Authentification et sécurité

Découvrez comment les entreprises relèvent les
multiples défis de sécurité actuels

Businesses at Work 2025 → Authentification et sécurité

Facteurs et catégories
de sécurité

Pour la énième année consécutive, 123456 est le mot de passe le plus populaire au monde. Heureusement, les clients Okta continuent d’investir dans la sécurité de leurs ressources et collaborateurs. Ils optent pour des outils de sécurité puissants et délaissent les facteurs plus faibles associés à des identifiants non résistants au phishing (les mots de passe, évidemment !) au profit de facteurs d’authentification à niveau d’assurance plus élevé, notamment la biométrie.

Authentification et sécurité → Catégories et facteurs de sécurité

CATÉGORIES D’OUTILS LES PLUS POPULAIRES

Des outils pour sécuriser un périmètre infini

Les entreprises, de même que leurs collaborateurs, données, workflows et autres ressources, ont besoin de couches de protection supplémentaires dans un paysage de menaces boostées par l’IA.

Entre novembre 2022 et octobre 2023, 30 458 incidents de sécurité avérés ont été signalés, d’après le rapport « Data Breach Investigations 2024 » de Verizon. 10 626 d’entre eux — un record historique — étaient des brèches de données confirmées. Mais les entreprises s’adaptent rapidement. Voici un aperçu des outils de sécurité les plus populaires destinés à tenir les cybercriminels à l’écart.

Authentification et sécurité → Facteurs et catégories de sécurité

Les pare-feux en plein essor — Le VPN/pare-feu est l’outil de sécurité le plus populaire (depuis 2020, d’ailleurs). Il est utilisé par plus de la moitié des clients Okta qui déploient des outils de sécurité via notre catalogue OIN. L’adoption a une fois encore progressé de 2 % cette année. Cette catégorie inclut des produits populaires tels que Palo Alto Networks GlobalProtect et Prisma Access, OpenVPN, AWS ClientVPN, Zscaler, Cisco AnyConnect et Tailscale (une des applications à plus forte croissance). Par secteur, c’est le secteur public qui mène le bal, avec une croissance annuelle impressionnante de 11 % dans l’adoption des VPN/pare-feux.

Progression de la gestion de la conformité — Le nombre d’entreprises qui ont déployé des outils de conformité des données a augmenté de 50 % sur 12 mois, après avoir enregistré une croissance de 120 % l’année précédente, à savoir la croissance la plus rapide parmi les outils de sécurité. Actuellement, 11 % des clients Okta qui déploient des outils de sécurité par l’intermédiaire d’Okta Integration Network déploient un outil de conformité des données. L’envol de l’automatisation et de la collecte de données (ainsi que des algorithmes d’IA gourmands en données) a entraîné des changements dans le paysage réglementaire, ce qui devrait confirmer le succès de cette catégorie.

Prudence face aux deepfakes — Les outils de contrôle de l’identité, qui contribuent à sécuriser l’onboarding en cette ère de deepfakes générés par IA, ont enregistré une croissance annuelle de 11 %. Des attaques par deepfake se sont produites en moyenne toutes les cinq minutes en 2024.

Gérer l’anarchie — Les mots de passe à faible niveau d’assurance sont toujours très présents dans l’espace numérique. C’est pourquoi les gestionnaires de mots de passe restent populaires. Un tiers des clients Okta qui déploient des outils de sécurité via OIN emploient actuellement des outils de gestion des mots de passe (en progression de 9 % sur un an).

Authentification et sécurité → Facteurs et catégories de sécurité

Startups technologiques

Conformité des données et formation — Les startups technologiques n’ont pas les moyens de payer des amendes coûteuses pour infraction aux réglementations officielles. L’adoption d’outils de conformité des données a progressé de 45 % en un an au sein des startups. La formation est une autre priorité, avec une croissance annuelle en hausse de 13 % parmi les startups technologiques désireuses de rendre leurs collaborateurs rapidement opérationnels.

Surveillance de l’infrastructure — Cette catégorie est mieux classée au sein des startups, juste après les gestionnaires des mots de passe, et la gestion et sécurité des terminaux. Un résultat qui semble logique dans la mesure où les interruptions de service peuvent coûter aux plus petites entreprises des montants s’élevant à 100 000 $ par heure.

