Aller au contenu
Démarrer
Open search

Renforcer l'authentification avec des passkeys : playbook pour CISO/RSSI

Le déploiement de notre système de passkey s’est déroulé en trois étapes. Voici un guide pour faciliter votre mise en œuvre.

Ross McKerchar
Author placeholder
Mindi McDowell
Author placeholder
Ryan Westman

Écrit par Ross McKerchar, Rajeev Kapur, Mindi McDowell, Angela Gunn, Ryan Westman

Shared - Featured Image - CISO Playbook
Security OperationsCISOplaybooktoolkitpasskeys

Depuis des décennies, les mots de passe constituent la méthode standard pour protéger l'accès aux systèmes et aux comptes. Cependant, les mots de passe peuvent être compromis ou volés via des tactiques telles que les attaques par force brute, les attaques de phishing et les malwares infostealer. Le passage à l’authentification multifacteur (MFA) a ajouté une couche de sécurité supplémentaire en exigeant une authentification supplémentaire pour vérifier l’identité de l’utilisateur, un mélange d’information que vous connaissez, possédez ou (dans le cas de la biométrie) intimement liée à votre identité. Bien que l'authentification multifacteur (MFA) soit plus forte que les mots de passe seuls, les acteurs malveillants ont découvert des moyens de la contourner, notamment les attaques AiTM (Adversary-in-The-Middle), le piratage de session, la fatigue MFA et l'ingénierie sociale pour réinitialiser ou désactiver le MFA. Les passkeys ont été introduites comme solution d'authentification multifacteur résistante au phishing.

Comment fonctionnent les passkeys ?

Les passkeys sont basées sur la cryptographie à clé publique FIDO2, générant une paire de clés publique-privée unique pour chaque utilisateur et service. La clé publique est envoyée au serveur ; la clé privée est stockée dans un gestionnaire d’identifiants (parfois appelé sync fabric) ou sur une clé de sécurité matérielle. Lors de la connexion, le serveur envoie un challenge aléatoire à l'appareil de l'utilisateur. Lorsque l'utilisateur fournit sa vérification établie (par exemple, entrée biométrique, code PIN), l'appareil signe le challenge avec la clé privée. Le serveur vérifie la signature par rapport à la clé publique stockée. Aucun identifiant n'est transmis, il ne peut donc pas être intercepté par des attaquants ou des malwares. Étant donné que les passkeys sont liées cryptographiquement à l'origine, le phishing traditionnel (par exemple, la demande d'identifiants via de fausses pages de connexion) est inefficace.

Avantages

Les passkeys sont avantageuses pour les organisations et leurs employés. Voici quelques-uns des principaux avantages :

  • Sécurité renforcée : le remplacement des mots de passe par des passkeys réduit le risque d’attaques basées sur les identifiants (par exemple, les attaques par force brute, le vol d’informations, le phishing). Ces attaques peuvent entraîner des perturbations opérationnelles, des coûts de récupération substantiels et une atteinte à la réputation.
  • Gain de temps et praticité améliorée : les utilisateurs n'ont plus à se soucier de la sélection, de la gestion et de la protection des mots de passe du système. Ils n’ont pas non plus à déterminer s’ils doivent saisir un code ou approuver une notification push. Le processus de connexion est plus simple et plus rapide, et cette réduction des frictions est particulièrement bénéfique dans les scénarios critiques en matière de sécurité et où le temps est compté. L'association de passkeys et d'une authentification unique pour les ressources internes peut encore simplifier l'accès. Même si certaines ressources et certains sites web exigeront toujours des mots de passe ou d'autres mécanismes d'authentification, la réduction du nombre de connexions et de demandes de réauthentification simplifie la vie des employés.
  • Moins de demandes d'assistance (help desk) : bien que l'adoption de passkeys ne supprime pas les problèmes d'accès, elle peut réduire considérablement le nombre de tickets liés aux erreurs de mot de passe, aux demandes de réinitialisation, aux dispositifs d'authentification perdus ou défectueux et aux codes de vérification retardés ou manquants en raison d'un mauvais signal mobile. Les équipes support peuvent ainsi consacrer le temps habituellement absorbé par ces tickets à se concentrer sur d'autres problèmes.

