certaines d’entre elles soient effectivement basées sur WebAuthn et les clés d’accès, elles ne sont pas sans poser de problèmes. Ces solutions sont assez coûteuses et imposent aux équipes informatiques et de cybersécurité une charge permanente liée à la gestion des jetons et des cartes physiques : émission, livraison, remplacement, annulation, et ainsi de suite. En ce qui concerne les solutions fortement encouragées, basées sur les smartphones et même la synchronisation dans le cloud, 63 % des répondants ont déclaré utiliser ces technologies, mais le degré d’adoption reste incertain.

Les entreprises qui font passer l’ensemble de leur personnel aux nouvelles technologies sont rares. Le processus peut s’avérer difficile sur le plan organisationnel et tout simplement coûteux. Le plus souvent, le déploiement se fait par phases. Bien que les stratégies pilotes puissent varier, les entreprises commencent généralement par les employés qui ont accès à la propriété intellectuelle (39 %), les administrateurs de systèmes informatiques (39 %) et les cadres supérieurs (34 %).

Obstacles potentiels à l’adoption des clés d’accès

Lorsqu’une organisation décide de passer aux clés d’accès, elle est inévitablement confrontée à une série de difficultés techniques. Ces défis mériteraient à eux seuls un article à part entière. Mais pour cet article, nous nous en tiendrons aux problèmes les plus fréquents :

• Difficulté (voire impossibilité) de passer aux clés d’accès en cas d’utilisation de systèmes informatiques hérités et isolés, en particulier Active Directory sur site
• Fragmentation des approches de stockage des clés d’accès au sein des écosystèmes Apple, Google et Microsoft, ce qui complique l’utilisation d’une clé d’accès unique sur différents appareils
• Difficultés de gestion supplémentaires si l’entreprise autorise l’utilisation d’appareils personnels (politique PAP) ou, à l’inverse, impose des règles strictes, comme l’interdiction du Bluetooth
• Coûts permanents liés à l’achat ou à la location de jetons et à la gestion des appareils physiques administrés
• Exigence spéciale de clés matérielles non synchronisables pour les scénarios de haute assurance avec attestation (et même dans ce cas, tous ne remplissent pas les conditions requises – l’alliance FIDO fournit des recommandations précises à ce sujet)
• Besoin de former les employés et de répondre à leurs préoccupations concernant l’utilisation des données biométriques
• Nécessité de créer des stratégies détaillées pour le service informatique, de cybersécurité et d’assistance afin de résoudre les problèmes liés à la fragmentation, aux systèmes existants et aux appareils égarés (y compris les enjeux autour de l’accueil des nouveaux utilisateurs et de la révocation des accès lors des départs)

Quel est l’avis des régulateurs au sujet des clés d’accès ?

Malgré tous ces défis, la transition vers les clés d’accès pourrait être une obligation pour certaines organisations si elle est imposée par un organisme de réglementation. Les principaux organismes de réglementation nationaux et industriels soutiennent généralement l’utilisation des clés d’accès, directement ou indirectement :

Les directives NIST SP 800-63 relatives à l’identité numérique autorisent l’utilisation d’ « authentificateurs synchronisables » (une définition qui fait clairement référence aux clés d’accès) pour le niveau 2 d’assurance d’authentification, et des authentificateurs liés aux appareils pour le niveau 3. Ainsi, l’utilisation de clés d’accès permet de cocher en toute confiance les cases lors des audits ISO 27001, HIPAA et SOC 2.

Dans ses commentaires sur la norme DSS 4.0.1, le PCI Security Standards Council cite explicitement FIDO2 comme une technologie qui répond à ses critères d’ « authentification résistante au phishing ».

La 2ᵉ directive européenne sur les services de paiement (PSD2) est rédigée sans référence à une technologie particulière. Toutefois, elle exige une authentification forte du client (SCA) et l’utilisation d’appareils basés sur une infrastructure à clé publique pour les transactions financières importantes, ainsi que la liaison dynamique des données de paiement avec la signature de la transaction. Les clés d’accès répondent à ces exigences.

