Actu
Les violations de données, le phishing, et l’élaboration de réglementations favorisent l’adoption rapide de l’authentification forte
janvier 2019 par Alliance FIDO
Selon le rapport 2019 de Javelin Strategy & Research sur l’état actuel de
l’authentification forte, le recours à l’authentification sécurisée par
cryptographie a triplé depuis 2017
Alors que les violations de données et les attaques par phishing, de plus en plus sophistiquées, continuent d’alimenter les compromissions de comptes en ligne et les pertes financières, le rapport
2019 de Javelin
Strategy & Research, sur l’état de
l’authentification forte, indique que les entreprises intensifient leurs efforts,
et investissent dans des processus plus résistants.
Le rapport, sponsorisé par l’Alliance FIDO, analyse
l’état des pratiques en termes d’authentification des clients et des employés
d’entreprises américaines, et tire les conclusions sur le rôle joué par
l’authentification forte dans la protection des comptes, mais aussi dans la
sécurisation de l’accès aux données importantes et aux systèmes critiques.
Voici les principales conclusions et recommandations du rapport :
– Le recours à l’authentification forte a considérablement augmenté depuis
2017. Le nombre d’organisations recourant à l’authentification forte basée sur
la cryptographie à clé publique a triplé depuis 2017 en ce qui concerne
l’authentification du consommateur. Elle a augmenté de près de 50 % pour
l’authentification en entreprise sur la même période. Cette méthode
d’authentification présente l’avantage de ne pas être sensible au phishing,
aux attaques de l’homme du milieu (ou « man-in-the-middle »), ou à toute
autre attaque ciblant les identifiants – ce qui n’est pas le cas des mots de
passe et mots de passe à usage unique (OTP), qui y sont vulnérables.
– La réglementation accélère le passage à l’authentification forte. Près de
70 % des entreprises estiment être soumises à une forte pression réglementaire
pour proposer une authentification forte à leurs clients. Cette statistique est
notamment liée à l’entrée en vigueur de la directive DSP2, ainsi qu’à la
réglementation en matière de protection des données dans les États de
l’Union Européenne et aux États-Unis, comme par exemple en Californie.
– Le non-recours aux systèmes d’authentification forte présente un risque
sous-estimé pour les entreprises et leurs clients. Bien que les cybercriminels
ciblent une grande variété d’informations confidentielles, les deux tiers des
entreprises utilisent uniquement des mots de passe pour authentifier leurs
employés. Elles estiment en effet que ces derniers sont suffisants pour le type
de données qu’elles protègent.
– Toutes les mesures d’authentification forte ne sont pas égales. Selon
Javelin, l’adoption de solutions d’authentification forte qui sont basées sur
des normes et qui utilisent une sécurité cryptographique, telle que celles
proposées par l’Alliance FIDO, peut aider les entreprises à réduire les
coûts liés au respect de la réglementation, aux attentes des clients, et à des
systèmes de fraude de plus en plus sophistiqués.
– Il est temps de mettre un terme aux OTP. Alors que les cybercriminels
utilisent l’ingénierie sociale, le portage téléphonique et les malwares pour
compromettre les authentificateurs OTP, Javelin recommande de les délaisser, au
profit d’une authentification forte sécurisée par cryptographie.
Le rapport inclut des études de cas de Google, Tradelink et Visa, qui s’appuient
toutes sur l’authentification FIDO pour renforcer la protection des comptes de leurs
clients et de leurs employés.
