Meilleures pratiques de résistance au phishing sans mot de passe : Lire le rapport Gartner

Nous entendons souvent parler du besoin urgent de résister au phishing, et il est vrai que le phishing représente une menace importante - comme l'ont montré les récentes attaques sur les sites de Changer les soins de santé et Fidelity Investments démontrer.

Le phishing est un type de cyberattaque où les attaquants incitent les utilisateurs à révéler des informations d'identification ou des informations sensibles, souvent par le biais de courriels, de sites web ou de messages trompeurs. Les méthodes d'authentification résistantes au phishing, y compris les approches sans mot de passe, sont conçues pour empêcher le vol d'informations d'identification en liant l'authentification à un appareil ou à une origine et en éliminant les secrets partagés.

Authentification sans mot de passe : qu'attendez-vous ?

Nous entendons également beaucoup parler de l'importance de l'authentification sans mot de passe pour rendre les organisations résistantes à l'hameçonnage, avec des directives telles que M-22-09, Executive Order 14028, et M24-14 qui exigent plus qu'une simple authentification multifactorielle (MFA). OMB - La directive M-22-09 stipule ce qui suit "Les agences sont encouragées à utiliser davantage l'authentification multifactorielle sans mot de passe lorsqu'elles modernisent leurs systèmes d'authentification.

Mais la nécessité de l'absence de mot de passe va au-delà de la lutte contre le phishing et s'étend plus largement à la création d'environnements d'authentification offrant une protection réelle pour repousser les cyberattaques de toutes sortes. Comme l'indique le rapport Gartner Migrer vers l'authentification sans mot de passe pour renforcer la sécurité et optimiser l'interface utilisateur souligne :

"Les organisations qui continuent à utiliser des mots de passe, même dans le cadre de l'authentification multifactorielle (AMF), sont moins sûres que celles qui ont migré vers des méthodes sans mot de passe.

Chez RSA, nous nous demandons souvent pourquoi un plus grand nombre d'organisations n'ont pas progressé vers l'adoption de l'authentification sans mot de passe. Le rapport Gartner examine en profondeur les facteurs qui freinent les organisations, partage des recommandations pratiques pour aller de l'avant et définit une approche progressive pour saisir toutes les opportunités de passer à l'authentification sans mot de passe.

Compte tenu de l'adaptation de la culture et des systèmes qui doit être envisagée lors du passage à l'absence de mot de passe, il peut être raisonnable que les organisations semblent hésiter. Mais compte tenu du risque avéré de vol de données d'identification, il est logique d'agir le plus tôt possible. Plus vos utilisateurs ont de mots de passe dans votre environnement, plus le risque est grand.

Si les RSSI ou les responsables de la gestion des identités et des accès (IAM) craignent d'investir trop tôt dans une nouvelle technologie sans mot de passe, ils seront entre-temps confrontés au risque bien réel d'être victimes d'une attaque basée sur les informations d'identification. Ces risques de cybersécurité semblent l'emporter sur les hésitations de la plupart des organisations.

L'Alliance FIDO indique que 87% des entreprises déploient ou prévoient de déployer des passkeys pour améliorer la sécurité et l'expérience utilisateur. Et les entreprises ne sont pas les seules concernées : les consommateurs s'orientent de plus en plus vers l'authentification sans mot de passe, avec plus de 175 millions de clients d'Amazon qui utilisent désormais des passkeys pour se connecter.

Tactiques d'hameçonnage courantes pour contourner les faiblesses de l'AMF

Même les organisations qui utilisent un système d'authentification traditionnel peuvent être vulnérables si les méthodes d'authentification ne sont pas résistantes au phishing :

• Interception des données d'identification : Les OTP envoyés par SMS, e-mail ou applications d'authentification peuvent être capturés.
• Attaques de type "Man-in-the-middle" : Les attaquants incitent les utilisateurs à fournir des informations d'identification via de faux portails de connexion.
• Enregistreurs de frappe de logiciels malveillants : Les logiciels enregistrent les frappes au clavier, y compris les mots de passe et les OTP.
• Kits d'hameçonnage : Les cadres d'attaque automatisés ciblent les méthodes d'AMF qui ne sont pas liées cryptographiquement à l'appareil ou à l'origine.

Le rapport Gartner indique que les entreprises peuvent mettre en œuvre avec succès une solution sans mot de passe en procédant par étapes : "Les responsables de la gestion des identités et des accès doivent adopter une approche progressive.

Le rapport propose quatre mesures spécifiques que les organisations doivent prendre :

1. Identifier les cas d'utilisation, en commençant par un inventaire des endroits où les mots de passe sont utilisés.
2. Se mettre d'accord sur les états cibles en fonction des objectifs de sécurité et d'ergonomie.
3. Identifier les préférences entre les différentes méthodes et les différents flux.
4. Créer une feuille de route pour les cas d'utilisation de la main-d'œuvre et des clients.

Au Conférence RSAC 2025, J'ai expliqué que l'absence de mot de passe est un parcours qui nécessite autant d'audit des méthodes d'authentification actuelles et du déploiement de l'AMF que de planification pour l'avenir. Les organisations peuvent constater que si elles disposent actuellement d'une authentification forte, elles sont peut-être déjà à mi-chemin du passage à l'absence de mot de passe.

