L’authentification multifacteur pour les clients

Supprimez les frictions sans sacrifier la sécurité

Read Time: 11 minutes

Résumé

Il est fondamental de protéger les identifiants et les données de vos clients si voulez les garder avec vous. Alors que diverses violations des données font la une de l’actualité, les clients ont de plus en plus conscience des menaces potentielles de sécurité. Pour cette raison, ces clients inquiets sont aussi plus attentifs à la manière dont les organisations sécurisent leurs données et protègent en général leurs identités.

Certains vecteurs d’attaque, comme les tentatives de vols d’identifiants de clients par des attaques brutes, peuvent être réduits de manière proactive si des mesures de sécurité sont mises en place au sein de votre organisation. Mais d’autres attaques, notamment le phishing ou le partage d’identifiants ayant été compromis dans d’autres organisations, sont plus difficiles à devancer. Dans tous ces cas, si vous étiez malheureusement la cible d’une attaque, la réputation de votre entreprise et de votre marque pourrait être menacée.

L’authentification multifacteur (MFA) permet d’instaurer une couche de protection supplémentaire pour votre entreprise et vos clients. Le MFA ne s’adresse plus seulement à l’utilisation qui en est faite par les employés ; il peut servir à sécuriser les interactions de vos clients avec vos biens numériques et réduire l’effet d’entraînement engendré par des identifiants ayant été compromis.

Cela étant dit, bien que des solutions de vérification telles que le MFA puissent certainement renforcer la sécurité, ces solutions peuvent aussi rendre les expériences de connexion plus frustrantes pour les utilisateurs si elles ne sont pas réalisées correctement. Les clients veulent des expériences rapides et sans frictions, mais ils attendent aussi des organisations qu’elles les protègent contre les failles, les violations de la vie privée et les fraudes sans compromettre ces expériences. Aussi, satisfaire les hautes exigences des clients a mis les organisations sous une pression constante pour trouver l’équilibre entre la sécurité et la commodité dans leurs expériences numériques, dans le but de stimuler l’engagement, la satisfaction et au final la fidélité des clients.

La bonne nouvelle, c’est que la sécurité et la commodité du client ne doivent pas être mutuellement exclusives. Toutefois, pour obtenir un MFA adapté aux clients, vous devez faire des choix de mise en œuvre qui garantissent à la fois une expérience client et une sécurité qui soient optimisées pour divers cas d’usage. Vous devez également déterminer la meilleure manière de présenter le MFA à votre clientèle et décider si cela implique de le rendre obligatoire ou facultative.

La mise en place de l’authentification multifacteur pour une utilisation faite par les clients requiert une planification attentive. Mais lorsqu’elle est réalisée correctement, elle peut procurer à vos clients la sécurité supplémentaire dont ils ont besoin, sans sacrifier l’expérience fluide qu’ils espèrent.

Avec 56 % des clients ayant abandonné un compte après avoir été frustrés en essayant de se connecter et 60 % d’entre eux ayant abandonné un service car ils s’inquiétaient de la manière dont leurs données étaient utilisées, les attentes des clients d’aujourd’hui sont plus élevées que jamais.¹

Qu’est-ce que l’authentification multifacteur ?

Le MFA est devenu une réalité pour les clients lors de la création de compte et la connexion à des sites web, mais son sens n’est pas toujours clair. L’authentification multifacteur⁠, comme son nom l’indique, fait référence à l’utilisation de deux facteurs ou plus (c’est-à-dire des identifiants) lors de l’authentification d’un utilisateur. Ces facteurs doivent provenir d’au moins deux catégories parmi les trois qui suivent :

Une chose que vous connaissez

Les mots de passe, les codes PIN ou les schémas qui constituent généralement le premier facteur d’authentification sont basés sur les connaissances et peuvent prendre la forme de questions telles que « Quel est le nom de jeune fille de votre mère ? ».

