Où en sont les entreprises françaises dans la sécurisation de leurs accès et données ?

Les entreprises sont encore très en retard dans l’utilisation de solutions garantissant leur sécurité, et notamment celle des comptes utilisateurs et des accès. Les études s’accordent sur le fait que plus de 50% des organisations ne disposent toujours pas de solutions d’authentification multi-facteurs (MFA). Pourtant, nous savons que plus de 80% des brèches de sécurité trouvent aujourd’hui leur origine dans l’usurpation de comptes. Les entreprises qui considèrent que leur activité ou leur taille ne les exposent pas, ou bien qu’il n’est pas nécessaire de protéger tous les utilisateurs se trompent. L’attaquant continuera toujours de chercher le maillon le plus faible de l’organisation.

On entend beaucoup parler du “Passwordless” et de la fin du mot de passe. En quoi cette modernisation des méthodes d’authentification est-elle importante pour les entreprises ?

Jusqu’alors, les méthodes d’authentification trouvaient rapidement leurs limites, soit de par leur niveau de sécurité insuffisant, soit en raison de leur complexité d’usage et/ou de gestion. Les solutions d’aujourd’hui, telles que les clés de sécurité YubiKey, permettent d’envisager une réponse sans compromis, en favorisant le passwordless quand cela est possible. L’économie des coûts liés à la gestion des mots de passe dans l’entreprise permet bien souvent de financer tout ou partie d’un projet de modernisation de l’authentification. Avec une expérience simplifiée à l'extrême, cette transition vers un monde sans mot de passe permet une adhésion immédiate des utilisateurs.

Comment est perçue cette transition par les utilisateurs ?

Elle est attendue avec impatience par bon nombre d’entre eux. Le Digital est aujourd’hui aussi présent dans la sphère personnelle que dans le périmètre professionnel. Les enjeux de sécurité sont certes différents mais tout autant impactants pour l’utilisateur. Je pense qu’il est important de responsabiliser les utilisateurs en les associant au plus près des décisions de l’entreprise, et si possible en leur donnant l’opportunité de bénéficier du même niveau de sécurité dans leur environnement personnel. A l’heure où les environnements professionnels et personnels tendent à se superposer, il est important de considérer la sécurité au plus  proche de l’utilisateur, quel que soit le lieu ou le device. C’est notamment ce que Yubico peut proposer à ses clients entreprises.

Dans quelle mesure Yubico est associé à cette évolution ? 

Avec les Yubikeys, Yubico n’a plus à prouver sa position d’acteur leader dans la fabrication de solutions d’authentification forte universelles et sans compromis. Co-fondateur de l’Alliance FIDO, notre participation est également très active dans la conception et l’écriture des protocoles modernes d’authentification. FIDO2, protocole co-écrit par Yubico et devenu aujourd’hui un standard du web, est un bon exemple de notre contribution à cette évolution.

L’année 2020 a été un tournant en termes d’organisation des entreprises, avec la hausse du télétravail, mais aussi des menaces cyber, et des attaques de type phishing. Quels sont vos conseils pour s’adapter à ces nouveaux enjeux ?

Plus que jamais, l’authentification doit être au cœur des priorités des entreprises. Et le fait que le phishing soit l’attaque plébiscitée par les cybercriminels n’est pas le fruit du hasard. L’hameçonnage présente le meilleur ROI si l’on se place du point de vue de l’attaquant. Cela témoigne que le sujet de la sécurité des accès est encore loin d’être appréhendé correctement par les organisations.

Pourtant, les solutions existent, et répondent aujourd’hui aux 3 attentes majeures lorsque l’on parle d’authentification : un niveau de sécurité réellement accru, une expérience utilisateur des plus simples, un TCO réduit en regard des risques encourus. Planifier un POC (Proof of Concept) reste l’une des meilleures façons de se projeter avec pragmatisme et de valider les bénéfices attendus.