Le MFA résistant à l'hameçonnage fonctionne en liant l'authentification à l'appareil et à l'origine de l'utilisateur et en éliminant les secrets partagés sur le réseau. Les méthodes utilisées sont les suivantes :

• Passkeys et notifications push basées sur l'application : Les utilisateurs peuvent approuver ou refuser les demandes d'authentification à partir d'un appareil mobile sans envoyer de mots de passe sur le réseau.
• Facteurs basés sur l'appareil : La vérification de l'identité est liée à un appareil spécifique, et non à des informations d'identification partagées.
• Authentification basée sur le matériel : Les authentificateurs RSA iShield Key 2 Series et RSA DS100 prennent en charge l'authentification sans mot de passe FIDO2.
• Biométrie : Reconnaissance des empreintes digitales et des visages sur les appareils Android, iOS et Windows.
• Cartes à puce / certificats PKI : Courantes dans les administrations publiques et les secteurs hautement réglementés.

Pourquoi les entreprises ont-elles besoin d'un système de gestion de la relation client (MFA) résistant à l'hameçonnage ?

• La sophistication croissante des attaques de phishing ciblant les OTP et l'AMF traditionnelle
• Pilotes réglementaires (NIST 800-63B, Executive Orders 14028, CISA Zero Trust guidance)
• Risque de vol de données d'identification dans le monde réel
• Amélioration de la sécurité et de l'expérience utilisateur par rapport à l'AMF traditionnelle

Le rapport Gartner indique que “les responsables de la gestion des identités et des accès doivent mettre en œuvre des méthodes sans mot de passe lorsqu'elles sont facilement prises en charge et prendre des mesures supplémentaires pour étendre l'authentification sans mot de passe à d'autres cas d'utilisation”.”

Pour les organisations qui cherchent à mettre en œuvre des solutions sans mot de passe, RSA propose une grande variété de capacités et de ressources spécifiques sans mot de passe, toutes disponibles au sein de RSA Unified Identity Platform, alimentée par l'IA.

• Clés d'accès : RSA prend en charge les clés de passage par l'intermédiaire de la fonction Application RSA Authenticator, qui permet aux utilisateurs d'enregistrer un dispositif en tant que mot de passe et de l'utiliser pour l'authentification sans mot de passe.
• Notifications push basées sur l'application : RSA propose des notifications push basées sur l'application qui permettent aux utilisateurs d'approuver ou de refuser les demandes d'authentification à partir de leurs appareils mobiles.
• Facteurs liés à l'appareil : RSA vérification de l'identité permettent notamment de lier l'identité à un appareil spécifique, et non à un ensemble d'informations d'identification susceptibles d'être ciblées par des attaques de type "phishing" ou autres.
• Authentification basée sur le matériel : L'authentification Série RSA iShield Key 2 d'authentificateurs et le RSA DS100 authenticator offrent tous deux une authentification sans mot de passe basée sur FIDO2 pour les cas d'utilisation où la biométrie ou les téléphones mobiles ne conviennent pas, comme lorsque les professionnels de la santé doivent porter des gants et des masques en plastique, ou dans les salles blanches qui ne permettent pas l'utilisation d'appareils connectés à l'internet.
• Biométrie : RSA prend en charge la reconnaissance des empreintes digitales et des visages sur les appareils Android et iOS. Nous prenons également en charge Windows Hello en tant que méthode d'authentification biométrique pour les utilisateurs de Windows.

Outre les solutions sans mot de passe et basées sur l'appareil de RSA, les organisations peuvent utiliser d'autres technologies MFA résistantes à l'hameçonnage pour renforcer la sécurité :

• Cartes à puce / Certificats PKI : Certificats stockés sur des dispositifs sécurisés, souvent utilisés dans les administrations et les secteurs hautement réglementés pour une authentification forte.
• Passkeys pour mobiles et ordinateurs de bureau : Des informations d'identification liées à l'appareil qui permettent une connexion transparente, sans mot de passe, entre les différentes plates-formes.
• L'AMF adaptative : Authentification contextuelle qui combine les signaux de l'appareil, la géolocalisation et le comportement de l'utilisateur pour renforcer la vérification en cas de risque détecté.
• Jetons de sécurité logiciels : Clés générées par cryptographie et stockées sur des applications sécurisées répondant aux normes de résistance à l'hameçonnage (par exemple, les applications conformes à FIDO2).

Ces technologies, associées à une stratégie de déploiement progressif, aident les entreprises à mettre en place un cadre d'authentification stratifié et résistant à l'hameçonnage, qui protège à la fois les identités du personnel et celles des clients.

Avantages de l'AMF résistante à l'hameçonnage

• Stoppe les attaques par hameçonnage et rejeu d'informations d'identification
• Respecter les mandats de conformité et les normes réglementaires
• Amélioration de l'expérience de l'utilisateur par rapport à l'AMF basée sur l'OTP
• Réduit le risque de compromission des comptes dans les systèmes de l'entreprise et des clients

Pour les organisations à la recherche d'une authentification matérielle de niveau entreprise, la solution Série RSA iShield Key 2 offre une solution sécurisée, conforme et conviviale. Associée à la gamme complète d'options MFA sans mot de passe et résistantes au phishing de RSA, elle contribue à protéger votre organisation contre les attaques modernes par identifiant tout en simplifiant l'accès des utilisateurs.

En savoir plus sur la capacités sans mot de passe disponible dans le cadre de RSA ID Plus, et s'inscrire pour un essai gratuit pour découvrir par vous-même comment RSA peut vous aider à accélérer votre parcours vers l'authentification sans mot de passe.

Gartner, Inc. Migrer vers l'authentification sans mot de passe pour renforcer la sécurité et optimiser l'interface utilisateur. Ant Allan, James Hoover. Publié à l'origine le 30 août 2024

GARTNER est une marque déposée et une marque de service de Gartner, Inc. et/ou de ses filiales aux États-Unis et dans le monde. Tous les droits sont réservés.