L’authentification continue renforce la sécurité des accès aux ressources du SI…

1. La personne s’authentifie avec un mot de passe (un secret partagé... Elle sait quelque chose que je sais aussi), et elle me communique cette information. Donc, je sais que c’est lui et je lui fais confiance.
2. Le problème, c’est comment savoir après si c’est toujours elle qui est derrière l’écran. 
3. Et plus on avance dans le temps, plus la confiance s’éloigne.
4. On peut éventuellement lui redemander de s’authentifier, donc on lui refait confiance
5. Mais de la même manière, au fur et à mesure que le temps passe, on perd de nouveau cette confiance.

Le fait de perdre cette confiance en l’utilisateur va augmenter les facteurs de risques, qui diffèrent selon les contextes :

• Pour le télétravail : Comment éviter des manipulations d’un tiers lorsque la personne n’est pas devant son poste ?
• Pour la mobilité : Comment garantir la sécurité si le poste d’une personne déjà authentifiée se fait voler ?
• Pour un infogérant : Comment s’assurer que c’est bien l’expert qui connait mon système d’information qui se connecte à mes ressources et non pas un de ses collègues ?
• Au bureau : Pour des cas plus extrêmes, c’est très rare mais ça s’est déjà produit : Comment savoir si un collaborateur ne sous-traite pas son travail à une organisation externe ? C’est un cas concret qui s’est passé il y a déjà pas mal de temps pour un développeur qui a sous-traité son travail à une société externe.
• En astreinte : Comment s’assurer que c’est bien mon administrateur qui se connecte à mon système ?

Les risques sont donc multiples, ça peut aller du vol de données, aux risques de modifications, dans des contextes de malveillance. On essaie d’usurper l’identité de quelqu’un pour faire des actions. Ou encore rapport à des problèmes de négligence, je m’absente alors que mon poste est encore connecté et pas verrouillé et un de mes collèges l’utilise sans vérifier qu’il n’est pas connecté avec sa propre identité.

Il existe plusieurs niveaux d’authentification.

L’authentification basic 

Elle est basée sur un secret partagé. On demande à la persoone ce qu’il sait : un mot de passe, un code PIN, un mécanisme de questions/réponses, et on vérifie qu’on a bien connaissance de ces mêmes informations.

L’authentification forte

On rajoute à l’authentification basic des contraintes :

• Qui elle est : On va contrôler par exemple ses empreintes digitales, vocales ou encore faciales.
• Qu’est-ce qu’elle possède : on va lui demander par exemple une carte à puce, un token de connexion, une carte RFID… pour renforcer son authentification.

L’authentification adaptative

On rajoute à l’authentification forte des conditions de connexion :

• Quand peut-elle se connecter : dans quels créneaux horaires, combien de temps…
• D’où elle se connecte : Depuis un réseau connu, de quel endroit… On adapte l’authentification en fonction du contexte de connexion de l’utilisateur.

L’authentification continue

C’est le dernier niveau d’authentification. En plus des trois niveaux ci-dessus, on vérifie ce qu'elle fait et comment elle le fait. On va donc contrôler les actions de l'utilisateur et construire une empreinte biométrique comportementale qu’on pourra ensuite comparer à d’autres pour s’assurer que c’est la bonne personne derrière l’écran.

Pour atteindre ce niveau d’authentification, il faut s’appuyer sur des algorithmes d’intelligence artificielle. L’objectif de ces algorithmes est d’analyser le comportement des personnes pour les catégoriser et les classer de manière à pouvoir les distinguer les unes des autres et approuver ou non leur légitimité.

Démarches / Étapes

Pour y parvenir, il faut construire une empreinte biométrique comportementale, en analysant les habitudes de travail de la personne : Ses mécaniques de déplacement de souris, de frappes claviers, etc., pour ensuite la comparer en temps réel avec d’autres empreintes stockées dans le système afin de s’assurer que c’est toujours la bonne personne qui est derrière l’écran.

Empreinte biométrique comportementale

L’empreinte biométrique comportementale d’une personne est unique et représente une partie de son identité. Elle intègre les aspects les plus discriminants de son comportement, comme par exemple sa manière d’utiliser sa souris, de la déplacer, de cliquer, l’amplitude des mouvements qu’elle fait, et c’est ce qui va permettre de le différencier d’une autre personne.

Challenges des algorithmes IA pour l’authentification continue

Le challenge pour réussir à modéliser cette empreinte, c’est d’être en capacité de pouvoir la générer efficacement pour garantir son unicité et sa discrimination au travers d’algorithmes d’apprentissage comportementaux, capables de garantir un taux de précision élevé pour bien classifier l’ensemble des empreintes biométriques.

Neomia a développé Neomia Pulse, une plateforme d’authentification continue qui se base sur la biométrie comportementale et l’IA pour authentifier de manière sécuriser la personne sur son poste de travail.

Chaque personne a une manière bien particulière d’utiliser le clavier et la souris. La solution compare ses empreintes, calculées au fur et à mesure de ses actions (mouvements de souris et frappes de clavier) avec une empreinte de référence associée à la personne légitime. Cette comparaison fournit un indice de confiance (ou de suspicion) qui force l’application de règles sur la base de la valeur de cet indice. Il peut s’agir d’une demande de ré-authentification en cas de doute modéré, d’un blocage de session, ou encore d’une alerte au superviseur en cas d’indice de suspicion d’usurpation d’identité plus élevé.

Les entreprises font de plus en plus appel à du télétravail, à des collaborateurs en astreinte, à des prestataires qui interviennent sur leur Système d’information dans les bureaux ou depuis des plateaux d’infogérance ou d’externalisation. Dans ces contextes d'accès distants, les objectifs sont bien évidemment d'éliminer les risques liés à l’utilisation de mots de passe, mais pas que...

Éviter les usurpations d’identité

La menace d’usurpation d’identité est plus importante dans ces contextes, par simple remplacement de la personne dans son poste de travail. Avec ces technologies, les entreprises peuvent exiger l’authentification continue dans leurs contrats avec des fournisseurs et des partenaires, et ainsi mieux s’assurer que c’est une personne connue, identifiée, certifiée, qui accède à ces actifs informatiques les plus critiques.

Améliorer à la fois la sécurité du SI et le confort de l’utilisateur

Souvent, la sécurité du SI se fait au détriment de l’expérience utilisateur : l’authentification continue permet d’améliorer à la fois la sécurité du SI et le confort de la personne : l’analyse de l’activité de l’administrateur est transparente et ne le perturbe pas dans ses actions, par ex. en lui demandant de se ré-authentifier régulièrement.

Réagir beaucoup plus rapidement et plus efficacement en agissant avant que la menace se concrétise

Cela permet aux organisations de réagir beaucoup plus rapidement et plus efficacement parce qu’elles ont les moyens d’intervenir potentiellement avant que la menace se concrétise : l’IA permet de détecter les signaux faibles mais constitutifs d’une menace.

Il n’y a pas de protection des données sans protection de l’accès aux données

Il n’y a pas de protection des données sans protection de l’accès aux données (la protection des données n’est pas qu’une question de chiffrement et de confidentialité : c’est d’abord une question d’accès). Or, l’accès procède d’abord par l’authentification de la personne. S’assurer que c’est la « bonne » personne qui accède aux données est le point de départ des conformités réglementaires (LPM, ANSSI, RGPD, NIS, etc.).