Alors que le monde entier s’est massivement converti au travail à domicile, ce qui n’était auparavant qu’une obligation ponctuelle est devenu un usage souhaité pour de nombreux autres types d’interactions. Acheter en ligne, faire ses virements bancaires en ligne, commander son dîner en ligne, consulter son docteur en ligne, etc. non seulement réduisent nos déplacements quotidiens mais incarnent de nouveaux comportements qui attirent toujours plus d’adeptes. Aujourd’hui, opter pour une expérience client à distance soit devenu le choix de tout un chacun.
Permettre ces types d’expériences digitales n’est pas nouveau, et de nombreuses entreprises s’étaient déjà engagées dans cette voie. Mais la tendance visant à délivrer des expériences digitales de grande qualité s’est accélérée avec cet afflux de clients 100% en ligne. Et les entreprises capables de s’adapter rapidement à ce nouveau contexte auront le plus de chances de prospérer voire de survivre après 2020.
Et même s’il est probable que les mots “transformation” and “rapide” apparaissent rarement dans la même phrase concernant les architectures d’entreprise, heureusement la plupart des organisations ont déjà une présence sur le digital sous une forme ou sous une autre. La question clé est donc la suivante : Quelles mesures doivent elles prendre sans attendre pour produire un impact significatif à court terme ?
Les entreprises ne pourront probablement pas en peu de temps créer ou même remanier leur expérience digitale existante, mais elles pourront du moins s’assurer que les accès client à leurs sites digitaux sont à la fois pratiques et sécurisés.
Produire un impact immédiat avec l’authentification multifacteur
L’accroissement des interactions digitales ou via les call centers entraîne en parallèle une augmentation des opportunités pour les acteurs malveillants. Les cyber criminels sont devenus experts dans l’exploitation de mécanismes tels que le ‘craquage’ d’identifiants et de mots de passe, ou de méthodes d’ingénierie sociale pour prendre le contrôle de comptes clients. Les organisations doivent désormais les protéger, tout en recherchant le parfait équilibre entre sécurité et ergonomie.
L’une des mesures les plus rapides et les plus efficaces à prendre est la mise en place de l’authentification multifacteur pour accéder à leurs sites digitaux. Avec des outils tels que des notifications en ‘push’ sur une application mobile, elles pourront ajouter des couches supplémentaires de protection tout en imposant à leurs clients le bon niveau d’authentification nécessaire pour une expérience aussi fluide que possible.
Fournir une expérience d’authentification sécurisée est essentielle pour prévenir toute attaque malveillante, car ainsi l’organisation s’assure que ses clients sont vraiment ce qu’ils prétendent être. Mais elle ne doit pas non plus aller trop loin dans la complexité.
Elle utilise peut être déjà ce type d’authentification avec succès pour son personnel, mais elle doit garder à l’esprit qu’il y a des différences importantes entre des utilisateurs en interne et des clients. Ceux-ci peuvent être plus exigeants en matière de processus d’authentification, et à la différence de ses employés, elle ne pourra pas les forcer à les adopter. Les employés peuvent être ouverts à l’utilisation de jetons de sécurité matériels, mais très peu de clients (sinon aucun) feront de même. Trouver un équilibre entre ergonomie et sécurité suppose une évaluation précise des différents types d’authentification multifacteur pour répondre au mieux aux besoins spécifiques de chaque organisation.
Trois principaux scénarios d’authentification multifacteur
Pour garantir le meilleur niveau d’ergonomie, les organisations se concentrent généralement sur trois options d’authentification multifacteur pour compléter le traditionnel mot de passe utilisateur.
- Des codes à usage unique via SMS. L’usage généralisé des téléphones mobiles veut dire que la plupart des clients pourront recevoir des codes à usage unique via SMS.
- Vérifications par email.Quasiment partout aussi, les comptes email sont un canal de livraison pratique pour un grand nombre de clients.
- Notifications en push à partir d’une application mobile. Cette méthode permet de transformer les mobiles des clients dotés de l’application mobile de l’entreprise en terminaux de confiance, et d’utiliser des notifications en push à partir de l’application comme facteur d’authentification supplémentaire.
Chacune de ces options a ses avantages et ses inconvénients. La priorité lors de la mise en place de l’authentification multifacteur sera de proposer aux clients la formule à la fois la plus pratique et la plus sécurisée.
Commençons par les SMS. Offrir à ses clients un moyen supplémentaire de s’authentifier est toujours une bonne chose, et leur proposer un second facteur qui leur permet de vérifier leur identité est un bon moyen de défense contre des acteurs malveillants, qui peut largement réduire les risques de piratage. Mais les risques générés par l’utilisation des SMS sont maintenant bien connus, et quelqu’un de réellement motivé peut assez facilement contourner cette vérification de sécurité.