Une chose que vous possédez

Les facteurs d’authentification inclus dans cette catégorie vérifient que vous possédez un objet en particulier. Des exemples peuvent inclure de recevoir un SMS sur votre téléphone portable ou d’insérer votre carte bancaire dans un distributeur.

Une chose que vous êtes ou que vous faites

Cette catégorie de MFA fait référence à la biométrie, c’est-à-dire les méthodes de vérification les plus courantes incluant le scan d’une empreinte digitale, la reconnaissance faciale ou vocale.

Lorsqu’un utilisateur est authentifié à l’aide de facteurs inclus dans au moins deux de ces catégories, un niveau de confiance supérieur peut être associé à l’utilisateur. Selon les exigences de sécurité de votre organisation, vous pourriez tout à fait employer ce niveau supérieur de confiance uniquement pour les transactions de valeur élevée.

Le MFA moderne permet également d’accroître les exigences d’authentification en s’appuyant sur le risque contextuel. Par exemple, si un utilisateur essaye de s’authentifier à partir d’un appareil qu’il a utilisé à plusieurs reprises auparavant, vous pouvez lui autoriser immédiatement l’accès. Toutefois, s’il essaye de s’authentifier à partir d’un nouvel appareil, vous pouvez demander l’approbation par un appareil connu et de confiance.

Pourquoi proposer le MFA aux clients ?

80 % des failles impliquent des attaques par force brute ou l’utilisation d’identifiants perdus ou volés.² Dit autrement, les mots de passe, à eux seuls, ne sont pas à la hauteur. Alors qu’une personne utilise en moyenne 191 services nécessitant des mots de passe ou d’autres identifiants, vos clients (disons nous tous) ont bien plus de mots de passe à suivre que jamais.³ Aussi, la plupart des utilisateurs choisissent des mots de passe faibles et faciles à retenir. Ensuite, ils réutilisent les mêmes mots de passe sur divers sites web. Les hackers connaissent la nature humaine et la pourchassent chaque jour.

Les identifiants des clients peuvent être volés de plusieurs manières, les trois plus courantes étant :

Le phishing

Les hackers prétendent être quelqu’un à qui une autre personne fait confiance en envoyant un e-mail donnant l’impression qu’il provient de quelqu’un ou d’une entreprise que l’on connait. L’utilisateur est généralement conduit vers un faux site, qui semble légitime, sur lequel il est invité à se connecter. Une fois que l’utilisateur a saisi les informations de son compte, les hackers détiennent ses identifiants.

Attaques par la force

Une attaque par la force est une méthode d’essai et d’erreur utilisée pour deviner le mot de passe d’un utilisateur. Les hackers mettent la main sur une liste de noms d’utilisateurs valides à partir d’un site web, puis ils utilisent un robot pour essayer de se connecter à l’aide d’une liste de mots de passe faibles. En 2020, plus de 15 milliards d’identifiants compromis circulaient sur des forums auxquels les hackers pouvaient accéder facilement.⁴

Réutiliser les identifiants

70 % des gens utilisent les mêmes noms d’utilisateurs et mots de passe sur plusieurs sites. Cela crée une cible facile pour les criminels.⁵. Et si des identifiants sont compromis à la suite d’un hameçonnage ou d’une attaque par force brute sur un site, les hackers pourraient également essayer ces combinaisons de nom d’utilisateur et de mot de passe sur d’autres sites.

Ces vecteurs d’attaque ont quelque chose en commun. Ils peuvent tous être évités en exigeant l’authentification multifacteur. Peu importe comment un hacker parvient à accéder aux identifiants d’un utilisateur, ces identifiants sont inutiles lorsqu’un appareil mobile spécifique (à savoir de « confiance ») est également demandé pour s’authentifier ou réaliser des transactions à valeur élevée.

De plus, le MFA constitue un composant essentiel de toute stratégie robuste de lutte contre les fraudes en garantissant que tout personne qui interagit avec votre marque est un vrai humain et non un bot.

Enfin, les clients attendent que vous protégiez leurs données et leurs interactions avec votre marque. Le MFA est une excellente manière de montrer à vos clients que vous prenez leur vie privée et leur sécurité au sérieux.

