Voici deux chiffres qui devraient déranger tout le monde : 92% des organisations mettent en place un système sans mot de passe. Seules les 7% sont devenues totalement dépourvues de mot de passe.
Cette lacune n'est pas un problème technologique. Les outils existent. Les normes sont mûres. L'intention est là. L'argumentaire est clair : moins de vulnérabilités, moins de coûts, une meilleure expérience pour l'utilisateur. Et pourtant, la plupart des organisations continuent à taper des mots de passe tous les jours.
Pourquoi cette lacune ?
Le paradoxe de l'adoption existe peut-être parce que les organisations pensent qu'elles ne disposent pas de suffisamment de données pour comprendre nos environnements complexes : systèmes existants, utilisateurs divers et conditions réelles incohérentes.
Les plateformes d'identité génèrent déjà de grandes quantités de données télémétriques chaque jour : événements d'authentification, schémas d'accès, taux d'échec, signaux comportementaux. La plupart des équipes de sécurité consomment ces données. Très peu les interrogent.
Dans la pratique, la télémétrie d'identité est souvent utilisée pour les audits et les rapports de conformité, et elle s'arrête là. Ce qui laisse certaines des questions les plus importantes - comme la raison pour laquelle une organisation s'efforce de se passer de mot de passe - sans réponse :
- Où les utilisateurs rencontrent-ils des difficultés et pourquoi ?
- Où la confiance se brise-t-elle dans la pratique ?
- Quels sont les contrôles qui améliorent réellement les résultats ?
Au cours de l'année écoulée, j'ai réalisé que les données d'identité n'ont pas de valeur en soi. Elles n'ont d'importance que lorsqu'elles conduisent à l'action. Et ce sont les bonnes questions qui font émerger les bons signaux dont les organisations ont besoin pour conduire cette action.
Prenons l'exemple de l'adoption sans mot de passe. Elle se résume à trois questions :
La première : l'absence de mot de passe est-elle accessible à tous ?
Pas en théorie, mais en pratique. L'écart entre ce qui est déployé et ce que les utilisateurs peuvent réellement utiliser est souvent beaucoup plus important que ne le suggèrent les tableaux de bord. Les signaux de cet écart apparaissent généralement là où les équipes ne regardent pas activement.
Deuxièmement : les utilisateurs peuvent-ils accéder partout sans mot de passe ?
Les utilisateurs peuvent-ils accéder au chemin sécurisé partout où ils en ont besoin ? Un seul flux de travail, un seul système ou une seule exception qui oblige à trouver une solution de contournement peut bloquer l'adoption de l'accès sans mot de passe. Les utilisateurs ne pensent pas en termes de systèmes, mais d'expériences.
Troisièmement : l'absence de mot de passe fonctionne-t-elle toujours ?
Pas au bureau, pas dans les bons jours, mais à chaque fois, dans chaque environnement dans lequel vos utilisateurs opèrent réellement. Les utilisateurs ne se replient pas sur les mots de passe parce qu'ils les préfèrent. Ils se replient parce que la voie sécurisée les a laissés tomber au moment le plus important.
À Identiverse, j'expliquerai comment ce type de questions peut modifier ce que vous mesurez, où les signaux induisent les équipes en erreur et comment ils remodèlent ce qui est construit.
Chez RSA, nous avons testé cette hypothèse sur nous-mêmes. Nous avons mis en place un système sans mot de passe pour chaque employé, chaque connexion, chaque cas d'utilisation. L'entreprise est devenue le banc d'essai.
L'objectif était simple : 100% sans mot de passe. Et nous étions convaincus de l'avoir atteint.
Nous avons ensuite examiné la télémétrie.
Les utilisateurs saisissaient encore des mots de passe. Tous les jours. Malgré le déploiement, la formation et la politique.
Une question difficile se pose alors : pourquoi ?
La seule réponse honnête était d'arrêter de deviner et de commencer à suivre les données.
Ce qui a suivi a remodelé nos décisions, nos politiques et la conception de nos produits et nous a finalement permis d'arriver là où nous devions être : sans mot de passe pour notre main-d'œuvre mondiale dans des environnements diversifiés. L'Alliance FIDO a documenté ce voyage dans un étude de cas, Il explique les technologies, les défis et les leçons tirées de l'expérience.
C'est ici que l'histoire change. En 12 mois, nous avons adopté 94% sans mot de passe au sein de notre effectif mondial.
Au début, on a eu l'impression que le plus dur était fait.
Mais la plupart des violations modernes n'impliquent pas le piratage de l'authentification. Elles impliquent de la contourner. Les attaques de fatigue MFA, l'ingénierie sociale du service d'assistance et le spear phishing alimenté par l'IA qui cible les processus humains plutôt que les systèmes. Dans de nombreux incidents récents, les attaquants n'ont jamais touché à l'authentification. Ils l'ont contournée.
Violations de données chez Caesars Entertainment Group, MGM Resorts, Marks & Spencer, et d'autres organisations nous ont obligés à repenser les points de rupture de confiance dans le parcours de l'identité.
Des références solides sont nécessaires mais pas suffisantes.
Nous avons donc étendu notre télémétrie, au-delà de l'authentification, à l'ensemble du cycle de vie des informations d'identification, en particulier aux flux de travail relatifs à la récupération et à l'accès aux comptes.
Et une question est devenue cruciale :
La récupération est-elle plus facile que la connexion ?
Je partagerai les signaux que nous avons commencé à suivre à travers la récupération, ce qu'ils ont révélé, et comment le fait de combler ce fossé a changé notre vision de la confiance continue.
À Identiverse, j'approfondirai ces idées. L'absence de mot de passe a été notre terrain d'essai, mais poser les bonnes questions sur la télémétrie de votre identité n'a rien à voir avec l'absence de mot de passe, ni avec l'absence de mot de passe. seulement sans mot de passe. Cela s'applique tout autant à la fatigue de l'AMF, aux lacunes de la confiance zéro ou à toute autre initiative de sécurité que vous essayez de mener.
Rejoignez mon session le jeudi 18 juin à 10h15.
Alors arrêtez-vous au RSA à l'adresse suivante Identiverse Stand #1001 pour voir comment RSA offre une solution sans mot de passe pour chaque utilisateur, dans chaque environnement, pour chaque cas d'utilisation et pour démontrer comment RSA Live Verify contribue à combler le déficit de récupération dont nous avons parlé.
