C’est quoi l’authentification à deux facteurs (la 2FA) ?

Publié par : John Arthur Berg, itslearning
Le 23 mai 2019

Qu’on se le dise, cet article va certainement déplaire à certains, mais soyons honnêtes, l’authentification telle que nous la connaissons aujourd’hui, c’est à dire un nom d’utilisateur et un mot de passe, ne garantit plus un niveau de sécurité suffisant pour protéger les données personnelles.
C’est en ce sens que l’authentification à deux facteurs a été développée…

C’est quoi l’authentification à deux facteurs ?

La 2FA peut paraître très complexe, elle est en réalité plutôt simple. Il s’agit pour un utilisateur de confirmer son identité en suivant plusieurs méthodes. La plupart du temps en associant un élément qu’il est le seul à connaître (comme un mot de passe) avec un autre élément qu’il est également le seul à posséder (comme un code à usage unique).

Si certains ont déjà opté à titre personnel pour l’authentification à deux facteurs pour sécuriser l’accès à leurs comptes Facebook, Dropbox, Gmail ou LinkedIn par exemple, on note cependant que la plupart des établissements d’enseignement utilise encore la sempiternelle combinaison nom d’utilisateur/mot de passe pour accéder à leur ENT et à leurs outils tiers.

Une question pourrait s’imposer : « Le RGPD exige-t-il que nous utilisions l’authentification à deux facteurs ? ». Eh bien, à question simple, réponse complexe…

A lire également : Pourquoi le RGPD ?

La responsabilité commune la plus importante qui lie le responsable du traitement des données (un chef d’établissement) et le sous-traitant (ici itslearning) est de garantir une sécurité technique et organisationnelle adaptée.
Cela signifie que les mesures prises sont adaptées aux conséquences subies par un individu en cas de perte ou de vol de données. En d’autres termes, le caractère adapté varie selon le bon degré de protection à appliquer aux données traitées.
De fait, je ne dirais pas qu’en règle générale le RGPD impose la 2FA aux plateformes d’apprentissage. Je laisserais plutôt deux organisations qui sont bien plus compétentes en la matière le faire à ma place :

1. « Nous sommes d’avis que l’accès du personnel à un Espace Numérique de Travail (ENT) nécessite l’utilisation d’un mécanisme d’authentification plus fort qu’un simple nom d’utilisateur et mot de passe. » (Extrait des lignes directrices de l’autorité de contrôle norvégienne pour les plateformes de gestion de l’apprentissage).
2. « Prévoir et exiger l’utilisation d’un mécanisme d’authentification multi-facteurs lors de la connexion à la plate-forme par les administrateurs et les enseignants, afin de prévenir toute utilisation détournée de données en cas de vol de mots de passe. » ((Résolution sur les plateformes d’apprentissage en ligne adoptée lors de la 40ème Conférence internationale des commissaires à la protection des données et de la vie privée 23 octobre 2018).

A moins de ne procéder à une évaluation minutieuse du risque, il est recommandé d’adopter la 2FA

Nombreux sont ceux qui pensent que tant que les données ne sont pas « sensibles » (désignées par les « catégories particulières » de données à caractère personnel pour reprendre le RGPD), il n’est pas nécessaire de les protéger à l’aide un mécanisme d’authentification plus fort. Il s’agit là d’une simplification excessive. En effet, l’importance de la protection des données ne doit pas toujours être liée à leur catégorisation.

Si un individu accède au compte d’un enseignant depuis un système de gestion de vie scolaire, il aura accès aux évaluations des élèves, aux adresses des domiciles, et à des informations liées aux parents. La protection de ces informations est au moins aussi importante que celle de votre dernier bilan de santé réalisé par votre médecin traitant.

A lire également : Quel est l’impact du RGPD sur les établissements scolaires ?

Il est indispensable de reconnaître que le monde évolue sans cesse et que cette sécurité « adaptée » n’est pas statique, mais qu’elle s’adapte aux évolutions technologiques et aux menaces qu’elle peut représenter. Un simple mot de passe n’est donc pas ou plus suffisant pour accéder à des services en ligne.
Par conséquent, il est du devoir des administrateurs de plateforme d’apprentissage de s’informer quant à l’implémentation d’un système d’authentification à deux facteurs adapté à leurs technologies ainsi qu’à leurs enjeux.

Sachez qu’itslearning déploie actuellement l’authentification à deux facteurs sur son ENT. Cette nouvelle fonctionnalité sera activée pour tous les administrateurs système au plus tard le 24 juin 2019. Elle peut être activée pour les administrateurs établissement (en option).

Pour plus d’information à ce sujet, contactez-nous. Si vous êtes déjà client, merci de vous rapprocher de votre responsable de compte.