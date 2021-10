Trop difficiles à retenir ou trop faciles à deviner, les mots de passes ne seraient plus assez fiables. Les cyberattaques coûtent des milliards chaque année aux entreprises. Et avec le télétravail, les systèmes informatiques sont bien plus exposés. Alors, allons-nous vers un monde sans mots de passe ?

Dans 95% des cyberattaques, la faille n’est pas technique ou informatique, mais bien humaine. En d’autres termes, cela signifie qu’une personne – ou un employé dans le cas d’une entreprise – a laissé fuiter un mot de passe. Souvent malgré lui.

Le meilleur moyen pour ne plus qu’un mot de passe fuite ? C’est qu’il n’existe plus. Et c’est à cela que réfléchissent de nombreuses entreprises.

C’est le cas de Microsoft. Ce leader de l’informatique a annoncé la fin du mot de passe pour cette année dans ses programmes comme Windows ou encore Outlook. Le géant propose d’ailleurs déjà de se passer d’un mot de passe et il développe en parallèle des méthodes d’authentification plus sûres et plus simples que le mot de passe.

Quelles alternatives ?

Parmi les méthodes d’authentification les plus répandues : l’authentification biométrique, déjà utilisée sur les smartphones. Soit via son empreinte digitale, soit via reconnaissance faciale.

Une autre méthode : l’authentification forte. Il s’agit d’une combinaison de plusieurs facteurs pour accéder à son ordinateur.

Un premier facteur, c’est quelque chose que l’on sait : un mot de passe ou un code secret. Le second, c’est quelque chose que l’on a : une carte bancaire, par exemple. Pour retirer de l’argent à la banque, il est nécessaire de combiner son code et sa carte. C’est le même principe.

On peut même ajouter une troisième couche : quelque chose que l’on est. Et là, on peut réutiliser la reconnaissance digitale ou faciale.

Digipass, sms, etc.

Sans s’en rendre compte, nous avons déjà pris cette direction.

Quand vous payez sur Internet, par exemple. Vous avez besoin d’un code et après, de plus en plus, de confirmer l’achat. Soit avec le digipass, une petite calculette, votre carte de banque ou bien sur l’application bancaire de votre smartphone en mettant votre pouce sur votre smartphone.

Quand vous vous connectez au mail au boulot, vous devez souvent introduire un code que vous recevez par SMS ou bien via une application dédiée. Tout cela permet déjà de se passer du mot de passe ou alors de l’envisager comme une deuxième couche de sécurité.

Trop contraignant ?

Est-ce beaucoup demandé pour simplement consulter ses mails ? Cela dépend vraiment de ce que l’on souhaite protéger. Selon Yves Roggeman, professeur émérite en sécurité informatique à l’ULB, il faut trouver un juste milieu, c’est au cas par cas.

"Il y a toujours un curseur à ajuster entre le niveau de sécurité souhaité en fonction des enjeux et de la sensibilité des informations et des transactions, et le confort d’usage. Parce qu’on sait bien que si c’est trop lourd, les utilisateurs trouveront des moyens détournés pour s’en passer", explique-t-il.

Comprenez : on ne protège pas de la même manière un billet de cinq euros d’un lingot d’or. Les deux n’ont pas forcément besoin d’un coffre-fort pour être protégés.

Le coût

Le coût total estimé de ces cyberattaques est de 6000 milliards de dollars chaque année pour les entreprises. Dès lors, selon Yves Roggeman, cela vaut la peine de se protéger.

Mais à quel prix ? Cela dépend de l’enjeu de ce que vous voulez sécuriser, mais aussi du caractère de chacun.

Il faut que les responsables, les managers perçoivent ça comme véritablement une assurance

"Il faut que les responsables, les managers perçoivent ça comme véritablement une assurance. Et comme toujours en assurance, il y a des caractères qui auront plutôt tendance à dire 'je paye ma prime pour avoir une couverture' et d’autres qui diront 'j’endosse le risque'. Et donc, dans chaque cas de figure.", explique Yves Roggeman.

"Il faut que la direction de l’entreprise choisisse si elle accepte le risque ou si elle préfère s’en prémunir. Ceci étant, aujourd’hui, les coûts de mise en œuvre d’une tarification forte sont véritablement anodins."

A noter que ce n’est pas tant le dispositif informatique en tant que tel qui coûte cher. Ce qui coûte cher, c’est la formation, l’accompagnement, la conscientisation du personnel aux enjeux de sécurité et de confidentialité pour l’entreprise. Et à cet égard-là, utiliser d’autres méthodes de sécurité que le mot de passe peut aider à faire évoluer les mentalités.