Les mots de passe sont présents depuis les prémices de l’ère digitale et ils font désormais partie de notre vie quotidienne. Des enquêtes ont montré qu’une personne a en moyenne plus de 100 mots de passe, et il est logique que ce nombre va augmenter avec la multiplication des applications et des services. Mais qui veut vraiment avoir davantage de mots de passe ?

Les mots de passe sont une grande source de frustrations pour les utilisateurs. Les règles qui les régissent sont de plus en plus complexes et fastidieuses. Ceci conduit en conséquence à un nombre accru de réinitialisations de mots de passe, ce qui entraîne de nouvelles étapes pour l’utilisateur. En fait, une étude ciblant les consommateurs aux États-Unis a montré que, en moyenne, un consommateur abandonne 16 achats en ligne par an en raison de frustrations liées aux mots de passe.

Les mots de passe ajoutent probablement des frictions à vos processus de vente et entraînent une baisse de vos revenus.

La raison d’être des mots de passe est, bien sûr, la sécurité. Toutefois, la vérité qui se cache derrière l’efficacité des mots de passe est bien différente. Comme nous l’avons constaté à de multiples reprises lors de failles de haut niveau, les mots de passe offrent peu de résistance aux acteurs malveillants. Les mots de passe sont les cibles les plus populaires et les plus fréquentes des hackers qui cherchent à voler des données et à obtenir des accès à distance.

Le terme « passwordless » résume assez bien toutes les alternatives aux mots de passe qui existent. Le but ultime est d’obtenir plus de commodité et de sécurité, mais chaque implémentation favorise généralement l’une par rapport à l’autre. Trouver le juste équilibre entre sécurité et commodité est difficile et celui-ci doit être adapté aux exigences spécifiques de votre base utilisateur. Une mauvaise implémentation peut au bout du compte entrainer un faible taux d’adoption, une perte de revenus ou, encore pire, une faille de sécurité.

En termes de sécurité, « Cet utilisateur est-il bien celui qu’il prétend être ? » est la vraie question qui se cache derrière n’importe quelle forme d’authentification. Les mots de passe s’appuyant sur des questions basées sur la connaissance, dont les réponses peuvent être facilement devinées, ils sont un faible facteur d’authentification. Les alternatives aux mots de passe, comme la biométrie, un jeton physique ou des codes à usage unique sont de meilleures options car ils impliquent des facteurs supplémentaires (soit quelque chose de physique que l’utilisateur a en sa possession ou un facteur humain qui représente quelque chose que cet utilisateur est ou fait), chacun d’entre eux étant bien plus difficile à imiter par un hacker. Bien que ces alternatives aient des défauts en matière de sécurité, elles sont plus difficiles à contourner que les seuls mots de passe traditionnels.

Du point de vue de la commodité, la question principale est « Comment puis-je rendre la connexion aussi rapide et facile que possible pour mes utilisateurs ? » Nous y faisons souvent référence comme l’authentification sans frictions. Le but ultime est de déplacer tous les processus d’authentification en arrière-plan, l’utilisateur n’ayant plus qu’à accéder aux services digitaux qu’il souhaite sans aucune interruption ni friction.

Les problèmes liés au passwordless ne sont pas nouveaux. Les organisations sont depuis longtemps conscients des problèmes liés à la sécurité et à l’expérience utilisateur. Auparavant, la technologie était un problème, mais de récents progrès ont rendu le passwordless plus accessible et facile à mettre en œuvre. Donc, si les avantages sont clairs, pourquoi les organisations ne s’empressent-elles pas de déployer des solutions passwordless ?

Voici quelques raisons :

La peur du changement

Les mots de passe sont presque aussi vieux que les ordinateurs. En bref, les organisations et, en particulier, les services en charge de la sécurité et des identités ont peur de modifier le statut quo. Ils doivent absolument surmonter cette barrière mentale qu’il est difficile de mesurer.

Integration

L’impact de l’intégration d’une solution passwordless est très large. Très souvent, les équipes en charge des applications ne sont pas prêtes pour de tels changements. Ceci car la transition peut nécessiter beaucoup de changements dans le code des applications. Cela implique des ressources de développement supplémentaires, plus de temps, plus d’argent, qui tous se font rares.

