L'authentification sécurisée repose sur deux piliers complémentaires : le choix de méthodes d'authentification robustes et la gestion efficace des secrets d'authentification (principalement les mots de passe). L'ISO 27002 mesure 8.5 recommande quatre contrôles :

• Méthode robuste : l'authentification doit résister aux attaques courantes (phishing, force brute, interception)
• Protection des secrets : les mots de passe et autres secrets ne doivent jamais être exposés ou compromis
• Gestion du cycle de vie : création, distribution, renouvellement et révocation doivent être maîtrisés
• Détection de compromission : l'organisation doit identifier rapidement les comptes compromis

Ces exigences se traduisent par des décisions concrètes : quelle méthode d'authentification déployer, quelle politique de mots de passe adopter, comment réagir aux tentatives d'intrusion.

L'utilisateur s'authentifie uniquement avec un mot de passe. Avantage : simplicité de mise en œuvre, aucun équipement supplémentaire. Inconvénient : vulnérable au phishing, aux fuites de données et à la réutilisation de mots de passe. À utiliser pour : systèmes à faible risque uniquement, jamais pour des comptes à privilèges ou des accès à des données sensibles.

Authentification multi-facteurs (MFA)

L'utilisateur doit fournir deux éléments de natures différentes : quelque chose qu'il connaît (mot de passe), quelque chose qu'il possède (téléphone, clé matérielle), ou quelque chose qu'il est (biométrie). Avantage : même avec un mot de passe compromis, l'attaquant ne peut pas accéder sans le second facteur. Variantes : SMS (moins sécurisé), application d'authentification (Google Authenticator, Microsoft Authenticator), clé matérielle (YubiKey). À utiliser pour : tous les comptes à privilèges, accès aux données sensibles, accès distants.

Authentification par certificat ou carte à puce

L'utilisateur dispose d'un certificat numérique stocké sur une carte à puce ou un token USB. Avantage : très résistant au phishing, la clé privée ne peut être extraite de la carte. Inconvénient : coût de déploiement, nécessite une infrastructure à clés publiques (PKI). À utiliser pour : environnements hautement sécurisés, administrations, secteurs réglementés.

Authentification biométrique

L'utilisateur s'authentifie par empreinte digitale, reconnaissance faciale ou iris. Avantage : ne peut être oubliée ni prêtée. Inconvénient : en cas de compromission, impossible de "changer" son empreinte. Doit toujours être combinée avec un autre facteur. À utiliser pour : complément d'un mot de passe ou d'un certificat, accès physiques.

Pendant des années, les politiques de sécurité ont imposé des mots de passe complexes (majuscules, chiffres, caractères spéciaux) et des changements fréquents tous les 90 jours. Ces exigences ont créé des comportements contre-productifs : mots de passe prévisibles (Janvier2024!, Février2024!), réutilisation sur plusieurs systèmes, ou écriture sur des post-it.

Les principes modernes recommandés

Les organismes de référence (NIST, ANSSI) privilégient désormais la longueur sur la complexité. Un mot de passe de 16 caractères composé de mots simples est plus sûr et mémorisable qu'un mot de passe de 8 caractères complexe mais prévisible. Les changements forcés périodiques sont abandonnés au profit de la détection de compromission.

Règles à appliquer

Longueur minimale : 12 caractères pour les utilisateurs standards, 16 pour les comptes à privilèges. Pas de changement forcé : sauf en cas de compromission avérée ou suspectée.

Vérification de compromission : comparer les nouveaux mots de passe avec les bases publiques de mots de passe compromis. Pas de complexité excessive : la longueur suffit, inutile d'imposer 4 types de caractères différents. Interdiction de réutilisation : empêcher l'utilisation d'anciens mots de passe du même utilisateur.

1. Choisir la méthode d'authentification

Identifiez les types d'accès : bureautique standard, accès distant, comptes administrateurs, accès à des données sensibles. Pour chaque type, déterminez le niveau de risque et choisissez la méthode adaptée. Privilégiez le MFA pour tous les accès sensibles ou distants.

2. Définir et communiquer la politique de mots de passe

Documentez les règles : longueur minimale, interdiction de réutilisation, pas de changement forcé. Expliquez le raisonnement aux utilisateurs : la longueur protège mieux que la complexité, les changements forcés affaiblissent la sécurité. Rendez la politique visible et accessible.

3. Déployer les outils nécessaires

Si vous choisissez le MFA, sélectionnez une solution (Microsoft Authenticator, Google Authenticator, Duo Security, YubiKey). Provisionnez les utilisateurs progressivement en commençant par les comptes à privilèges. Prévoyez des procédures de secours en cas de perte du second facteur.

4. Former et sensibiliser les utilisateurs

Les utilisateurs doivent comprendre pourquoi ces mesures sont nécessaires. Organisez des sessions de formation sur les risques (phishing, réutilisation de mots de passe) et les bonnes pratiques. Montrez des exemples concrets de compromissions. Encouragez l'utilisation de gestionnaires de mots de passe.

5. Surveiller et réagir

Mettez en place des alertes sur les connexions anormales (horaires inhabituels, localisations géographiques impossibles, multiples échecs). Surveillez les bases publiques de mots de passe compromis et notifiez les utilisateurs concernés. Documentez un processus de révocation rapide en cas de compromission.

• Imposer des changements de mots de passe tous les 90 jours : cette pratique affaiblit la sécurité car les utilisateurs créent des mots de passe prévisibles. Privilégier la détection de compromission.
• Politique de complexité excessive sans longueur minimale : "P@ssw0rd" respecte la complexité mais reste très faible. Exiger au minimum 12 caractères.
• Pas de second facteur sur les comptes à privilèges : un administrateur compromis donne accès à tout le système. Le MFA est obligatoire pour ces comptes.
• Ne pas surveiller les tentatives de connexion : des dizaines de tentatives échouées sur un compte peuvent passer inaperçues. Mettre en place des alertes automatiques.

L'authentification sécurisée repose sur le choix de méthodes robustes (MFA pour les accès sensibles) et une politique de mots de passe moderne privilégiant la longueur sur la complexité. Les pratiques actuelles abandonnent les changements forcés périodiques au profit de la détection de compromission. La mise en œuvre efficace nécessite de déployer les outils techniques (MFA), de définir une politique claire, de former les utilisateurs, et de surveiller les tentatives d'accès anormales pour réagir rapidement aux compromissions.