Gestion des mots de passe — Quelle que soit leur taille, les entreprises donnent la priorité à la formation (3^e place) et à la gestion des mots de passe (4^e) derrière les catégories VPN/pare-feu et Gestion et sécurité des terminaux. Les startups technologiques, toutefois, accordent plus de valeur aux outils de gestion des mots de passe (3^e) alors que les outils de formation ne se classent qu’en 6^e position.

Entreprises Fortune 500

Surveillance de l’infrastructure — Avoir des systèmes opérationnels est encore plus prioritaire pour les grandes entreprises qui peuvent perdre 300 000 $ ou plus en une seule heure d’interruption. Dans l’ensemble des entreprises, la surveillance de l’infrastructure arrive en 5^e position. Parmi les entreprises Fortune 500, elle se classe deuxième.

Analytique de sécurité — Les systèmes interconnectés des entreprises Fortune 500 génèrent des volumes considérables de données. Mais à quoi servent ces données s’il est impossible de les interpréter ou de les exploiter pour prendre des décisions rapides ? L’analytique de sécurité clôture le trio de tête pour les entreprises Fortune 500, soit six places plus haut que pour les entreprises dans leur ensemble.

Authentification et sécurité → Facteurs et catégories de sécurité

CATÉGORIES D’OUTILS DE SÉCURITÉ À PLUS FORTE CROISSANCE

Les pays font le plein d’outils de conformité des données et de VPN

_Remarque :_{dans ce tableau illustrant l’utilisation des applications, nous comptons le nombre de clients déployant un ou plusieurs outils ou applications de chaque catégorie.}_Remarque :_{les données concernant l’utilisation des produits Okta ne sont pas incluses dans ce tableau.}

Des réglementations changeantes sur la confidentialité des données, une surface d’attaque accrue et le coût élevé des interruptions de service pèsent lourdement sur tous les pays du monde. Ces préoccupations se reflètent dans les catégories de sécurité qui connaissent la croissance la plus rapide parmi les pays représentés.

Authentification et sécurité → Facteurs et catégories de sécurité

Le Canada protège la confidentialité — Le Canada cherche à ajouter une loi sur la protection de la vie privée des consommateurs à ses instruments juridiques. Les entreprises anticipent la réglementation attendue en ajoutant des outils de conformité des données à leur arsenal de sécurité.

Les États règlementent aux USA — Comme au Canada, les nouvelles réglementations adoptées aux États-Unis, au niveau fédéral et des États individuels, contribuent à l’adoption accrue d’outils de conformité des données. États possèdent des lois sur la confidentialité et de nouvelles mesures sont en passe d’être adoptées par d’autres assemblées législatives du pays.

Le Japon donne la priorité aux pare-feux — La sécurité réseau revêt une grande importance au Japon où, selon les estimations, l’adoption des VPN/pare-feux devrait augmenter à un taux annuel composé de 6,8 % entre 2024 et 2030.

La France renforce la surveillance des infrastructures — Le pays renforce la surveillance des infrastructures face à la multiplication des cyberattaques. L’autre raison avancée est la mise en conformité aux directives européennes telles que NIS2 (cybersécurité) et DORA (entités financières).

Authentification et sécurité → Facteurs et catégories de sécurité

TYPES DE FACTEURS LES PLUS POPULAIRES

Les facteurs d’authentification plus forts ont la cote

_Remarque :_{la taille des cercles indique le nombre relatif de clients utilisant ces facteurs.}_Remarque :_{Okta Verify (OTP + push)}_{inclut Okta Verify avec des mots de passe à usage unique et Okta Verify avec notifications push. WebAuthn est regroupé avec YubiKey dans la catégorie}_{Clé de sécurité ou biométrie}_{. Google Authenticator, Duo Security, RSA SecurID, HOTP (mots de passe à usage unique basés sur HMAC), YubiKey OTP et Symantec VIP sont regroupés sous la catégorie}_{Autre OTP.}_{Les facteurs SMS et authentification par appel vocal font partie de la catégorie de facteurs}_Téléphone_._Remarque :_{ces données sont limitées aux clients Okta Workforce Identity.}

L’efficacité de l’authentification multifacteur (MFA) dépend des facteurs utilisés. Si des facteurs à niveau d’assurance plus faibles comme le téléphone et l’e-mail sont utilisés, les hackers peuvent infiltrer plus facilement les défenses. 63 % des brèches de l’année dernière sont liées aux processus d’authentification des entreprises. Heureusement, les entreprises, toutes tailles confondues, renforcent leur combinaison de facteurs d’authentification.