53 % des clients indiquent qu’ils se sentent mieux si leur expérience inclut un certain niveau de MFA.⁵

Les besoins en MFA pour les clients

La sécurité est typiquement la principale préoccupation lorsque vous mettez en place le MFA pour vos employés. Bien que l’expérience utilisateur ne soit pas complètement ignorée, l’importance accordée à la sécurité des ressources de votre entreprise l’emporte généralement sur les préférences de facilité d’utilisation de vos employés. Mais ce n’est pas le cas avec les clients. Lors de la mise en oeuvre du MFA destiné aux clients, la commodité ne peut pas être sacrifiée au profit de la sécurité et inversement.

Les exigences et les bonnes pratiques du MFA pour les clients sont différentes du MFA pour les employés d’une organisation. Il y a quatre éléments clés qu’une solution de MFA pour les clients doit avoir :

4.1

Trouvez le juste équilibre entre sécurité et commodité

Il est important de sécuriser les comptes clients avec le MFA, mais le MFA n’est pas nécessaire à chaque fois que vos utilisateurs se connectent. Bien que le MFA renforce la sécurité, il peut aussi être vu comme un inconvénient par vos clients. Sécuriser simplement les clients implique que des solutions de MFA rende la sécurité invisible pour eux à moins d’être absolument nécessaire.

Cela nécessite une approche intelligente de l’authentification qui inclue l’évaluation de multiples signaux de risques lorsque les clients interagissent avec vos canaux en ligne, de sorte qu’ils soient confrontés au MFA uniquement lorsque le risque est élevé ou lors d’une transaction d’une valeur élevée. Plusieurs indices prédisant les risques peuvent être utilisés pour servir de base de référence du comportement de l’utilisateur et détecter les anomalies, en aidant ainsi les organisations à prendre des décisions intelligentes sur les risques :

Analyse du comportement des utilisateurs : Utilisation du machine learning pour distinguer les schémas comportementaux des humains et des bots, ou bien des utilisateurs illégitimes.
Profil et réputation de l’appareil : Une méthode pour obtenir les caractéristiques de l’appareil dans le but de connaître toute association avec une précédente activité frauduleuse.
Détection des réseaux anonymes : Les acteurs malveillants utiliseront généralement des VPN, des Tor et des proxys pour dissimuler leur vraie adresse IP.
Réputation de l’adresse IP : Empêche les utilisateurs provenant de domaines malveillants d’accéder aux applications et aux services.
Voyage impossible : Empêche les connexions depuis les emplacements depuis lesquels l’appareil ne pourrait pas avoir voyagé depuis sa connexion la plus récente.

Les organisations pouvant mettre en place le MFA en trouvant le juste équilibre entre la sécurité et la commodité sans affecter l’expérience client seront mieux placées pour réduire les taux d’abandon, engendrer des engagements et stimuler le chiffre d’affaires.

4.2

Créer une expérience de MFA adaptée à la marque

Le MFA devrait améliorer la sécurité et les expériences numériques en permettant à votre organisation de créer des expériences en ligne dont vous souhaitez que vos clients bénéficient lorsqu’ils interagissent en ligne avec votre marque. S’il est bien mené, le MFA augmente l’adoption tout en optimisant les expériences numériques de deux manières :

1) Vous pouvez demander aux employés de télécharger une appli tierce de MFA, mais il est peu probable que les clients se détournent de leur route pour le faire. Une méthode plus pratique pour augmenter le taux d’adoption du MFA chez vos clients est de fournir un MFA entièrement personnalisable dans un outil qu’ils utilisent déjà, par exemple votre application mobile.

En installant le MFA sur leurs applications mobiles, les organisations peuvent créer une expérience liée à la marque et cohérente pour les clients, dans laquelle les demandes d’authentification proviennent de l’application de l’organisation et les messages sont explicitement adaptés à la fois à l’utilisateur final et à la transaction qu’il veut réaliser. Cela facilite la fluidité et la centralisation des expériences client, et c’est préférable au fait d’adopter des applications de MFA tierces qui ne sont pas personnalisées et qui terniront par la même occasion l’expérience client.

