Aujourd’hui, avec la recrudescence des cyber attaques, la sécurité et la protection des accès aux données et aux applications s’est imposée au centre des préoccupations dans le monde digital.
Pour le e-commerce comme pour tous les services et applications qui s’adressent aux consommateurs, le principal vecteur d’attaque utilisé par les cyber criminels est celui de l’usurpation d’identité, via la récupération ou le vol d’identifiants, auquel s’ajoutent des procédures d’authentification trop faibles.
Pour y remédier, l’authentification multifacteur, ou MFA, s’est progressivement imposée, complétant le sacrosaint mot de passe par un voire deux facteurs d’authentification supplémentaires. Hélas, les cyber criminels ne cessent d’adopter de nouvelles parades à cette stratégie, en sophistiquant toujours plus leurs tactiques d’usurpation.
Dès lors, les entreprises offrant des services digitaux se trouvent plus que jamais face à un dilemme : comment offrir à leurs clients un niveau de sécurité toujours plus élevé, et les protéger contre des mécanismes de fraude de plus en plus sophistiqués, tout en évitant que le processus d’authentification soit trop contraignant et incitent les consommateurs à changer de fournisseur.
Trois avantages principaux
Pour répondre à ce dilemme, plusieurs innovations technologiques ont vu le jour, qui permettent d’allier sécurité et fluidité pour le consommateur. Ces innovations apportent aux solutions d’authentification trois avantages principaux.
Elles s’adaptent et optimisent tous les cas d’usage, nouveaux et anciens, tout en respectant le principe de l’authentification multifacteur adopté par les réglementations les plus récentes : imposer au moins deux des trois catégories de trois facteurs d’authentification suivants : un facteur de connaissance, par exemple un mot de passe ; un facteur de possession, par exemple un terminal mobile ; et un facteur inhérent à l’individu, par exemple une empreinte digitale.
Cas le plus courant et le plus pratique pour le client, partant du principe que la très grande majorité des consommateurs possèdent un smartphone, elles s’intègrent nativement via une API à une application mobile existante, évitant ainsi à l’utilisateur de télécharger une application supplémentaire.
Ayant préalablement enregistré son smartphone comme terminal de confiance, le consommateur reçoit à la suite d’une demande d’accès une notification en ‘push’ sur son application mobile, qui peut lui demander de s’authentifier via une lecture d’empreinte digitale par exemple.
Ce processus peut être utilisé non seulement pour s’authentifier sur le web mais aussi pour approuver une transaction ou confirmer son identité lors d’un contact au service client.
Toutefois, pour les consommateurs qui n’ont pas téléchargé l’application mobile du fournisseur ou ne possèdent pas de smartphone, d’autres facteurs d’authentification peuvent être utilisés, comme la réponse à un message email ou la réception d’un code par SMS.
Elles s’adaptent automatiquement au niveau de risque. Pour optimiser l’expérience utilisateur et réduire les frictions au strict minimum lors de la procédure d’authentification, elles ne rendent visible un haut niveau de sécurité que lorsque c’est nécessaire, par exemple lorsque les clients accèdent à certaines applications ou réalisent des transactions à haut risque ou de valeur élevée. Grâce à une analyse en permanence du contexte de la demande d’accès et du niveau de risque sur le base de différents signaux (adresse IP utilisée, historique des accès, etc.), elles déterminent ainsi au cas par cas le niveau d’authentification nécessaire. En n’exigeant l’authentification multifacteur que de façon sélective, le fournisseur du service peut éliminer tous les risques les plus élevés avec un impact minimum sur l’expérience client.
Elles simplifient l’administration. Les administrateurs peuvent plus facilement paramétrer et gérer les flux d’authentification. Ils peuvent choisir entre soit configurer des politiques sur une console d’administration, soit utiliser des API pour les développeurs.
Dans les deux cas, ils sont capables de créer des règles d’authentification séparées par application et d’utiliser des fonctionnalités de gestion des risques.
Par Cyril Patou, Country Manager France PingIdentity.