Authentification et sécurité → Facteurs et catégories de sécurité

La tendance est aux facteurs plus forts — L’adoption de facteurs d’authentification à niveau d’assurance plus élevé et résistants au phishing (p. ex. Okta FastPass, les clés de sécurité et la biométrie) s’accentue. Le facteur à niveau d’assurance moyen Okta Verify (OTP + push), qui est déjà le groupe de facteurs le plus utilisé en fonction du nombre de clients, a connu une croissance de 3 % en nombre de clients et de 16 % en nombre d’utilisateurs uniques cette année.

FastPass progresse — La solution à niveau d’assurance élevé a progressé de 52 % sur un an en nombre de clients et de 160 % en nombre d’utilisateurs uniques. Okta FastPass, notre solution résistante au phishing, peut être déployé avec ou sans facteur biométrique. Le volume d’authentifications FastPass avec biométrie a augmenté de 288 % en un an.

Authentification et sécurité → Facteurs et catégories de sécurité

Les facteurs faibles perdent du terrain — Les entreprises délaissent les facteurs d’authentification à niveau d’assurance plus faible, tels que le téléphone et les questions de sécurité. Ces dernières enregistrent un déclin pour la deuxième année consécutive, en recul de 12 % en nombre de clients et de 5 % en nombre d’utilisateurs uniques l’année dernière. L’adoption du facteur Téléphone (SMS/appel vocal) régresse considérablement, avec une diminution annuelle de 14 % en nombre de clients et de 1 % en nombre d’utilisateurs uniques cette année après avoir plus que doublé le nombre d’utilisateurs uniques l’année dernière.

L’adoption de l’e-mail augmente — Si la tendance est aux facteurs à niveau d’assurance plus élevé, l’adoption de l’e-mail, à niveau d’assurance moindre, repart à la hausse avec une augmentation annuelle de 23 % en nombre d’utilisateurs uniques. Toutefois, elle a fortement ralenti par rapport à l’augmentation de 155 % en nombre d’utilisateurs uniques qu’elle a connu l’année dernière, ce qui constitue selon nous une évolution positive.

Authentification et sécurité → Facteurs et catégories de sécurité

TYPES DE FACTEURS LES PLUS POPULAIRES, PAR TAILLE D’ENTREPRISE

Le choix de facteurs varie en fonction de la taille de l’entreprise

_Remarque :_{Okta Verify (OTP + push)}_{inclut Okta Verify avec des mots de passe à usage unique et Okta Verify avec notifications push. WebAuthn est regroupé avec YubiKey dans la catégorie}_{Clé de sécurité ou biométrie}_{. Google Authenticator, Duo Security, RSA SecurID, HOTP (mots de passe à usage unique basés sur HMAC), YubiKey OTP et Symantec VIP sont regroupés sous la catégorie}_{Autre OTP}_{. Les facteurs SMS et authentification par appel vocal font partie de la catégorie de facteurs}_Téléphone_._Remarque :_{ces données sont limitées aux clients Okta Workforce Identity.}

Les entreprises de toutes tailles se tournent finalement vers des facteurs résistants au phishing pour lutter contre les cyberattaques, la fraude, l’usurpation d’identité et les brèches de données.

Les facteurs d’inhérence, tels que la biométrie et les facteurs de possession, comme les clés de sécurité, sont généralement plus difficiles à usurper que les facteurs de connaissance, par exemple les questions de sécurité. Mais certaines tendances intéressantes semblent se dessiner lorsque nous comparons l’évolution globale des facteurs entre les startups technologiques et les entreprises Fortune 500.

Authentification et sécurité → Facteurs et catégories de sécurité

Les grandes entreprises renforcent leurs facteurs — Les entreprises de toutes tailles intensifient le déploiement de facteurs d’authentification à niveau d’assurance élevé, mais l’adoption parmi les entreprises Fortune 500 est celle qui connaît la hausse la plus rapide. L’emploi de clés de sécurité ou de la biométrie a augmenté de 30 % en nombre de clients dans les entreprises Fortune 500. L’utilisation d’Okta FastPass a augmenté de 69 % en nombre de clients et de 334 % en nombre d’utilisateurs uniques.

