Les entreprises renforcent leurs dispositifs de gestion des accès avec des outils toujours plus complets, pensant couvrir l’essentiel du risque. Une lecture qu’Alexandre Jeanthon, Sales Director Europe IAM chez HID Global, nuance : sans MFA, l’usurpation d’identité reste largement possible.
Comment les entreprises abordent-elles aujourd’hui la gestion des identités et des accès ?
Alexandre Jeanthon : Beaucoup d’entreprises structurent aujourd’hui leur approche autour d’outils IAM de plus en plus complets, avec des logiques de gestion des droits, de traçabilité ou encore d’automatisation. Mais dans les faits, l’authentification reste souvent basée sur le mot de passe.
Si le MFA est désormais identifié comme un standard, il reste encore peu déployé. Beaucoup d’entreprises savent qu’il faut y venir, mais repoussent le moment du déploiement, souvent par manque de priorité ou par crainte de complexité.
Ce qui accélère aujourd’hui, c’est la combinaison de deux facteurs. D’un côté, les exigences réglementaires comme NIS2, qui rendent le MFA quasiment obligatoire. De l’autre, les éditeurs eux-mêmes, comme Microsoft, qui poussent vers la disparition du mot de passe.
Il y a aussi une prise de conscience progressive. Nous voyons encore des organisations investir dans des solutions IAM avancées, parfois très complexes, sans avoir mis en place un MFA robuste en amont. Or, si l’identité est compromise, tout le reste devient inefficace. La base reste l’authentification forte.
Comment les approches d’authentification évoluent-elles techniquement ?
Nous assistons à une transition vers des approches dites passwordless, avec notamment l’adoption du standard FIDO (ndlr : FIDO, pour Fast Identity Online, est un standard lancé en 2012 par la FIDO Alliance pour remplacer le mot de passe par une authentification forte). Le mot de passe demeure vulnérable face aux attaques de type phishing ou man-in-the-middle, ce qui pousse à faire évoluer les méthodes d’authentification.
« Le mot de passe demeure vulnérable face aux attaques de type phishing ou man-in-the-middle. »
FIDO repose sur des mécanismes cryptographiques proches de la PKI, avec des clés publiques et privées, mais avec une mise en œuvre beaucoup plus simple. Là où une infrastructure PKI nécessite la gestion d’une autorité de certification et peut être lourde à déployer, FIDO permet d’obtenir un niveau de sécurité élevé avec une intégration plus directe dans les environnements existants.
Concrètement, ces mécanismes sont déjà disponibles dans des environnements comme Windows ou Microsoft 365. Nous proposons des clés FIDO, mais aussi des badges compatibles, qui permettent de s’authentifier sans mot de passe, avec un niveau de sécurité élevé.
Quel lien faites-vous entre contrôle d’accès physique et IAM ?
Historiquement, HID est un acteur du contrôle d’accès physique. Nous fabriquons des badges utilisés pour entrer dans les bâtiments. La convergence avec l’IT s’est faite progressivement, notamment avec l’arrivée de l’authentification sur les postes de travail. Aujourd’hui, nous voyons une demande croissante pour un badge unique, capable de gérer à la fois l’accès physique et l’accès logique. L’utilisateur utilise le même support pour ouvrir une porte et pour se connecter à son poste Windows.
« Le contrôle d’accès physique et l’IAM ne peuvent plus être traités séparément. »
Cela répond à un problème très concret. Dans beaucoup d’organisations, les utilisateurs cumulent plusieurs « credentials » : badge d’accès, carte pour l’impression, clé d’authentification, etc. Cela complexifie l’usage et augmente les risques. La convergence permet de simplifier l’expérience tout en renforçant la sécurité. Nous voyons aussi un lien direct avec les risques de sécurité physique. Certaines compromissions passent par une présence sur site. Le contrôle d’accès physique et l’IAM ne peuvent plus être traités séparément.
Qu’est-ce qui complique encore le déploiement de ces approches ?
Le principal frein reste opérationnel. Sur le papier, les technologies sont disponibles. Mais sur le terrain, les projets peuvent devenir complexes. Un exemple typique est celui du renouvellement des badges. Dans une organisation de plusieurs milliers de personnes, remplacer tous les badges représente une logistique importante. Il faut enrôler les utilisateurs, distribuer les nouveaux supports, gérer les accès. Cela peut freiner les projets.
« Dans une organisation de plusieurs milliers de personnes, remplacer tous les badges représente une logistique importante. »
C’est précisément sur ce point que certaines évolutions récentes apportent une réponse. Avec l’intégration de technologies issues d’IDmelon, nous pouvons rendre des badges existants compatibles FIDO, sans avoir à les remplacer. Cela permet de réduire fortement la complexité des déploiements. Nous distinguons deux approches. D’un côté, des dispositifs avec FIDO embarqué nativement. De l’autre, des solutions capables d’ajouter une couche FIDO à des supports existants. Cette deuxième approche est particulièrement intéressante pour des déploiements à grande échelle.
Quel rôle jouent les intégrateurs dans ces projets ?
Les intégrateurs sont au cœur de ces projets, car ce sont eux qui assurent la mise en œuvre des solutions chez les clients. Mais tous ne sont pas armés pour traiter ces sujets. L’IAM et le MFA impliquent des problématiques précises, liées à l’intégration dans le SI, à la gestion du cycle de vie des identités ou encore à l’expérience utilisateur.
L’approche de certains acteurs spécialisés sur le sujet est particulièrement intéressante. Des intégrateurs comme Nomios, SPIE ICS ou encore SYNETIS ont des équipes techniques capables de déployer ces solutions dans des environnements clients extrêmement exigeants. Nous nous appuyons également sur des intégrateurs présents dans des secteurs comme la santé ou le public, où les contraintes sont plus fortes, notamment sur les aspects réglementaires et opérationnels.
