La cybersécurité est devenue une réalité très concrète pour moi le jour où le PC d’un collègue a disparu. Nous travaillions alors pour un sous-traitant du ministère de la Défense. Et dans cadre, il avait téléchargé un rapport gouvernemental consacré aux cybermenaces. Mais ce qu’il ne savait pas, c’est ce que ce document contenait une backdoor. À son retour de déplacement, son PC (ainsi que l’unique exemplaire de son mémoire de master) avait disparu, confisqué par notre équipe de sécurité. C’est à ce moment-là que le paysage des menaces s’est imposé à moi en tant que réalité tangible. Cette expérience m’a permis d’apprendre une leçon déterminante : la ligne de front du cyberespionnage passait directement par le bureau juste à côté du mien.
À l’époque… et aujourd’hui
Cette expérience a durablement façonné ma vision des choses. Aujourd’hui, la ligne de front s’est étendue bien au-delà d’un simple poste de travail : elle englobe chaque bureau à domicile, chaque café et chaque salon d’aéroport à travers le monde. Le périmètre traditionnel, tracé par des limites physiques, s’est dissous. Il est aujourd’hui obsolète, car remplacé par un écosystème fluide et sans frontières constitué d’applications cloud, de fournisseurs et d’une main-d’œuvre distribuée.
Cette nouvelle réalité pose un défi majeur aux dirigeants. Lorsque les cloisons volent en éclat, où commence la sécurité ? La réponse tient en un mot : l’identité. En l’absence de périmètre clair, l’identité de l’utilisateur devient la seule constante – le plan de contrôle unique par lequel transite chaque demande d’accès. Elle est désormais au cœur de toute stratégie moderne de sécurité des entreprises.
L’identité : la cible prioritaire
Ce basculement n’a pas échappé aux adversaires. Lorsque le télétravail est apparu, les attaquants ont ajusté leurs tactiques en conséquence. Ils ont clairement identifié leur nouvelle opportunité : des utilisateurs à domicile, souvent connectés à des réseaux moins sécurisés, avec l’identité comme maillon faible. Résultat : l’identité est devenue le vecteur d’attaque le plus ciblé. Autrefois périphériques, les techniques de vol d’identifiants et d’hameçonnage sophistiqué sont désormais des tactiques centrales pour tout cyber-adversaire.
Les équipes de sécurité ne peuvent plus se contenter de bloquer les accès depuis des emplacements non approuvés à l’heure où des tâches légitimes sont gérées aux quatre coins du monde. Dès lors qu’un cyberattaquant parvient à dérober des identifiants valides, il obtient un accès quasi total à des ressources critiques. C’est précisément ce scénario qui empêche les DSI et les RSSI de dormir. Comme on me l’a dit un jour, le phishing est la menace ultime : si un attaquant met la main sur les clés du royaume, tous les autres contrôles de sécurité – réseau, terminaux et cloud – tombent à l’eau. Il lui suffit alors de franchir la porte d’entrée.
Une sécurité au service de l’utilisateur
Pour faire face à cette réalité, nous devons refondre nos défenses au rythme des adversaires. Il y a encore quelques années, le consensus était que le déploiement de l’authentification multifactorielle (MFA) suffisait à régler le problème.1 Une étude publiée en 2019 affirmait même qu’elle permettait de bloquer 99 % des tentatives d’hameçonnage. Mais dans un paysage de la cybersécurité en constante évolution, ce raisonnement est totalement dépassé – et dangereux. Nous savons aujourd’hui que les formes traditionnelles de MFA, reposant sur des notifications push ou des SMS, sont largement insuffisantes. En effet, les attaquants ont développé des techniques sophistiquées pour les contourner.
Si la MFA reste une couche de sécurité indispensable, nous devons désormais élever le niveau de qualité et de garantie des mécanismes utilisés. Chez Okta, nous avons opté pour une stratégie moderne, plus intelligente et surtout beaucoup plus fluide. Pour la première fois de ma carrière, je peux affirmer qu’il est possible d’élever significativement le niveau de sécurité tout en améliorant l’expérience utilisateur. La clé consiste à s’éloigner des méthodes d’authentification lourdes et fastidieuses pour adopter des technologies biométriques résistantes au phishing, déjà utilisées au quotidien.
Peu de gens le savent, mais des approches simples comme Face ID ou Touch ID sont d’ores et déjà multifactorielles. Elles combinent votre identité (votre biométrie) et ce que vous détenez (votre périphérique enregistré) pour établir un haut niveau de confiance en un seul geste, sans friction. L’objectif est de créer une expérience où le ralentissement habituellement associé à la sécurité s’apparente à un simple retour à la ligne : un geste naturel, immédiat – et c’est parti.
Étendre la sécurité utilisateur à l’ensemble de l’entreprise
Côté entreprise, nous pouvons aller encore plus loin. Au-delà d’une authentification résistante au phishing, nous pouvons exploiter des signaux contextuels enrichis, directement issus du terminal, en nous posant des questions clés : s’agit-il d’un périphérique géré ? présente-t-il la posture de sécurité attendue ? est-il intégré à notre solution XDR ? À partir de ces éléments, nous pouvons dresser un tableau complet du risque et prendre, en arrière-plan, des décisions d’accès plus intelligentes et plus précises. C’est cette philosophie qui guide notre approche chez Okta : proposer une authentification sécurisée, sans mot de passe, capable de produire un véritable changement culturel et de faire de la sécurité un véritable levier.
Vous souhaitez en savoir plus sur ce thème ? Écoutez l’intégralité de la conversation avec Jamie dans le podcast Threat Vector.
1“One simple action you can take to prevent 99.9 percent of attacks on your accounts,” Microsoft Security, 20 août 2019.