Les entreprises de plus petite taille abandonnent les facteurs faibles — De la même manière, les entreprises en général sont en train d’abandonner les facteurs téléphoniques à niveau d’assurance faible, mais cette évolution est plus prononcée du côté des petites startups technologiques. Pour la première fois, celles-ci réduisent leur utilisation des facteurs téléphoniques : l’adoption est en recul de 21 % par rapport à l’année précédente en nombre de clients (contre seulement 2 % pour les entreprises Fortune 500) et de 30 % en nombre d’utilisateurs uniques.

Là où ces segments évoluent à contre-courant — Les entreprises Fortune 500 continuent d’ajouter les questions de sécurité (+6 % en nombre de clients). Les startups technologiques continuent d’ajouter l’e-mail (+21 % en nombre de clients et +31 % en nombre d’utilisateurs) à un rythme plus élevé que les entreprises dans leur ensemble.

Businesses at Work 2025 → Authentification et sécurité

Authentification passwordless avec FastPass

Les mots de passe numériques sont utilisés depuis le début des années 1960. Mais l’authentification basée sur la connaissance est risquée par nature, car il est très facile de découvrir des informations personnelles sur les réseaux sociaux et les sources officielles publiques. Face aux cybermenaces dopées par l’IA, les entreprises du monde entier abandonnent les mots de passe.

Okta FastPass est un authentificateur résistant au phishing dont le déploiement (souvent renforcé par la biométrie) fournit des informations sur l’adoption rapide de l’authentification passwordless. Pour en savoir plus, consultez la section Méthodologie.

Authentification et sécurité → Authentification passwordless avec FastPass

AUTHENTIFICATION PASSWORDLESS, PAR TYPE DE TERMINAL

L’authentification biométrique est en hausse

_Remarque :_{ces données sont basées sur la collecte de données Okta FastPass cumulées auprès de clients Okta Workforce Identity pendant une année.}

Il n’y a pas si longtemps, la mobilité était liée aux terminaux. Aujourd’hui, elle définit notre façon de travailler. Nous accédons aux ressources de l’entreprise n’importe où, à tout moment et sur n’importe quel terminal.

L’authentification passwordless a rendu cette expérience plus fluide pour les équipes géographiquement dispersées, la biométrie ajoutant une couche de sécurité aux systèmes d’exploitation. Nos données montrent que le volume global d’authentifications Okta FastPass a fortement progressé par rapport à l’année dernière. Le nombre total d’authentifications FastPass a augmenté de 377 % par rapport à l’année précédente. Le nombre d’authentifications FastPass utilisant des données biométriques, comme les empreintes digitales ou la reconnaissance faciale, a augmenté de 288 % sur un an.

16 % des authentifications FastPass ont recours à la biométrie, mais le déploiement de facteurs biométriques varie fortement selon le type de terminal et le système d’exploitation.

Authentification et sécurité→ Authentification passwordless avec FastPass

Android sécurise les connexions à distance — Bien que les terminaux Android affichent le pourcentage le plus faible d’authentifications FastPass, ils ont le pourcentage le plus élevé d’adoption de la biométrie (21 %).

macOS devance Windows — Cette année, le volume total d’authentifications depuis un terminal macOS est supérieur à celui de Windows. Pour la deuxième année consécutive, les terminaux macOS affichent un pourcentage plus élevé d’authentifications FastPass avec facteurs biométriques que Windows (18 % contre 13 %).

Les téléphones ne dominent pas encore le monde — Les utilisateurs finaux restent plus enclins à se connecter via un ordinateur qu’un téléphone.