2) En donnant aux marques la capacité d’offrir aux clients leurs méthodes de MFA préférées. C’est important car des clients différents auront des niveaux de confort, une aisance avec le numérique et un accès à la technologie différents. De plus, les organisations devraient proposer aux clients l’option d’utiliser une forme de MFA in-app plus sécurisée qu’un SMS, qui n’est plus recommandé.7 Si n’importe quelle forme de MFA demeure mieux qu’aucun MFA du tout, les organisations pourraient vouloir proposer une authentification par SMS et par email comme alternatives pour les utilisateurs n’ayant pas de smartphone ou qui ne veulent pas télécharger votre application mobile.

4.3

Compatibilité avec un réseau auto-géré d’appareils de confiance

Les appareils de confiance sont à la base du MFA et la plupart des clients en ont plusieurs : un appareil principal pour ajouter et supprimer d’autres appareils, des appareils secondaires pouvant authentifier et approuver des transactions ainsi que d’autres appareils familiaux partagés avec encore moins de permissions. Au fil du temps, les clients pourraient devoir autoriser de nouveaux appareils principaux, ajouter et supprimer d’autres appareils ou bloquer des appareils suspects. Les solutions de MFA qui proposent ces fonctionnalités sont plus pratiques que celles qui requièrent d’appeler le service client pour mettre à jour les permissions.

4.4

Optimiser l’expérience

Décider quand demander un MFA est essentiel pour s’assurer que les clients reçoivent des expériences numériques rapides et sans frictions, qui engendrent des engagements plutôt que de la frustration et des abandons. Choisir à quel moment demander un MFA dépendra du scénario. Les organisations devraient pouvoir itérer en permanence sur les expériences qu’elles proposent aux clients en testant différents signaux de risques et en testant les solutions de MFA par rapport à l’engagement numérique.

Il en résulte que concevoir, tester et optimiser les expériences clients que vous souhaitez procurer à vos utilisateurs implique de pouvoir itérer rapidement et tester diverses fonctionnalités pour les clients. Les solutions de MFA qui vous permettent d’expérimenter en continu la façon dont vous interagissez en ligne avec vos clients conduira à la rentabilité la plus rapide.

Cas d’utilisation du MFA pour les clients

Il existe quelques cas d’utilisation courants pour lesquels le MFA peut être utilisée pour les clients. Mais le fait que vous puissiez proposer l’authentification multi-facteurs dans ces scénarios ne signifie pas que vous devriez toujours le faire. Avant d’utiliser le MFA, il convient de prendre en compte les dangers représentés par le contexte pour maintenir une expérience client positive. Les cas courants d’utilisation du MFA pour les clients incluent :

L’authentification hors-bande sur le web

Le MFA hors-bande pour une authentification sur le web est probablement le cas le plus courant d’utilisation du MFA. Il fonctionne en demandant simplement un second facteur d’authentification, comme une notification ou une empreinte digitale sur un appareil de confiance, lorsqu’un utilisateur essaye de se connecter à une application web. Cela peut être demandé aux utilisateurs uniquement dans les contextes à haut risque, par exemple lorsqu’ils se connectent depuis un nouvel appareil.

Une authentification sans mot de passe et sans nom d’utilisateur

À la discrétion de votre équipe en charge de la sécurité, l’authentification hors-bande peut être utilisée pour authentifier les clients sans qu’ils aient besoin de saisir un quelconque mot de passe. Cela peut rationaliser l’accès pour les consommateurs qui doivent se connecter à des téléviseurs ou à d’autres appareils ayant des interfaces utilisateurs peu intuitives.

