Pourquoi s'y intéresser ? L'authentification forte est une procédure d'identification offrant un niveau de sécurité beaucoup plus élevé que le mot de passe. Elle protège mieux les actifs de l'entreprise, tout en simplifiant la gestion de l'infrastructure technique.
Les gains
1. Sécuriser les ressources de l'entreprise. Associer une chose que l'on sait à une autre que l'on possède, tel est le principe de l'authentification forte. Grâce à ce dispositif, les possibilités de dérober un mot de passe sont réduites. Les accès aux ressources de l'entreprise sont ainsi sous bonne garde. Par ailleurs, en centralisant les accès dans un seul dispositif dit de Single Sign-on (signature unique), on évite que les utilisateurs cumulent les mots de passe.
2. Soulager le support technique. L'oubli et la perte de mots de passe sont monnaie courante. Pour les supports techniques, ces incidents, qu'il faut parfois régler en extrême urgence, représentent une perte de temps au quotidien, facile à mesurer. Les équipes informatiques gaspillent trop de temps et d'énergie à résoudre ce genre de problème, ainsi qu'à tenter de responsabiliser les utilisateurs sur les risques d'écrire leur mot de passe sur un Post-it ou autre support visible de tous.
3. Renforcer la prise de conscience des utilisateurs. Il s'avère difficile, voire impossible, d'obliger les utilisateurs à renouveler régulièrement leurs mots de passe et à veiller à la bonne composition de ce dernier (termes interdits, caractères spéciaux, chiffres, minuscules et majuscules, etc.). Pour le collaborateur, la centralisation de son moyen d'accès sur un objet dont il doit prendre soin est moins contraignante, et plus responsabilisant de par sa facilité d'usage.
Les limites
1. Une perte d'accessoire parfois coûteuse. L'objet auquel est associé le mot de passe de l'utilisation est variable : clé USB, carte à puce, téléphone portable, carte préinscrite, etc. Les plus économiques et les plus pratiques sont ceux sous forme logicielle à installer sur les téléphones portables. Pour les autres, la perte de l'accessoire peut s'avérer longue mais aussi coûteuse au remplacement, du fait qu'il ne s'agit plus d'un achat groupé.
2. L'embarras du choix technique. L'authentification forte représente une procédure d'identification très séduisante pour bien des raisons. Mais l'entreprise qui veut sauter le pas se trouve rapidement confrontée à un vaste champ de possibilités. Le mot de passe peut en effet être couplé à plusieurs technologies : biométrie, clé à usage unique, ou encore certificat. Selon l'option retenue, la mise en œuvre diffère, et les avantages et inconvénients varient singulièrement. Ainsi, le recours au certificat nécessite une infrastructure à clé publique (PKI), complexe à mettre en place et coûteuse à maintenir. De son côté, la biométrie est facile à déployer mais les démarches administratives qui lui sont liées sont parfois rédhibitoires (déclaration à la Commission nationale de l'informatique et des libertés, par exemple).
3. Une utilisation pas toujours ergonomique. Selon la technologie choisie, l'utilisation peut s'avérer fastidieuse pour l'utilisateur. Le recours à un mot de passe jetable (ou OTP, pour One Time Password), par exemple, nécessite la saisie de deux informations. La première étant le mot de passe, la seconde la clé provisoire qui est remise à l'utilisateur au moment de l'authentification. L'opération est donc plus longue. En revanche, le fonctionnement par carte à puce reste transparent. Après la saisie du mot de passe, le serveur d'authentification s'assure de la présence de la carte et des informations qu'elle contient pour donner son feu vert.