Authentification et sécurité → Authentification passwordless avec FastPass

AUTHENTIFICATION PASSWORDLESS, PAR PAYS

Les pays se tournent vers les options sans mot de passe

_Remarque :_{ces données sont basées sur la collecte de données Okta FastPass cumulées auprès de clients Okta Workforce Identity pendant une année.}

Partout dans le monde, l’authentification passwordless gagne rapidement du terrain. L’utilisation de la biométrie pour renforcer ces authentifications augmente également, mais pas aussi rapidement. Plusieurs raisons peuvent expliquer ce décalage : certains ordinateurs portables d’entreprise ne disposent pas encore d’une fonctionnalité d’empreinte digitale ou de caméra activée, et il arrive que les équipes IT soient trop sollicitées pour fournir à tous une technologie passwordless reposant sur des données biométriques. Voici les progrès réalisés jusqu’à présent.

Authentification et sécurité → Authentification passwordless avec FastPass

Explosion de la biométrie — Une authentification passwordless sur cinq est renforcée par la biométrie au Canada, en Allemagne, en Corée du Sud, en Israël, au Royaume-Uni et en Australie. Pourquoi ces pourcentages plus élevés ? Une étude allemande a révélé que près de la moitié des répondants (49 %) travaillent dans des entreprises où l’employeur impose l’authentification biométrique pour renforcer la cybersécurité.

La France renforce la sécurité — La France affiche le plus grand nombre d’authentifications Okta FastPass par compte. Le phishing représente la principale menace posée à l’identité en France. L’intérêt pour les technologies passwordless peut être lié à une augmentation sensible des attaques par phishing observée pendant les Jeux olympiques de Paris de 2024. En revanche, la France enregistre l’un des taux moyens les plus bas d’utilisation de FastPass avec biométrie (12 %).

Les États-Unis à la traîne — Le pays compte le deuxième nombre le plus élevé d’authentifications FastPass par compte cette année. Mais ils sont à la traîne par rapport aux autres pays inclus dans ce rapport en ce qui concerne l’authentification renforcée par la biométrie, avec un taux de 17 % seulement.

Le Japon comble l’écart — De même, le Japon affiche un taux élevé d’authentifications passwordless, mais un pourcentage faible d’utilisation de la biométrie avec 11 %, soit le taux le plus faible de la liste. (La transformation digitale du Japon a été plus lente que celle de nombreux autres pays pour diverses raisons complexes.)

Businesses at Work 2025 → Authentification et sécurité

Mesure de la croissance des cybermenaces

Les cyberattaques automatisées sont en hausse partout dans le monde. Okta ThreatInsight évalue les connexions légitimes et malveillantes au sein de notre clientèle pour détecter les adresses IP à risque et bloquer les attaques basées sur les identifiants, notamment le password spraying, le credential stuffing et les attaques cryptographiques par force brute. Les données agrégées de ThreatInsight offrent une bonne approximation de l’état actuel des cybermenaces, que nous analysons par secteur et par pays.

Authentification et sécurité → Mesure de la croissance des cybermenaces

DÉTECTION ET PRÉVENTION AUTOMATISÉES DES MENACES

Les entreprises du secteur de l’énergie et les organisations à but non lucratif sous le feu des attaques

_Remarque :_{ces données sont basées sur les données Okta FastPass cumulées et collectées auprès de clients Okta Workforce Identity sur une année.}

Tous les secteurs sont aujourd’hui dans le viseur des cybercriminels, mais certains sont plus ciblés que d’autres, et pas forcément ceux auxquels on s’attend. Les institutions financières et bancaires, par exemple, peuvent sembler des cibles tentantes, mais les données ThreatInsight montrent qu’elles connaissent des taux d’attaque nettement plus faibles que ceux des autres secteurs.

Authentification et sécurité → Mesure de la croissance des cybermenaces

Les menaces se multiplient — Les attaques, mesurées par le ratio des menaces détectées par rapport au nombre total d’authentifications, sont en hausse partout. Au cours du seul mois de mai 2024 (après une hausse des attaques de credential stuffing contre les comptes utilisateurs de mars à avril), Okta a bloqué 2,38 milliards de demandes malveillantes. Les données d’Okta indiquent que le nombre de menaces détectées est resté à un niveau bien plus élevé que l’année antérieure.

L’énergie en butte aux attaques — Le secteur de l’énergie, exploitation minière, pétrole et gaz enregistre une nouvelle fois le taux le plus élevé de menaces détectées cette année (avec un taux décuplé qui est passé de 3,3 % à 32 %). Les réseaux de distribution électrique ainsi que l’exploitation pétrolière, gazière et minière ne sont pas toujours sûrs sur le plan numérique, et sont devenus des cibles populaires pour les activistes et les groupes étatiques cybercriminels.

