Interview Luc Caprini – Ping Identity : « L’avenir du mot de passe est lié à la fédération d’identité »

Heather Adkins, une des principales responsables de la sécurité IT chez Google, affirmait récemment que « les mots de passe étaient morts« .

Avec l’ouverture des Assises de la sécurité IT à Monaco, Luc Caprini, Directeur commercial France et Europe du Sud de Ping Identity (éditeur de solution de gestion sécurisée de l’identité), considère qu’il faut plutôt tempérer ce genre d’assertion.

ITespresso.fr : Pourquoi l’affirmation de Heather Adkins de Gogle vous fait bondir ?

Luc Caprini : C’est un vœu pieux de vouloir mettre fin aux mots de passe.

Actuellement, on étudie beaucoup de nouveaux systèmes pour les remplacer, tels que la biométrie. Mais pour autant les mots de passe ne sont pas près de disparaître.

Là où Heather Adkins a raison, c’est qu’aujourd’hui on essaye de mettre en place des systèmes qui tendent à faciliter la vie des utilisateurs pour qu’ils n’aient pas à mémoriser des centaines de mots de passe.

La tendance est certes vers la disparition des mots de passe en quantité, mais pas forcément des mots de passe au complet.

ITespresso.fr : Comment effectuer une transition vers une stratégie plus ergonomique ?

Luc Caprini : Aujourd’hui toutes les entreprises, y compris les TPE et PME, sont déjà engagées dans ce genre de réflexions.

Avec l’avènement du cloud et des services SaaS, il y a nécessité de créer des comptes et des mots de passe pour tout collaborateur professionnel.

Cela pose différents problèmes d’administration, de sécurisation de la vie privée et des données professionnelles.

Ce que cherchent à faire beaucoup d’entreprises aujourd’hui, c’est à réduire le nombre de mots de passe nécessaires, voir à supprimer l’identification personnelle dans ces procédures.

Voilà à quoi sert la fédération d’identité.

Ping Indentity propose des solutions qui vous permettent de vous identifier sur un référentiel d’entreprise. Une fois que vous l’avez fait, vous pouvez rebondir sans avoir à vous authentifier sur des logiciels qui se trouvent dans le cloud.

Avec cette méthode, les mots de passe disparaissent du côté des fournisseurs de service comme Google ou Salesforce. Mais, pour autant, il restera toujours un mot de passe du côté de l’entreprise.

ITespresso.fr : Combien coûte une telle solution pour les entreprises ?

Luc Caprini : D’une manière générale, la fédération d’identité est beaucoup plus simple et moins cher à implémenter qu’un logiciel classique de gestion d’identité (création, édition, suppression des comptes) ou de contrôle d’accès Web à l’intérieur de l’entreprise.

En plus, Ping Identity se targue d’avoir une solution facile à déployer.

ITespresso.fr : Que pensez-vous des sécurités physiques comme le système des tokens ?

Luc Caprini : Technologiquement, ce sont des choses qui pourraient exister. Si problème il y a, il sera humain.

Allez-vous accepter d’avaler une pilule [à l’image du projet de Motorola] pour devenir vous-même une référence d’authentification ?

Des questionnements propres au syndrome « Big brother » vont se poser, et ces technologies peuvent faire peur.

Finalement de tels projets sont menés pour supprimer les mots de passe mais aussi les identifiants.

ITespresso.fr : Que pensez-vous du système de sécurité Touch ID par biométrie développé par Apple pour son nouvel iPhone ?

Luc Caprini : Pour moi, un mot de passe c’est quelque chose que j’ai dans la tête et que l’on ne peut pas me voler.

C’est dans mon esprit, ce n’est pas tangible on ne peut pas me le prendre.

Là, on va demander aux gens de s’identifier avec une empreinte digitale, or cette empreinte pourra être volée plus facilement que le mot de passe… en touchant un verre par exemple.

Je suis d’accord avec l’analyse faite par Johannes Caspar de la CNIL allemande.

Si l’empreinte digitale est volée, on ne peut plus la remplacer alors qu’un mot de passe corrompu reste modifiable.

ITespresso.fr : En conclusion, quel est l’avenir du mot de passe ?

Luc Caprini : Pour moi, il s’agit du seul système de sécurité que l’on ne peut pas définitivement vous voler à priori car vous pouvez le changer.

Changer de systèmes d’authentifications par des tokens, de la biométrie ou autre représente des coûts importants pour des entreprises qui œuvrent sur des business classiques (autres que la défense ou le renseignement).

Le mot de passe a encore de beaux jours devant lui.

Aujourd’hui, les problématiques principales restent la diffusion des identités et des mots de passe à l’extérieur des entreprises. A partir du moment où elle repose sur des services en mode SaaS, il faut limiter le risque de propagation des données sensibles.