L’authentification basée sur le risque n’est pas un concept nouveau et mérite qu’on s’y attarde lors de l’implantation d’un système.
Il y a quelques mois, j’ai partagé avec un client de Québec, un concept de GIA qui commence de plus en plus à intéresser les organisations. Il s’agit de l’authentification basée sur le risque.
Évaluation du risque à chaque authentification
Ce concept est très simple et ingénieux à la fois. Il s’agit d’estimer le risque associé à chaque tentative d’authentification en considérant certaines caractéristiques du contexte de l’utilisateur et de son appareil. Exemple de caractéristiques: le type d’appareil de l’utilisateur, sa localisation, son heure (heure qui peut être différente de l’heure du système), son adresse IP, son fureteur, etc.
En recueillant l’ensemble de ces caractéristiques, on peut les soumettre à différentes règles dans le but d’évaluer le niveau de risque pour chacune des tentatives d’authentification.
Par exemple, un employé qui est chez lui et qui tente de s’authentifier à partir d’un type d’appareil auquel il n’a jamais été associé dans le passé (exemple: Androïd) à un système critique pourrait voir le niveau de risque associé à sa tentative d’authentification s’avérer supérieur. Cela pourrait conduire à lui demander un facteur d’authentification supplémentaire (exemple: question secrète) ou à réduire son nombre d’accès au sein du système.
Si par exemple, il désire s’authentifier sur un système critique à partir d’un poste de travail situé dans son organisation, le niveau de risque associé à sa tentative d’authentification s’avérait inférieur et aucun facteur d’authentification supplémentaire ne lui serait demandé. Aussi, aucun accès ne lui serait retiré.
Ce concept est déjà en place dans des services populaires sur le Web. Facebook l’a déjà implanté. Yahoo le fait également. J’ai déjà même reçu un courriel de Google me mentionnant qu’une personne en Chine avait déjà tenté de changer mon mot de passe de mon compte Gmail. Le courriel mentionnait que cette tentative avait été bloquée et on m’invitait à réinitialiser mon mot de passe.
Au final
Certaines organisations au Québec commencent à considérer les attributs relatifs aux contextes de l’utilisateur et du système accédé. Certaines organisations financières comme Desjardins l’ont déjà implantée. Reste à voir si d’autres organisations ayant des services en ligne importants vont adopter le concept d’authentification basé sur le risque.
Vous pouvez consulter un excellent document en format PDF sur le sujet.
Photo: Pixabay
[maxbutton id= »4″]