Authentification

Rédigé par David Brulin, co-fondateur de Quai des Balises

Authentification est le processus qui vérifie l'identité d'un utilisateur, d'un service ou d'un appareil avant de lui accorder l'accès à une application ou des données. Elle confirme que l'entité est bien celle qu'elle prétend être, en s'appuyant sur un ou plusieurs facteurs de preuve.

Les trois facteurs d'authentification

L'authentification repose sur la combinaison de facteurs, regroupés en trois grandes familles. Plus on combine de familles différentes, plus le niveau de sécurité augmente.

Ce que l'on sait (facteur de connaissance) : mot de passe, code PIN, question secrète.
Ce que l'on possède (facteur de possession) : téléphone recevant un code, application d'authentification (TOTP), clé physique de sécurité, carte à puce.
Ce que l'on est (facteur d'inhérence) : empreinte digitale, reconnaissance faciale, biométrie.

L'authentification multifacteur (MFA) combine au moins deux familles distinctes. Le simple cumul de deux mots de passe ne constitue pas un MFA, car les deux relèvent du même facteur de connaissance.

Authentification vs autorisation

Ces deux notions sont souvent confondues mais répondent à des questions différentes. L'authentification précède toujours l'autorisation : on vérifie d'abord qui vous êtes, puis ce que vous avez le droit de faire.

Critère	Authentification	Autorisation
Question posée	Qui êtes-vous ?	À quoi avez-vous droit ?
Objectif	Vérifier l'identité	Définir les permissions et accès
Moment	En premier, à la connexion	Après l'authentification réussie
Exemple	Saisir login + mot de passe + code MFA	Accéder au module facturation mais pas aux RH
Mécanismes	Facteurs, MFA, SSO, tokens	Rôles (RBAC), permissions, ACL

Dans une application métier (ERP, CRM), les deux fonctionnent ensemble : l'authentification ouvre la session, l'autorisation cloisonne ce que chaque profil peut consulter ou modifier.

Méthodes courantes dans les applications professionnelles

Le choix de la méthode dépend du contexte d'usage, du niveau de sensibilité des données et de l'expérience utilisateur visée.

Mot de passe seul : simple mais le plus exposé ; à renforcer systématiquement par un second facteur sur les accès sensibles.
MFA / 2FA : code temporel via application (TOTP), code par SMS ou e-mail, notification push, clé de sécurité.
SSO (Single Sign-On) : une seule authentification donne accès à plusieurs applications, souvent via un fournisseur d'identité d'entreprise.
Authentification par token : protocoles comme OAuth 2.0 et OpenID Connect, courants pour les API et les applications web.
Passkeys : authentification sans mot de passe basée sur la cryptographie à clé publique et la biométrie de l'appareil.

Pour une PME, l'enjeu n'est pas d'empiler les mécanismes mais d'aligner le niveau d'authentification sur la criticité des données protégées.

Questions fréquentes

L'authentification vérifie l'identité d'un utilisateur : elle répond à la question « qui êtes-vous ? ». L'autorisation intervient ensuite et détermine ce que cet utilisateur a le droit de faire ou de consulter. On s'authentifie d'abord, puis le système applique les autorisations liées au profil.

Le MFA exige au moins deux preuves d'identité issues de familles différentes : quelque chose que l'on sait, que l'on possède ou que l'on est. Par exemple un mot de passe combiné à un code généré par une application mobile. Cette combinaison réduit fortement le risque d'accès frauduleux, même si le mot de passe est compromis.

Le code reçu par SMS reste préférable à l'absence de second facteur, mais il est considéré comme moins sûr que les autres méthodes. Il est vulnérable à l'interception et à des attaques visant la ligne téléphonique. Pour les accès sensibles, une application d'authentification ou une clé de sécurité physique est recommandée.

Le choix dépend de la sensibilité des données et des contraintes des utilisateurs. Le mot de passe seul est insuffisant pour des accès critiques : il faut au minimum un second facteur. Le SSO simplifie l'expérience sur un parc applicatif, tandis que les passkeys offrent une approche sans mot de passe de plus en plus mature.

Vous gérez des comptes utilisateurs ? Nous sécurisons l'authentification de vos applications.

Voir nos logiciels sur mesure

Définitions liées

← Retour au glossaire