Tests et migration

Si le passwordless peut avoir un effet extrêmement positif sur l’expérience utilisateur, les organisations s’inquiètent également de perdre des clients lors du règlement des derniers ajustements. Personne ne veut mettre en place une approche ‘big bang’ en déployant entièrement le passwordless d’un seul coup et souffrir de nombreuses erreurs. Les organisations ont besoin d’un moyen plus simple de tester, optimiser et déployer les solutions.

Flexibilité

Une solution passwordless réussie doit tenir compte de nombreux scénarios utilisateurs différents. Elle doit être compatible avec plusieurs navigateurs, terminaux, applications, etc. différents. Vous devez pouvoir apporter des modifications et supporter rapidement ces différents scénarios les uns après les autres pour procurer l’expérience omnicanal que vos utilisateurs attendent.

L’orchestration des identités s’est imposée comme une fonctionnalité fondamentale pour aider les organisations à accélérer leurs ambitions passwordless. L’orchestration des identités permet aux organisations d’intégrer et de créer rapidement des workflows d’identités dans de nombreux services et applications de façon no-code/low-code. Alors que les cas d’usage des identités sont de plus en plus sophistiqués et granulaires, l’orchestration est essentielle pour les organisations qui veulent tout gérer depuis un seul endroit.

L’orchestration permet aux entreprises de mettre facilement en place l’authentification passwordless en se concentrant sur ce qui est le plus important, à savoir l’expérience utilisateur. Voici comment :

Intégration des applications

L’intégration des applications est un problème courant qui mine les efforts vers le passwordless et la gestion des identités en général. L’installation des applications est une tâche difficile en soi, et le fait d’en intégrer dans un écosystème passwordless plus large rend le tout encore plus difficile. L’orchestration aide à résoudre ces deux aspects grâce à des « connecteurs » prêts à l’emploi.

Grâce aux connecteurs, vous pouvez intégrer facilement de nouvelles applications et logiques au sein d’un parcours utilisateur. Mais vous pouvez également modifier leurs méthodes d’authentification pour passer des mots de passe standard au passwordless. Si vous voulez ajouter un QR code ou un code à usage unique, par exemple, vous pouvez le faire au sein de l’interface d’orchestration au lieu de plonger dans le code de base de l’application. Ceci économise une grande partie des ressources et du temps de développement.

Tests A/B

Le Passwordless a pour but de créer une expérience utilisateur à la fois meilleure et plus sécurisée. Vous devez pouvoir tester l’expérience utilisateur pour divers scénarios et terminaux. L’orchestration fournit cette capacité via les tests A/B.

Les tests A/B vous permettent d’ajuster les paramètres passwordless et de les tester dans la perspective de l’utilisateur. C’est important, car vous pouvez faire des changements en succession rapide.

Segmentation des utilisateurs

Les mots de passe sont tellement intégrés à notre façon de penser et aux infrastructures informatiques que la plupart des organisations ne veulent simplement pas passer au passwordless du jour au lendemain. Une approche par étapes est donc recommandée. Vous devez plutôt chercher à résoudre les obstacles que vous rencontrez dans la mise en œuvre du passwordless avec un groupe test d’utilisateurs avant de le déployer à grande échelle.

C’est là que les fonctionnalités de segmentation des utilisateurs de l’orchestration sont fondamentales. Elles vous permettent de recueillir le feedback des utilisateurs, de collecter les données et de tester diverses hypothèses pour affiner votre authentification passwordless. Ceci vous donnera une meilleure confiance dans votre déploiement à grande échelle.

Lors du choix parmi les différentes formes du passwordless, il est important de penser à vos utilisateurs, à leurs terminaux, aux données auxquelles ils accèdent, à votre infrastructure existante et aux exigences réglementaires. Les différentes variantes du passwordless ont leurs avantages et leurs inconvénients en matière de sécurité et d’expérience. L’un des principaux avantages de l’orchestration est de multiplier le nombre de flux passwordless que vous pouvez mettre en œuvre. Examinons quelques flux.

