Nous avons sécurisé l’entrée avec les Passkeys. C’est bien. Mais une fois l’utilisateur entré… on lui fait confiance aveuglément ? C’est là que le modèle Zero Trust entre en jeu : “Never Trust, Always Verify”. C’est aussi la que l’IA peut jouer un rôle important.
L’authentification continue
Aujourd’hui, l’authentification est binaire : vous êtes connecté ou vous ne l’êtes pas. Demain (et déjà aujourd’hui dans les banques), l’authentification sera un score de confiance.
Par exemple :
- Je me logue avec FaceID : Confiance 100%.
- Je change d’adresse IP pour un pays inconnu : Confiance 80%.
- Je tente d’accéder à l’interface d’admin “SUDO” : Confiance insuffisante. Le système demande une ré-authentification.
L’IA et la Biométrie Comportementale
Comment vérifier l’identité sans embêter l’utilisateur toutes les 5 minutes ? Grâce à l’IA et l’UEBA (User and Entity Behavior Analytics).
L’IA analyse par exemple :
- La dynamique de frappe : Vous tapez plus vite que d’habitude ?
- La souris : Vos mouvements sont-ils robotiques ou humains ?
- Le contexte : Est-il logique que vous vous connectiez Ă 3h du matin un dimanche depuis un pays Ă©tranger alors que la derniere connexion est depuis votre domicile ?
Si l’IA détecte une anomalie, elle peut couper la session instantanément, même si le mot de passe initial était bon.
Le revers de la médaille : Deepfakes
Si l’IA nous protège, elle nous attaque aussi. Les systèmes de KYC (Know Your Customer) qui demandent une vidéo selfie sont de plus en plus attaqués par des Deepfakes générés en temps réel. C’est la prochaine grande bataille de l’authentification : prouver l’humanité (“Liveness detection”) face à des algos génératifs.
- Ressource : CISA Zero Trust Maturity Model