Les organisations à but non lucratif en danger — Ces organisations représentent le deuxième secteur le plus ciblé avec 18 % d’authentifications malveillantes cette année (contre 2,6 % l’année dernière). Dans une étude portant sur ces organisations, près de deux tiers des répondants ont déclaré avoir connu une brèche de sécurité ou un incident lié à des données critiques l’année passée. Et même si ces organisations ne sont pas officiellement considérées comme des infrastructures critiques, il semble malgré tout que les hackers leur accordent une importance similaire.

Le secteur financier respire un peu — L’an dernier, le taux de menaces détectées dans le secteur financier et bancaire (2,8 %) représentait le deuxième taux le plus élevé de tous les secteurs. Il est passé à 2,9 % cette année, mais d’autres secteurs affichent des taux de croissance bien plus élevés, ce qui fait passer le secteur financier et bancaire à la 13e place. Les institutions financières et bancaires renforcent leurs défenses : les intrusions système et les attaques de social engineering sont en hausse dans ce secteur, ce qui indique que les attaquants doivent redoubler d’efforts pour qu’une brèche aboutisse.

Authentification et sécurité → Mesure de la croissance des cybermenaces

DÉTECTION ET PRÉVENTION AUTOMATISÉES DES MENACES

Les États-Unis enregistrent le taux le plus élevé de menaces détectées

_Remarque :_{ces données sont basées sur les données cumulées Okta ThreatInsight collectées auprès de clients Okta Workforce Identity pendant une année.}

Nos données révèlent que les cyberattaques explosent dans tous les pays du monde. L’année dernière, avec 1,7 % de menaces détectées pour toutes les authentifications, Israël occupait la première place au classement. Cette année, un tel taux ne leur permettrait même pas de figurer dans le top 5 de notre liste.

Authentification et sécurité → Mesure de la croissance des cybermenaces

Les USA en première place — Avec un taux de 6,6 % de menaces détectées, les États-Unis, en deuxième place des pays les plus attaqués l’année dernière, figurent désormais en tête du classement.

L’EMEA, autre cible majeure — L’Allemagne et les Pays-Bas, qui avaient des taux de détection des menaces très faibles (respectivement 0,2 % et 0,3 %) il y a un an, se sont hissés dans le top 4 avec le Royaume-Uni. Pour chacun de ces pays, plus d’une authentification sur 20 est détectée comme une menace potentielle.

Augmentation aussi dans la région APAC — L’Australie, le Japon et la Corée du Sud connaissent tous des taux de menaces détectées plus élevés que l’an dernier. Cependant, ces taux restent faibles par rapport à d’autres pays qui ont enregistré des taux beaucoup plus élevés.

Ne jamais faire confiance, toujours vérifier — Le parcours Zero Trust

Nos données montrent que la sécurité est une priorité absolue pour les entreprises du monde entier. Au-delà du déploiement d’outils axés sur la sécurité, comment les entreprises peuvent-elles protéger leurs collaborateurs, leurs ressources et leur infrastructure ?

Le Zero Trust est une stratégie de sécurité qui remet en question l’idée qu’il existe un réseau interne « de confiance » et un réseau externe « non fiable ». En réalité, les entreprises doivent plutôt établir des relations de confiance pour sécuriser l’accès de toutes les personnes, des collaborateurs aux fournisseurs, quel que soit leur emplacement, le terminal ou le réseau utilisé. Cette stratégie commence par une identité sécurisée.

Bien que la plupart des entreprises comprennent le rôle clé que joue la gestion de l’identité dans la cybersécurité moderne, il peut être difficile pour une entreprise d’évaluer ses progrès dans un paysage de menaces qui ne cesse d’évoluer.

Okta a élaboré un modèle de maturité des identités en quatre stades, fondé sur les tendances et les bonnes pratiques observées chez des milliers de clients afin d’aider les entreprises à comparer leur parcours Zero Trust à celui de leurs pairs et à progresser pour atteindre leurs propres objectifs en matière de gestion des identités. À quel stade êtes-vous ? Découvrez-le dans le Guide du parcours de maturité de l’identité d’Okta.