Authentification basée sur le risque
Maintenir l'équilibre
L'authentification peut parfois ressembler à un numéro d'équilibriste. D'une part, sécuriser votre expérience numérique est une priorité absolue. Préserver la confiance de vos clients dans vos services est souvent essentiel pour maintenir une relation à long terme avec votre marque. D'autre part, à l'ère de la transformation numérique, les clients veulent également une expérience numérique simple et facile à naviguer.

Trop souvent, la sécurité et l'expérience utilisateur sont en conflit. Une sécurité supplémentaire peut signifier des obstacles supplémentaires dans le parcours numérique du client. Il est déjà assez difficile de se souvenir de tous vos noms d'utilisateur et mots de passe. Ajoutez l'authentification à deux facteurs (2FA), les messages SMS et plus encore, et vous risquez fort d'avoir des utilisateurs frustrés.
L'authentification basée sur le risque aujourd'hui
Une stratégie qui peut aider à résoudre ces problèmes est l'authentification basée sur le risque (RBA). Cette méthode consiste à créer différents niveaux d'authentification basés sur un score de risque et construits à partir des facteurs de risque trouvés pour chaque utilisateur ou activité. Dans ces scénarios, les organisations recherchent les utilisateurs qui montrent un comportement anormal. Peut-être utilisent-ils un appareil différent de la normale, ou accèdent-ils à leurs comptes depuis un emplacement différent. Dans ces cas, ils vont "renforcer" les exigences d'authentification, forçant seulement leurs utilisateurs les plus risqués à passer par l'étape supplémentaire de l'authentification multifacteur (MFA). Ensuite, les utilisateurs restants à faible risque n'ont besoin que de compléter les étapes d'authentification de base.
L'authentification basée sur le risque est considérée comme une amélioration par rapport aux alternatives, forçant tous les utilisateurs à compléter l'authentification multifacteur ou n'ayant aucun utilisateur à la compléter. Pour de nombreuses organisations, les utilisateurs à haut risque représentent moins de 1 pour cent de leur population d'utilisateurs, il peut donc potentiellement y avoir des économies considérables sur les coûts opérationnels autour de la MFA.
Cependant, les stratégies RBA présentent encore des défis. Les attaquants sophistiqués peuvent être capables d'apparaître comme des utilisateurs à faible risque, utilisant peut-être un émulateur pour imiter un véritable appareil. De plus, la grande majorité de vos utilisateurs à faible risque doivent encore gérer les noms d'utilisateur et mots de passe — ce qui, au mieux, peut être frustrant pour l'expérience utilisateur.
De la mesure du risque à la mesure de la confiance
Quelle est alors l'alternative ? Les dirigeants d'entreprise doivent élargir leur vision au-delà de la simple détection de fraude et de risque. Une façon plus robuste et moderne de relever les défis de la sécurité et de l'expérience utilisateur pourrait être d'apporter l'identité à la table, passant du scoring de risque au scoring de confiance. En analysant à la fois les indicateurs de risque et les indicateurs d'identité positifs (biométrie comportementale, routines utilisateur, etc.), les organisations peuvent comprendre le contexte d'un utilisateur, son comportement, et où il se situe sur un spectre de confiance et de risque d'identité numérique.
L'avenir de l'authentification peut être transparent et adaptatif
Le scoring de confiance peut permettre aux organisations de construire des options personnalisées et granulaires pour tout le spectre des comportements utilisateur. Les utilisateurs les plus risqués pourraient encore être bloqués, mais ceux qui ne sont qu'à risque moyen pourraient être autorisés avec des restrictions sur les informations auxquelles ils peuvent accéder ou la taille des transactions qu'ils peuvent effectuer. Les utilisateurs à faible risque — ceux avec une anomalie mineure, comme un nouvel appareil — pourraient être invités à s'authentifier. Les utilisateurs hautement fiables — ceux qui utilisent un appareil connu avec des correspondances biométriques comportementales — pourraient même bénéficier d'une expérience d'authentification sans friction et sans mot de passe.
Sécurité, rencontrez l'expérience utilisateur
Alors, l'authentification peut-elle nuire à l'expérience utilisateur ? Dans de nombreux cas, elle le peut — mais ce n'est pas obligatoire. Quand c'est bien fait, avec une stratégie basée sur la confiance qui combine les indicateurs de fraude et d'identité, l'authentification peut être une expérience transparente et adaptative.
💎Valerie Bradford, IBM Security
Updated 21 days ago