FIDO

FIDO (Fast Identity Online) est un standard ouvert d’authentification passwordless qui est en train de s’imposer comme le standard en or, spécialement pour les collaborateurs. FIDO fournit la meilleure défense contre les attaques courantes ciblant les mots de passe telles que le phishing et les attaques man-in-the-middle. L’orchestration vous permet de mettre en œuvre et de tester l’authentification FIDO en vous concentrant sur l’expérience utilisateur et non sur le développement en backend.

MFA Passwordless

La forme sans doute la plus fréquente du passwordless utilise le MFA, dans lequel un autre facteur - par exemple biométrique ou une appli d’authentification - remplace le mot de passe comme facteur principal. Les organisations ont tendance à associer le MFA passwordless à des technologies d’évaluation des risques et de la confiance envers les terminaux. Ces solutions proviennent souvent de multiples fournisseurs tiers, et historiquement, leur intégration à votre infrastructure d’identité a toujours été un processus chronophage et compliqué.

L’orchestration simplifie l’intégration du MFA, de l’évaluation des risques et de la confiance envers les terminaux afin que vous puissiez vous concentrer sur ce qui est le plus important, à savoir l’expérience utilisateur. Vous aurez la visibilité sur où et quand les demandes de MFA ont lieu, le moment précis où la confiance envers le terminal est vérifiée ainsi que la façon dont les éventuels risques sont évalués. Le bénéfice est une expérience sur mesure utilisant des tierces parties orientées vers vos utilisateurs et non l’inverse.

Lien magique

Une autre forme de passwordless, c’est le lien magique, lorsque les utilisateurs reçoivent un lien à usage unique sur leur adresse email, qui les authentifie et leur fournit un accès. C’est un moyen simple et pratique pour les utilisateurs de s’authentifier, en particulier pour les cas d’usage des clients. Le principal inconvénient de l’adoption du lien magique a été les ressources de développement nécessaires pour le mettre en œuvre et/ou la nécessité d’ajouter l’intégration d’une tierce partie.

L’orchestration simplifie le processus de mise en oeuvre de l’authentification passwordless avec un lien magique. Elle permet d’ajouter facilement un connecteur de lien magique à vos flux d’authentification sans développement significatif. Si vous utilisez une intégration tierce, cela peut également être réalisé no-code.

Nous espérons vous avoir convaincu des avantages que présente le recours à une plateforme d’orchestration pour déployer l’authentification passwordless. L’orchestration ne prend pas seulement en charge l’intégration et la logique, mais elle vous offre aussi une vue d’ensemble sur l’expérience utilisateur. Chez Ping, nous avons notre propre service d’orchestration appelé DaVinci, et c’est la base de la PingOne Cloud Platform. Ci-dessus figurent ses caractéristiques uniques.

Dépendance d’aucun fournisseur

Avec DaVinci, vous n’avez pas à utiliser uniquement les fonctionnalités de PingOne Cloud Platform. Vous pouvez utiliser n’importe quelle technologie, y compris les fonctionnalités de nos concurrents. C’est une grande différence par rapport à beaucoup d’autres plates-formes d’orchestration qui limitent la portée des intégrations à d’autres produits dans le portefeuille du fournisseur. Chez Ping, nous considérons que les clients doivent avoir le choix.

Tous les types d’identité

Alors que certains services d’orchestration se concentrent exclusivement sur les identités des collaborateurs ou celles des clients, DaVinci peut toutes les gérer.

Nombre de connecteurs

Les fonctionnalités d’orchestration sont aussi performantes que leurs intégrations. Moins d’un an après son lancement, DaVinci offre déjà plus de 100 intégrations ou connecteurs. Ce nombre augmentera au fur et à mesure que nous permettrons à nos partenaires et à nos clients d’élaborer les leurs.

Si vous êtes en route vers le passwordless, l’orchestration est un bon point de départ. Elle vous donnera la flexibilité dont vous avez besoin pour tester votre solution et la déployer à grande échelle. Et cela vous évitera de devoir apporter des modifications en cours de route. Surtout, vous pourrez vous concentrer sur ce qui compte vraiment : fournir une excellente expérience et la meilleure sécurité qui soit.

Pour en savoir plus sur DaVinci et ses fonctionnalités d’orchestration, veuillez consulter notre livre blanc.