Alors que nous entrons dans une nouvelle décennie, il est intéressant de voir dans quelle mesure nous avons progressé au cours des 10 dernières années en termes d'accès et de gestion des identités. Lorsque les années 2010 ont commencé, seulement 38% des violations de données ont utilisé des informations d'identification volées; en 2017, ce chiffre était de 81%. À mesure que le rythme de la numérisation s'est accéléré, l'assurance de l'identité et de l'accès est devenue un problème critique et le contrôle le plus important pour gérer le risque numérique.
D'une base de données eBay volée en utilisant les informations d'identification des employés en 2014, aux mots de passe de violations de haut niveau de sociétés telles que Google, Yahoo et Hotmail qui se retrouvent toutes en vente sur le Dark Web; l'identité a été au cœur de certains des principaux incidents de sécurité au cours de la dernière décennie.
Sommaire
A propos de l'auteur
Jim Ducharme, vice-président des produits d'identité et de fraude et de renseignements sur les risques chez RSA Security.
Alors que nous sommes devenus plus dépendants des interactions numériques qui reposent sur des identités, de nouveaux défis de sécurité sans précédent ont été soulevés. Nous devons pouvoir faire confiance à l'appareil, aux réseaux et à l'utilisateur; même si nous ne pouvons souvent plus voir qui ou quoi. L'identité est devenue une faiblesse cruciale que les pirates informatiques exploitent. Mais avec l'accent accru mis sur l'identité, les organisations ont également la possibilité de trouver un meilleur équilibre entre la sécurité des terminaux, l'innovation et l'expérience d'authentification d'un employé.
Nous avons déjà constaté une énorme augmentation du vol d'identité, avec des informations d'identification à vendre et des milliers et des mots de passe utilisés pour attaquer de manière malveillante les entreprises, mais la prochaine décennie verra une évolution de la sécurité d'identité, avec des stratégies d'identité sécurisées mais conviviales à l'horizon. De l'utilisation des nouvelles technologies, y compris celles intégrées dans les smartphones d'aujourd'hui, à l'élimination totale du mot de passe redouté, nous pouvons nous attendre à ce que les dix prochaines années transforment l'impact de l'identité sur les entreprises et les pirates de plusieurs manières clés:
1. Le vol d'informations d'identification devient un détournement d'informations d'identification
Nous continuons de voir la même tendance de sécurité se répéter année après année – les informations d'identification compromises sont le vecteur d'attaque numéro un pour les acteurs malveillants; le marché des informations d'identification d'entreprise volées est devenu une entreprise en plein essor pour les cybercriminels au cours de la dernière décennie. À l'avenir, cependant, nous pouvons nous attendre à ce que les pirates commencent à déplacer leurs attaques de la simple utilisation des informations d'identification volées disponibles sur le dark web, à l'infiltration de mécanismes de récupération de mot de passe afin de récolter puis de réinitialiser les informations d'identification des utilisateurs eux-mêmes. En d'autres termes, les attaquants prendront avec succès le contrôle des identités des utilisateurs et les rétabliront avec de nouveaux noms d'utilisateur et mots de passe, accédant ainsi aux ressources critiques des organisations.
Alors que la surface d'attaque s'éloigne de la simple tentative de connexion avec des informations d'identification volées, les enjeux deviendront beaucoup plus importants et nécessiteront une nouvelle approche de sécurité axée sur la surveillance des employés pour prouver qu'un utilisateur est ce qu'il dit être – même s'il s'est connecté apparemment légitimement.
2. L’authentification «sans mot de passe» est à l’horizon, mais nous devons nous préparer aux conséquences
Alors que les entreprises continuent de chercher des moyens de protéger les utilisateurs tout en rendant la sécurité aussi transparente et invisible que possible, nous verrons une augmentation considérable de ceux qui adoptent des innovations de sécurité «sans mot de passe». Mais alors qu'il devient assez courant de tirer parti de l'identification du visage ou des empreintes digitales, la plupart des authentifications sans mot de passe sont toujours enracinées et dépendent de la gestion des mots de passe et des noms d'utilisateur pour l'inscription et la récupération des comptes. Pour cette raison, ils sont vraiment «moins de mots de passe» plutôt que vraiment «sans mot de passe». Alors que le chemin vers une véritable authentification sans mot de passe se poursuit, les organisations devront également réfléchir aux besoins variés des utilisateurs dans leurs organisations, compte tenu de la dynamique en jeu. Par exemple, comme pour tout changement informatique, il y aura probablement une charge initiale et évolutive sur le support du service d'assistance; les utilisateurs qui ne sont pas tenus d'utiliser un mot de passe au quotidien sont presque certains d'oublier et d'ignorer les informations d'identification à un taux plus élevé, nécessitant ainsi plus d'assistance qu'auparavant.
3. L'authentification aura besoin d'une touche personnelle
Alors que nous nous dirigeons vers le monde sans mot de passe, les organisations sont aujourd'hui confrontées à une pléthore de choix en ce qui concerne leurs stratégies d'authentification. Grâce à l'innovation et à l'évolution constante de la technologie, les utilisateurs disposent désormais de bien plus de moyens que jamais pour vérifier qui ils se disent et accéder aux ressources; des notifications push, aux comportements, aux mots de passe à usage unique, à la biométrie, aux jetons matériels et plus encore. Cela peut rendre difficile pour les organisations de choisir la stratégie d'authentification appropriée. Une chose est sûre: il n’existera pas de solution unique pour les besoins variés de gestion des identités et des accès dans les différentes organisations dotées d’une main d’œuvre dynamique. Nous pouvons nous attendre à voir des organisations prendre des décisions beaucoup plus personnalisées en matière d'authentification, afin qu'elles puissent trouver leur propre équilibre entre la sécurité et l'expérience utilisateur.
4. Préparez-vous à l'essor des machines
Ce ne sont pas seulement les employés qui présenteront de nouveaux défis d'identité au cours de la prochaine décennie – nous continuerons d'interagir avec les appareils de nouvelles façons. Ce n'est qu'une question de temps avant que les appareils intelligents pour la maison comme Alexa, Siri, Google Home, les ampoules intelligentes et les appareils d'accès comme les verrous de porte intelligents commencent à passer des appareils purement grand public à être exploités dans les entreprises et les entreprises. Comme ces technologies d'automatisation nous aident dans des tâches de plus en plus complexes, la nécessité pour ces appareils de comprendre qui peut les commander et pour qui ils agissent au nom deviendra beaucoup plus critique. Donc, comme nous utilisons une assistance personnelle basée sur la technologie pour des parties plus critiques de nos vies et de nos entreprises, il importera certainement de qui "Siri" et d'autres appareils prendront les commandes.
Bienvenue en 2020!
Alors que la prochaine décennie apporte de nouvelles technologies, de nouvelles opportunités et de nouveaux défis, l'identité deviendra une priorité absolue dans la conversation sur la cybersécurité. Avec des attaquants développant des moyens plus intelligents de compromettre les informations d'identification et à mesure que les appareils automatisés se répandent dans nos mondes d'entreprise, l'identité deviendra à la fois un champ de bataille clé et une opportunité. Les lignes floues entre les technologies d'entreprise et de consommation signifient que toute stratégie d'identité doit être à la fois sécurisée et pratique. Le succès consistera à trouver le bon équilibre.