Remarques générales et mises en garde

La plupart des organisations n'auront pas besoin de construire une infrastructure passkey à partir de zéro. Les principaux fournisseurs d'identité tels que Microsoft, Google et Okta proposent la prise en charge des passkeys dans le cadre de leurs plateformes d'authentification existantes. La décision de mise en œuvre porte moins sur le choix d'un produit de gestion de passkey autonome que sur la manière d'activer et d'appliquer les passkeys au sein de votre infrastructure d'identité actuelle. Avant d’évaluer différentes solutions, les organisations doivent bien comprendre leur environnement et prendre en compte les implications pour les appareils personnels des employés, le cas échéant. Certaines solutions peuvent ne pas être compatibles avec tous les systèmes d'exploitation ou avec les versions plus anciennes. Les organisations doivent également réfléchir à l’endroit où les passkeys seront stockées (par exemple, directement sur l’ordinateur portable de l’utilisateur, dans un gestionnaire de mots de passe Cloud, sur un jeton physique tel qu’une YubiKey) et à la manière de rétablir l’accès si une passkey est perdue, supprimée ou corrompue. Notre FAQ aborde des points supplémentaires.

Notez que si les passkeys constituent une option d'authentification robuste, elles ne sont pas infaillibles. Une bonne hygiène de sécurité globale est importante, notamment en veillant à la mise en place de contrôles de sécurité appropriés, en auditant régulièrement les privilèges et les accès, et en maintenant les systèmes et les logiciels à jour afin de corriger les vulnérabilités connues. Les organisations devraient également sensibiliser les utilisateurs à la protection de l'accès et à la manière de reconnaître les tentatives d'ingénierie sociale.

Facteurs de succès pour la mise en œuvre d'une passkey

D’après notre expérience avec une passkey et les conseils publiés par d’autres experts du secteur, une mise en œuvre réussie nécessite des éléments tels que des partenariats internes, une planification adéquate et une communication claire. Nous avons identifié les facteurs suivants susceptibles de faciliter la transition. Ces facteurs sont abordés plus en détail dans le guide de mise en œuvre.

  • Impliquez les bonnes équipes.
  • Ayez toujours les utilisateurs à l’esprit.
  • Expliquez les avantages.
  • Utilisez positivement vos erreurs passées.
  • Diversifiez les primo-adoptants.
  • Contrez la résistance par des faits et des preuves rassurantes.
  • Diffusez des communications claires à une cadence appropriée.
  • Rédigez des scripts d'assistance et formez les équipes support au plus tôt.
  • Écoutez les utilisateurs.

Comment Sophos peut vous aider ?

Lors de la mise en place de notre système de passkey, nous avons rencontré des difficultés connues et inattendues. Pour aider les autres organisations qui envisagent ou entreprennent cette transition, nous avons créé un playbook contenant un guide de mise en œuvre, une FAQ, un modèle de déploiement de passkey téléchargeable pouvant être utilisé par les chefs de projet et des slides de présentation, également téléchargeables.

Billet inspiré de Strengthening authentication with passkeys: A CISO playbook, sur le Blog Sophos. 

À propos de l'auteur

Ross McKerchar

Ross McKerchar

Ross McKerchar is the Chief Information Security Officer (CISO) at Sophos. He holds a BSc in Computer Science from Edinburgh University and joined Sophos in 2007. During his tenure with the company, he has successfully established, scaled, and matured the internal cybersecurity program. The CISO team helps keep customers safe by keeping Sophos products, infrastructure, and services safe. Ross believes that authenticity and transparency are key to achieving the team's core goal: becoming the most trusted brand in cybersecurity.

Author placeholder

Rajeev Kapur

Rajeev Kapur is VP, IT Engineering at Sophos. Since joining the company in 2012, he has led initiatives that enable employees across the business, including the corporate identity journey, deployment of a Zero Trust security model, passkey‑based authentication, and broader employee technology programs.

Mindi McDowell

Mindi McDowell

Mindi McDowell is a Senior Threat Researcher in Sophos X-Ops. She holds a master's degree in professional writing from Carnegie Mellon University and began her cybersecurity career at the CERT Coordination Center, based at Carnegie Mellon University's Software Engineering Institute. She later joined Secureworks, where she was a member of the Counter Threat Unit (CTU).

Author placeholder

Angela Gunn

Angela Gunn is a senior threat researcher in Sophos X-Ops. As a journalist and columnist for two decades, her outlets included USA Today, PC Magazine, Computerworld, and Yahoo Internet Life. Since morphing into a full-time technologist, she has focused on incident response, privacy, threat modeling, GRC, OSINT, and security training at companies including Microsoft, HPE, BAE AI, and SilverSky.

Ryan Westman

Ryan Westman

Ryan Westman is a Senior Manager of Threat Research at Sophos. With over a decade of experience in cybersecurity and national security, Ryan specializes in threat intelligence and operations. He has led high-performing teams across government, Big Four consulting, and the MDR space.
Ryan has provided expert commentary to leading media outlets and spoken at major national and international conferences, including DEFCON, RMISC, Sleuthcon, ILTACon, and Evanta CISO events. He holds multiple degrees and industry certifications (GCTI, GCFA, GSLC) and is passionate about protecting organizations from foreign and domestic cyber threats.