Les directives européennes DORA et NIS2 ne font également aucune référence à une technologie particulière et exigent généralement uniquement la mise en œuvre d’une authentification à plusieurs facteurs, une exigence à laquelle les clés d’accès répondent parfaitement.

En résumé, il n’est pas obligatoire de choisir tout particulièrement les clés d’accès pour se conformer à la réglementation, mais de nombreuses organisations estiment qu’il s’agit là de la solution la plus rentable. Parmi les facteurs qui font pencher la balance en faveur des clés d’accès, citons l’utilisation généralisée des services cloud et du SaaS, le déploiement continu de clés d’accès pour les applications et les sites Internet destinés aux clients, ainsi qu’une flotte bien gérée d’ordinateurs et de smartphones d’entreprise.

Feuille de route pour les entreprises souhaitant passer aux clés d’accès

1. Constituez une équipe interfonctionnelle. Il s’agit notamment des services informatiques et de cybersécurité, des propriétaires d’entreprises utilisant des systèmes informatiques, du support technique, des ressources humaines et du service de communication interne.
2. Faites l’inventaire de vos systèmes et méthodes d’authentification. Identifiez où WebAuthn/FIDO2 est déjà pris en charge, quels systèmes peuvent être mis à niveau, où l’intégration de l’authentification unique (SSO) peut être mise en œuvre, où un service dédié doit être créé pour adapter les nouvelles méthodes d’authentification à celles prises en charge par vos systèmes, et où vous devrez continuer à utiliser des mots de passe, sous une surveillance SOC renforcée.
3. Définissez votre stratégie de clé d’accès. Décidez si vous souhaitez utiliser des clés de sécurité matérielles ou des clés d’accès stockées sur les smartphones et les ordinateurs portables. Planifiez et configurez vos méthodes de connexion principales, ainsi que les options d’accès d’urgence, comme les codes d’accès temporaire (TAP).
4. Mettez à jour les stratégies de sécurité des informations de votre entreprise afin de refléter l’adoption des clés d’accès. Établissez des règles détaillées d’inscription et de récupération. Établissez des protocoles pour les cas où le passage aux clés d’accès ne serait pas envisageable (par exemple, parce que l’utilisateur est contraint d’utiliser un appareil ancien qui ne prend pas en charge les clés d’accès). Développez des mesures supplémentaires pour garantir le stockage sécurisé des clés d’accès, comme le chiffrement obligatoire des appareils, l’utilisation des données biométriques et la gestion unifiée des terminaux ou des contrôles de l’état des appareils dans le cadre de la gestion de la mobilité en entreprise.
5. Planifiez l’ordre de déploiement pour différents systèmes et groupes d’utilisateurs. Établissez un calendrier à long terme pour identifier et résoudre les problèmes étape par étape.
6. Activez les clés d’accès dans les systèmes de gestion des accès, comme Entra ID et Google Workspace, et configurez les appareils autorisés.
7. Lancez un projet pilote en commençant par un petit groupe d’utilisateurs. Recueillez les commentaires, et affinez vos instructions et votre approche.
8. Connectez progressivement les systèmes qui ne prennent pas en charge nativement les clés d’accès à l’aide de l’authentification unique et d’autres méthodes.
9. Formez vos employés. Lancez une campagne d’adoption des clés d’accès, en fournissant des instructions claires aux utilisateurs et en collaborant avec des « champions » dans chaque équipe afin d’accélérer la transition.
10. Suivez l’avancement et améliorez les processus. Analysez les statistiques d’utilisation, les erreurs de connexion et les tickets d’assistance. Ajustez ensuite vos stratégies d’accès et de récupération en conséquence.
11. Éliminez progressivement les méthodes d’authentification traditionnelles dès que leur utilisation tombe à moins de 10 %. En premier lieu, éliminez les codes à usage unique envoyés via des canaux de communication non sécurisés, comme les SMS et les emails.