Par exemple, le ‘SIM swapping’, qui consiste à utiliser des techniques d’ingénierie sociale pour convaincre frauduleusement un opérateur mobile d’assigner un numéro de téléphone à une nouvelle carte SIM, ou le ‘SIM cloning’, qui permet de dupliquer une carte SIM de sorte qu’elle puisse être utilisée dans un téléphone différent, sont deux méthodes qui permettent de contourner l’authentification multifacteur.
De plus, les SMS, bien qu’ils soient largement utilisés par la plupart des consommateurs, ont d’autres inconvénients qui s’ajoutent aux problèmes de sécurité. Les clients doivent attendre que le message leur parvienne, ce qui peut être affecté par les réseaux mobiles et d’autres variables sur lesquels l’enseigne n’a aucun contrôle. Et ils impliquent une dose de mémorisation, ou l’utilisation du copier-coller sur le smartphone (ce qui n’est pas toujours facile !) pour insérer le code. Le client peut être contraint successivement de fermer son navigateur web, ouvrir la messagerie SMS, copier le code, puis ouvrir de nouveau son navigateur web – un scénario d’authentification multifacteur qui est loin d’être pratique.
Comme les SMS, les emails sont parfaitement maîtrisés par la plupart des consommateurs, mais ils ont quelques-uns des mêmes inconvénients que les SMS. Les utilisateurs doivent patienter avant de recevoir un email, ils doivent ouvrir le message puis copier le code ou cliquer sur un lien, ce qui peut les obliger à ouvrir un second onglet sur leur navigateur. Ce n’est pas la fin du monde, mais ce n’est pas non plus le scénario le plus pratique.
Et ceci sans mentionner un inconvénient sans doute encore plus grave : les risques de sécurité. Une récente enquête réalisée par Ping Identity a révélé que 47% des personnes interrogées ont permis à d’autres d’utiliser leur mot de passe pour accéder à un site de divertissement ou de e-commerce, et que près d’un quart d’entre elles sont susceptibles d’utiliser ce même mot de passe pour accéder à des applications recélant encore plus de données personnelles, telles que la banque en ligne et leur compte email.
Etant donné que tant de consommateurs partagent et réutilisent leur mot de passe sur de multiples comptes, la probabilité est forte qu’un pirate accédant à un site via un mot de passe partagé ou compromis sera également capable d’accéder au compte email du même consommateur, et ainsi contourner ce facteur d’authentification.
Notifications en push vers des terminaux de confiance
Une troisième—et meilleure—option est de créer un « terminal de confiance » en installant l’application mobile de l’enseigne ou de la marque sur le téléphone de son client. Dans ce cas, l’application en question a accès à des secrets uniques qui ne seront jamais liés qu’à un seul terminal, et ces identifiants uniques sont beaucoup plus difficiles à compromettre que des numéros de téléphone ou des adresses email.
Fondamentalement, cette option est plus sécurisée, et elle est aussi plus pratique. Les clients n’ont pas à ouvrir des onglets de navigateur ni à copier des codes avec l’interface de leur smartphone. Au lieu de cela, une notification en ‘push’ est envoyée à leur smartphone à partir d’une application qu’ils possèdent déjà, l’application mobile de l’enseigne, puis ils peuvent s’identifier via une reconnaissance faciale ou un lecteur d’empreinte, et le tour est joué.
Aller au-delà de l’authentification multifacteur
Chaque entreprise est libre de choisir les facteurs d’authentification les mieux adaptés. Typiquement, elle souhaitera que le facteur le plus pratique et le plus sécurisé – des notifications en push à partir de son application mobile – soit adoptée par la plupart de ses utilisateurs. Pour ceux qui ne possèdent pas cette application, elle pourra proposer en remplacement le SMS ou l’email. Elle aura même l’opportunité d’inciter ses clients à télécharger son application mobile en vantant les avantages qu’elle représente pour leur sécurité.
Et lorsque ses clients disposeront d’un terminal de confiance avec son application mobile, elle pourra l’utiliser pour beaucoup d’autres choses que l’authentification multifacteur. Par exemple envoyer des alertes pour des transactions avec des montants élevés, envoyer des notifications en push afin que ses clients utilisent des moyens biométriques pour vérifier leur identité, ou permettre à ses clients de s’identifier simplement par reconnaissance faciale pour réinitialiser leur mot de passe. Etape ultime, elle pourra utiliser ces méthodes pour éliminer tout usage des mots de passe lors de l’authentification.
Autre avantage – et pas des moindres – pour l’entreprise, mettre en place dès maintenant l’authentification multifacteur ne représentera qu’un simple ajout plutôt qu’une modification fondamentale de ses systèmes existants. En tant que telle, c’est un élément qu’elle peut ajouter à très court terme pour améliorer à la fois la sécurité et l’ergonomie des expériences digitales de ses clients.