Trop difficiles à retenir ou trop faciles à deviner, les mots de passe ne seraient plus assez fiables. Les cyberattaques coûtent des milliards chaque année aux entreprises. Et avec le télétravail, les systèmes informatiques sont bien plus exposés. Alors, allons-nous vers un monde sans mots de passe ?
Dans 95% des cyberattaques, la faille n’est pas technique ou informatique, mais bien humaine. En d’autres termes, cela signifie qu’une personne – ou un employé dans le cas d’une entreprise – a laissé fuiter le code. Souvent malgré lui.
►►► A lire aussi : Bitcoin : il risque de perdre 300 millions d’euros pour un mot de passe oublié. Et vous, vous les retenez ?
Le meilleur moyen pour qu'un mot de passe ne fuite pas ? C’est qu’il n’existe plus. Et c’est à cela que réfléchissent de nombreuses entreprises.
C’est le cas de Microsoft. Ce leader de l’informatique a annoncé la fin du 'password' pour cette année dans ses programmes comme Windows ou encore Outlook. Le géant propose d’ailleurs déjà de s'en passer, et développe en parallèle des méthodes d’authentification plus sûres et plus simples.
Quelles alternatives ?
Parmi les méthodes d’authentification les plus répandues : l’authentification biométrique, déjà utilisée sur les smartphones. Soit via son empreinte digitale, soit via reconnaissance faciale.
Une autre méthode : l’authentification forte. Il s’agit d’une combinaison de plusieurs facteurs pour accéder à son ordinateur.
►►► A lire aussi : La suite Office de Microsoft devient l’outil numérique central de l’enseignement bruxellois
Un premier facteur, c’est quelque chose que l’on sait : un mot de passe ou un code secret. Le second, c’est quelque chose que l’on a : une carte bancaire, par exemple. Pour retirer de l’argent à la banque, il est nécessaire de combiner son code et sa carte. C’est le même principe.
On peut même ajouter une troisième couche : quelque chose que l’on est. Et là, on peut réutiliser la reconnaissance digitale ou faciale.
Digipass, sms, etc.
Sans s’en rendre compte, nous avons déjà pris cette direction.
Quand vous payez sur Internet, par exemple. Vous avez besoin d’un code et après, de plus en plus, de confirmer l’achat. Soit avec le digipass, une petite calculette, votre carte de banque ou bien sur l’application bancaire de votre smartphone en mettant votre pouce sur votre smartphone.
Quand vous vous connectez au mail au boulot, vous devez souvent introduire un code que vous recevez par SMS ou bien via une application dédiée. Tout cela permet déjà de se passer du mot de passe ou alors de l’envisager comme une deuxième couche de sécurité.
Trop contraignant ?
Est-ce beaucoup demander pour simplement consulter ses mails ? Cela dépend vraiment de ce que l’on souhaite protéger. Selon Yves Roggeman, professeur émérite en sécurité informatique à l’ULB, il faut trouver un juste milieu, c’est au cas par cas.
"Il y a toujours un curseur à ajuster entre le niveau de sécurité souhaité en fonction des enjeux et de la sensibilité des informations et des transactions, et le confort d’usage. Parce qu’on sait bien que si c’est trop lourd, les utilisateurs trouveront des moyens détournés pour s’en passer", explique-t-il.
Comprenez : on ne protège pas de la même manière un billet de cinq euros qu'un lingot d’or. Les deux n’ont pas forcément besoin d’un coffre-fort pour être protégés.
Le coût
Le coût total estimé de ces cyberattaques est de 6000 milliards de dollars chaque année pour les entreprises. Dès lors, selon Yves Roggeman, cela vaut la peine de se protéger.
Mais à quel prix ? Cela dépend de l’enjeu de ce que vous voulez sécuriser, mais aussi du caractère de chacun.
Il faut que les responsables, les managers perçoivent ça comme véritablement une assurance
"Il faut que les responsables, les managers perçoivent ça comme véritablement une assurance. Et comme toujours en assurance, il y a des caractères qui auront plutôt tendance à dire 'je paie ma prime pour avoir une couverture' et d’autres qui diront 'j’endosse le risque'. Et donc, dans chaque cas de figure.", explique Yves Roggeman.
►►► A lire aussi : Twitter demande à ses utilisateurs de changer leur mot de passe après une faille
"Il faut que la direction de l’entreprise choisisse si elle accepte le risque ou si elle préfère s’en prémunir. Ceci étant, aujourd’hui, les coûts de mise en œuvre d’une tarification forte sont véritablement anodins."
A noter que ce n’est pas tant le dispositif informatique en tant que tel qui coûte cher. Ce qui coûte cher, c’est la formation, l’accompagnement, la conscientisation du personnel aux enjeux de sécurité et de confidentialité pour l’entreprise. Et à cet égard-là, utiliser d’autres méthodes de sécurité que le mot de passe peut aider à faire évoluer les mentalités.
