Les médecins utilisent généralement plusieurs applications au cours de leur journée, et cette tendance devrait se poursuivre à mesure que le nombre d'applications axées sur les soins de santé augmente. Le temps nécessaire à la saisie des mots de passe pour ces applications peut s'accumuler, même si une organisation utilise une solution d'authentification unique, ce qui fait de la saisie des mots de passe une étape fastidieuse dans la journée d'un médecin qui lui prend du temps à consacrer aux soins des patients. Sans compter que le suivi de mots de passe uniques et souvent complexes pour différentes applications ou systèmes peut s'avérer très compliqué.
Les mots de passe engendrent également des coûts importants pour les systèmes de santé qui doivent payer des services d’assistance pour aider les utilisateurs à réinitialiser leurs mots de passe à plusieurs reprises. Pour couronner le tout, les mots de passe restent l’une des méthodes d’authentification les plus vulnérables disponibles
« La nécessité de gérer les mots de passe et de surmonter les problèmes qui y sont liés entraîne une frustration massive et une perte de productivité », écrit Jeremiah Salzberg, responsable de la sécurité technologique chez CDW.
En raison des limites et de l'impopularité des mots de passe, les experts prédisent leur disparition depuis des décennies, mais ils sont toujours là. Cependant, certaines avancées dans les technologies d'authentification, notamment la biométrie, l'API d'authentification Web basée sur un navigateur et les notifications push, pourraient offrir à certaines organisations la possibilité de se passer enfin de mot de passe.
La promesse de l’authentification sans mot de passe
Les faiblesses des mots de passe sont devenues un problème majeur ces dernières années, car les cybercriminels ont commencé à utiliser des outils tels que l’intelligence artificielle pour améliorer leurs attaques. L’IA peut être utilisée non seulement pour des techniques d’attaque courantes telles que le phishing, mais également pour déchiffrer des mots de passe. Le vol est une autre vulnérabilité importante des mots de passe : un rapport Keeper de mars 2024 a révélé que 52 % des responsables informatiques ont déclaré que leurs équipes informatiques étaient confrontées à des mots de passe fréquemment volés. Cela est particulièrement inquiétant lorsque les données des patients sont en danger.
La perspective de ne plus avoir à gérer de mots de passe est très attrayante pour les professionnels et les utilisateurs de l’informatique médicale. En fait, 56 % des utilisateurs d’Internet ont déclaré qu’ils étaient enthousiasmés par l’authentification sans mot de passe, selon une enquête Bitwarden de 2023.
Cet enthousiasme est tout à fait justifié, car les établissements de santé pourraient tirer des avantages considérables de l’absence de mot de passe. Selon le fournisseur de sécurité CyberArk, « l’authentification sans mot de passe renforce la sécurité en éliminant les pratiques de gestion des mots de passe risquées et en réduisant les vecteurs d’attaque. Elle améliore également l’expérience utilisateur en éliminant la lassitude liée aux mots de passe et aux secrets. »
Outils prenant en charge l'authentification sans mot de passe
De nombreuses technologies ont vu le jour pour aider les entreprises à atteindre leurs objectifs de sécurité sans mot de passe. L’authentification biométrique en est un exemple. Selon le fournisseur de sécurité Okta, « l’authentification biométrique est un processus de sécurité qui utilise des caractéristiques biologiques uniques comme les empreintes digitales, les schémas oculaires, la reconnaissance faciale et l’analyse vocale pour confirmer et vérifier l’identité d’une personne avant de lui accorder l’accès à un espace physique ou à un système numérique. »
Les solutions biométriques peuvent offrir un niveau de sécurité plus élevé, car les identifiants uniques sur lesquels elles s'appuient sont difficiles à reproduire ou à pirater. Elles sont également généralement plus rapides et plus pratiques pour les utilisateurs que de nombreuses autres techniques d'autorisation, ce qui améliore l'expérience utilisateur et donne aux cliniciens plus de temps pour se concentrer sur les soins aux patients. Cela permet à un établissement de santé de mettre en œuvre plus facilement une authentification continue, où l'identité est vérifiée à intervalles réguliers pendant que les utilisateurs sont connectés à un système, ce qui améliore la sécurité.
Les notifications push sont un autre outil d'authentification sans mot de passe. Des solutions telles que Microsoft Authenticator peuvent envoyer une notification push sur l'appareil mobile enregistré d'un utilisateur. La notification comprend des détails sur la tentative d'authentification et permet à l'utilisateur de l'approuver ou de la refuser.
L'authentification sans mot de passe peut également être activée par l'API d'authentification Web (également appelée WebAuthn). Cette interface de programmation d'application, créée par la FIDO Alliance et le World Wide Web Consortium, permet à une organisation d'authentifier les utilisateurs via la cryptographie à clé publique au lieu de mots de passe. En créant une paire de clés privée-publique, l'API permet à un serveur de déployer des authentificateurs puissants intégrés aux appareils pour vérifier l'identité des utilisateurs autorisés.
Plusieurs autres outils, notamment les cartes à puce, les codes QR et les générateurs de codes d’accès à usage unique sur mobile tels que Google Authenticator, peuvent également aider les organisations de santé à établir une authentification sans mot de passe. Les experts suggèrent aux organisations de commencer dès maintenant à réfléchir à la manière dont elles pourraient déployer des solutions comme celles-ci pour enfin se débarrasser des maux de tête que les mots de passe créent depuis des décennies.
« Le temps de l’authentification sans mot de passe est arrivé et les entreprises devraient commencer à s’y orienter », écrit Salzberg de CDW. « Nous sommes encore confrontés à certains défis pour nous débarrasser complètement des mots de passe et nous devons nous assurer que nous utilisons les options d’authentification multifactorielle les plus sécurisées pour nos systèmes les plus critiques. »