Pour le e-commerce comme pour tous les services et applications qui s’adressent aux consommateurs, le principal vecteur d’attaque utilisé par les cyber criminels est celui de l’usurpation d’identité, via la récupération ou le vol d’identifiants, auquel s’ajoutent des procédures d’authentification trop faibles.
Pour y remédier, l’authentification multifacteur, ou MFA, s’est progressivement imposée, complétant le sacrosaint mot de passe par un voire deux facteurs d’authentification supplémentaires. Hélas, les cyber criminels ne cessent d’adopter de nouvelles parades à cette stratégie, en sophistiquant toujours plus leurs tactiques d’usurpation.
Dès lors, les entreprises offrant des services digitaux se trouvent plus que jamais face à un dilemme : comment offrir à leurs clients un niveau de sécurité toujours plus élevé, et les protéger contre des mécanismes de fraude de plus en plus sophistiqués, tout en évitant que le processus d’authentification soit trop contraignant et incitent les consommateurs à changer de fournisseur.
Trois avantages principaux
Pour répondre à ce dilemme, plusieurs innovations technologiques ont vu le jour, qui permettent d’allier sécurité et fluidité pour le consommateur. Ces innovations apportent aux solutions d’authentification trois avantages principaux.
Elles s’adaptent et optimisent tous les cas d’usage, nouveaux et anciens, tout en respectant le principe de l’authentification multifacteur adopté par les réglementations les plus récentes : imposer au moins deux des trois catégories de trois facteurs d’authentification suivants : un facteur de connaissance, par exemple un mot de passe ; un facteur de possession, par exemple un terminal mobile ; et un facteur inhérent à l’individu, par exemple une empreinte digitale.
Cas le plus courant et le plus pratique pour le client, partant du principe que la très grande majorité des consommateurs possèdent un smartphone, elles s’intègrent nativement via une API à une application mobile existante, évitant ainsi à l’utilisateur de télécharger une application supplémentaire.
Ayant préalablement enregistré son smartphone comme terminal de confiance, le consommateur reçoit à la suite d’une demande d’accès une notification en ‘push’ sur son application mobile, qui peut lui demander de s’authentifier via une lecture d’empreinte digitale par exemple.
Ce processus peut être utilisé non seulement pour s’authentifier sur le web mais aussi pour approuver une transaction ou confirmer son identité lors d’un contact au service client.
Toutefois, pour les consommateurs qui n’ont pas téléchargé l’application mobile du fournisseur ou ne possèdent pas de smartphone, d’autres facteurs d’authentification peuvent être utilisés, comme la réponse à un message email ou la réception d’un code par SMS.
Elles s’adaptent automatiquement au niveau de risque. Pour optimiser l’expérience utilisateur et réduire les frictions au strict minimum lors de la procédure d’authentification, elles ne rendent visible un haut niveau de sécurité que lorsque c’est nécessaire, par exemple lorsque les clients accèdent à certaines applications ou réalisent des transactions à haut risque ou de valeur élevée. Grâce à une analyse en permanence du contexte de la demande d’accès et du niveau de risque sur le base de différents signaux (adresse IP utilisée, historique des accès, etc.), elles déterminent ainsi au cas par cas le niveau d’authentification nécessaire. En n’exigeant l’authentification multifacteur que de façon sélective, le fournisseur du service peut éliminer tous les risques les plus élevés avec un impact minimum sur l’expérience client.
Elles simplifient l’administration. Les administrateurs peuvent plus facilement paramétrer et gérer les flux d’authentification. Ils peuvent choisir entre soit configurer des politiques sur une console d’administration, soit utiliser des API pour les développeurs.
Dans les deux cas, ils sont capables de créer des règles d’authentification séparées par application et d’utiliser des fonctionnalités de gestion des risques.
Par Cyril Patou, Country Manager France PingIdentity.
Autres articles
-
ZBD, première entreprise en lice pour la licence MiCA de l'UE
-
Visa finalise l'acquisition de Featurespace
-
Tether investit dans StablR pour promouvoir l'adoption du stablecoin en Europe
-
Chainalysis acquiert Hexagate, fournisseur de solutions de sécurité WEB3
-
Nomination | Esker annonce la nomination de Dan Reeve en tant que membre du Comité Exécutif