De même, une authentification sans nom d’utilisateur peut aussi être réalisée avec des fonctionnalités avancées, comme une authentification par code QR, qui offre une sécurité comparable aux notifications en push. Étant donné que les clients sont de plus en plus à l’aise avec les notifications en push et les codes QR, il peut s’agir d’un point de départ pour remplacer les noms d’utilisateur et les mots de passe pendant les expériences numériques, permettant ainsi aux marques de proposer des engagements en ligne fluides et sécurisés sans demander de mot de passe.

Augmenter le confort des clients en s’authentifiant sur leurs appareils mobiles avec des moyens hors-bande, comme des notifications en push et des codes QR, est avantageux pour plusieurs raisons. Pour commencer, cela supprime les risques associés aux identifiants compromis. C’est simplement dû au fait que les notifications en push sont sensiblement plus sécurisées que les mots de passe (mais aussi plus que les OTP par SMS ou par email). De plus, le MFA mobile vise à améliorer les expériences client car il est plus rapide, plus facile et sans frictions par rapport à d’autres moyens. Enfin, en supprimant la nécessité d’avoir des identifiants traditionnels à partir de l’équation de connexion, le MFA mobile met également les clients sur le chemin qui les conduira à adopter des expériences sans mot de passe et sans nom d’utilisateur.

Approbations de transactions

Les facteurs de seconde authentification devraient offrir en option la possibilité d’être déclenchés pour des transactions spécifiques, de valeur élevée. Les notifications envoyées aux clients dans ces cas de figure devraient également inclure des informations sur la transaction, afin qu’ils sachent ce qu’on leur demande d’approuver. Le fait de fournir le MFA pour les transactions à haut risque comme l’achat de stocks, les virements bancaires, la connexion depuis un nouvel appareil ou la mise à jour d’informations relatives au compte, peut réduire une part importante des risques de sécurité tout en ayant un impact minimal sur l’expérience client.

Assistance et service client

Si un client doit réinitialiser son mot de passe, le MFA peut simplifier la procédure pour qu’il accède à son compte restauré. À chaque demande de réinitialisation de compte, le MFA peut aussi être utilisé pour vérifier que c’est bien le vrai client qui demande à réinitialiser son mot de passe et non un hacker qui tente d’obtenir le contrôle de son compte.

Le MFA peut également aider les conseillers clientèle à confirmer rapidement l’identité d’une personne par téléphone en envoyant une notification en push pour vérifier à qui ils parlent. Cela permet aux conseillers clientèle d’identifier les clients rapidement et en toute sécurité tout en supprimant la nécessité de poser des questions frustrantes pour s’authentifier à partir des connaissances ou d’avoir des codes PIN qui se perdent facilement.

Authentification mobile forte

Si une solution de MFA est intégrée à votre application mobile, l’appareil émettant l’autorisation et l’appareil qui effectue l’authentification ne devraient être qu’un seul et unique appareil ; cela s’applique également lorsqu’un client l’utilise pour se connecter à votre appli mobile. Cela permet d’accroître la sécurité en vérifiant si l’appareil est ou non un appareil de confiance lors de l’authentification de l’appli mobile.

Grâce à cette capacité, un hacker qui essaye de s’authentifier sur votre appli mobile à l’aide d’identifiants volés aurait besoin d’une approbation à partir d’un appareil de confiance. Par ailleurs, un client se connectant à votre appli mobile à partir de l’un de ses appareils de confiance sera instantanément approuvé.

Cette capacité à supporter ces cas d’utilisation vous assurera de fournir à vos clients une solution de MFA pratique et sure.

Présenter le MFA à vos clients

Naturellement, certains clients reculeront si on leur demande soudainement de commencer à utiliser le MFA. Aussi, la meilleure approche est généralement de le proposer comme une option facultative qui renforce la sécurité. Selon votre secteur d’activité, votre approche peut varier, en particulier si vous travaillez dans le secteur bancaire, dans lequel une majorité de transactions seraient considérées comme étant de valeur élevée. Mais même dans ces cas de figure, les clients sont susceptibles d’avoir des préférences variées concernant la manière dont le MFA leur est proposée.

Résultat : votre base de clients aura certainement des niveaux de confort et des préférences différentes vis-à-vis du MFA, de même que des niveaux d’aisance avec la technologie ou encore des types d’appareils très variés. Les organisations devraient alors proposer à leurs clients un large éventail d’options lorsque cela est possible. Il peut s’agir de proposer aux clients de renoncer au MFA s’ils choisissent de préférer la commodité au détriment de la sécurité. Ou de permettre aux clients de choisir le type de second facteur qu’ils préfèrent. Par exemple, préfèrent-ils recevoir un OTP par SMS ou par email, ce qui est plus simple mais mois sécurisé ? Ou préfèrent-ils recevoir des notifications en push à travers votre application mobile pour un MFA ?

Toutefois, malgré les diverses préférences en matière de MFA, les chiffres ne mentent pas : dans l’ensemble, les standards et attentes des clients liés à l’obtention d’expériences numériques sécurisées et sans frictions continuent d’augmenter. De ce fait, c’est précisément le bon moment pour présenter une solution de MFA complète et personnalisable à vos clients, dans le cadre de votre solution de gestion des identités. De plus, une approche du MFA basée sur le contexte et sur le niveau de risque peut procurer la flexibilité nécessaire pour obtenir la meilleure combinaison de sécurité pour vos besoins et d’expérience utilisateur pour vos clients.

Conclusion

Le besoin de MFA pour les clients est plus pressant que jamais. Les attaquants volent les identifiants des utilisateurs et profitent des mots de passe faibles. Aussi, les clients attendent désormais de vous que vous leur fournissiez les contrôles de sécurité nécessaires. Pour protéger à la fois vos clients et votre entreprise à tous les points d’entrée, vous aurez besoin de cette ligne de défense forte qui accompagne l’authentification multifacteur. Une solution de MFA pour les clients peut complètement sécuriser les données de vos clients et protéger votre marque.

Attention cependant : la MFA pour les clients et la MFA pour les employés sont deux choses distinctes. Contrairement aux MFA pour les collaborateurs, le MFA pour les clients peut trouver le bon équilibre entre la sécurité et la commodité. On ne peut pas obliger les clients à télécharger une application de MFA distincte, et ils ne souhaitent pas s’encombrer de trop de demandes d’authentification. Mais ils veulent pouvoir gérer eux-mêmes leurs propres appareils de confiance et s’attendent à bénéficier d’une expérience.

Bien mener le MFA pour les clients ne doit pas être douloureux. Utiliser les outils d’orchestration avec des flux d’activité pré-intégrés réduira considérablement la durée du déploiement et vous permettra de concevoir, de tester et d’optimiser la meilleure expérience possible pour les clients.

Pour en savoir plus sur les meilleures pratiques liées au déploiement d’une solution de MFA dans votre organisation, consultez PingOne for Customers.

Et malgré son importance, le MFA pour les clients n’est qu’un composant d’une expérience client cohérente, solide et complète. Pour en savoir plus sur comment optimiser à la fois la sécurité et les expériences utilisateur de vos clients en plus du MFA, consultez notre Guide complet sur la gestion des identités et des accès clients.

1 Ping Identity « 2021 Consumer Survey: Brand Loyalty is Earned at Login »

2 Verizon 2020 Data Breach Investigations Report

3 From Exposure to Takeover: The 15 billion stolen credentials allowing account takeover, Digital Shadows, 2020

4 From Exposure to Takeover: The 15 billion stolen credentials allowing account takeover, Digital Shadows, 2020

5 Griffith, Eric, « Stop Using the Same Password on Multiple Sites! No. Really » PCMag, 21 septembre 2021

6 Ping Identity, « 2021 Consumer Survey: Brand Loyalty is Earned at Login », 9 janvier 2021

7 Coldeway, Devin, « NIST declares the age of SMS-based 2-factor authentication over », TechCrunch.com, 25 juillet 2016

#3253 | 04.22.2022 | v07