Cybersécurité et applications mobiles: Opter pour la bonne méthode d’authentification
Jerome Kelly

Cybersécurité et applications mobiles: Opter pour la bonne méthode d’authentification

Les applications mobiles sont des outils essentiels, manipulant des données personnelles, accédant à des informations sensibles, et faisant partie de notre quotidien à tous. Cependant, à l’ère où le mot cybersécurité est sur les lèvres de tous, assurer la sécurité de ces applications et des informations qui s’y retrouvent est primordial.

Un élément clé pour garantir cette sécurité est le choix de la méthode d'authentification. Voici donc un guide pour vous aider à sélectionner la meilleure approche pour votre application mobile.

Avant de se lancer dans le vif du sujet, répondons à une question bien importante: L’authentification à multiple facteurs, c’est quoi?

On entend souvent parler d’authentification à deux facteurs (2FA) ou à multiple-facteur (MFA), mais qu’est-ce que ça implique concrètement? Eh bien, ce sont des méthodes de sécurisation des comptes. Le 2FA, qui est maintenant obligatoire sur la majorité des applications, utilise deux facteurs pour vérifier l'identité d'un utilisateur, comme un mot de passe et un code envoyé par SMS. L’authentification multiple facteurs (MFA) inclut le 2FA, mais peut aussi utiliser plus de deux facteurs, comme une empreinte digitale en plus d’un mot de passe et d’un code SMS, par exemple.

Maintenant qu’on comprend bien le concept, comment choisir la bonne méthode d’authentification pour son application? Suivons ces 5 étapes afin d’y arriver!

1. Évaluer les besoins de sécurité:

La première étape pour choisir une méthode d'authentification est de réaliser une évaluation des facteurs relatifs à la vie privée. Depuis l’arrivée de la loi 25, il est maintenant primordial de passer par cette étape lors du développement ou de la refonte d’une application si des renseignements personnels sont concernés. Plus les données sont sensibles, plus les méthodes d’authentification devraient être robustes. Cependant, de nos jours, dès qu’une application récolte des informations personnelles, même si c’est seulement une adresse courriel, une authentification à double facteur devrait être de facto.\

2. Considérer l'expérience utilisateur:

Il ne faut pas se mentir: authentification à multiple facteur implique une étape supplémentaire et, qui dit étape supplémentaire, dit friction potentielle. Cependant, le choix d’une méthode d’authentification plus robuste ne devrait pas se faire au détriment de l'expérience utilisateur. Pour minimiser ces frictions, il est essentiel de choisir une méthode qui combine sécurité et facilité d'utilisation. Par exemple, l'authentification biométrique, comme l'empreinte digitale ou la reconnaissance faciale, est certes plus fluide, mais sa mise en œuvre peut être coûteuse et complexe. Il est préférable d'utiliser des solutions existantes comme Auth0 pour gérer ces aspects.

3. Choisir parmi les méthodes courantes en fonction de MFA (Multifactor Authentication)

Lorsque vous sélectionnez une méthode d'authentification, différentes catégories de MFA pour offrir une sécurité renforcée s’offrent à vous. Le MFA repose sur la combinaison de plusieurs facteurs, regroupés en trois grandes catégories :

Ce que nous savons (Connaissance):

  • Mot de passe : Traditionnel mais vulnérable si mal géré. Initialement, la recommandation était de privilégier des mots de passe complexes et de les changer régulièrement. De nos jours, avec tous les systèmes qu’on utilise au quotidien, un gestionnaire de mots de passe est la meilleure solution.
  • Questions de sécurité : Utilisées en complément, mais les questions doivent être choisies avec soin pour éviter qu'elles ne soient facilement devinables.
  • Code PIN : Simple, mais doit être combiné avec une autre méthode pour plus de sécurité.
Ce que nous possédons (Possession):

  • OTP générés par une application de smartphone : Sécurisés et efficaces en complément d'un mot de passe.
  • OTP envoyés par SMS ou e-mail : Pratiques, mais vulnérables aux interceptions, mieux adaptés aux applications nécessitant une sécurité modérée. Il est à noter par contre que, l'authentification par SMS est beaucoup moins sécuritaire que celle par courriel car elle vulnérable à plusieurs vecteur d’attaques supplémentaires tel que le simswapping ou simjacking.
  • OTP (One Time Password) : Un code unique qui combine à la fois la connaissance (l'utilisateur sait le code) et la possession (l'utilisateur doit posséder le dispositif pour recevoir le code)
  • L'authentification par push : Méthode de sécurité axée sur les appareils mobiles, où le fournisseur de services envoie une notification à l'utilisateur via le canal de communication le plus sécurisé disponible. L'utilisateur confirme son identité en effectuant une action en réponse à la notification pour accéder au service. Cette méthode repose principalement sur la possession du dispositif par l'utilisateur.
Ce que nous sommes (Inhérence):

  • Empreintes digitales et reconnaissance faciale : De plus en plus populaires, elles offrent un bon équilibre entre sécurité et commodité. Une fausse croyance assez répandue est que les authentifications biométriques nécessitent le partage d’information biométriques avec le fournisseur du système (app mobile, site web, etc ). Par contre, c’est très rarement le cas! L’authentification biométrique est seulement utilisée pour déverrouiller un coffre fort local qui lui contient la valeur secrète utilisée pour l’authentification.
  • Analyse comportementale : Méthode émergente qui surveille les habitudes de l'utilisateur pour détecter des comportements inhabituels.

En combinant au minimum 2 de ces trois catégories, vous pouvez développer une approche d'authentification qui équilibre sécurité et convivialité, tout en offrant une protection adaptée aux besoins spécifiques de votre application.

Une tendance émergente qui n’a pas été abordée dans les méthodes précédentes est celle des clés d'accès. C'est l’alternative aux mots de passe, offrant à la fois plus de sécurité et plus de simplicité. Avec une clé d'accès, il est possible de se connecter à des applications et à des sites Web en utilisant un capteur biométrique (comme une empreinte digitale ou la reconnaissance faciale), un code ou un schéma.

Les clés d'accès peuvent aussi remplacer les étapes supplémentaires d'authentification, comme les codes envoyés par SMS et offrent une protection solide contre les attaques d'hameçonnage et évitent les tracas liés aux mots de passe et aux codes temporaires. On ne peut cependant passer sous silence l'enjeu avec cette technologie. Elle peut facilement rendre dépendant d'un écosystème en particulier comme Apple, Google ou Microsoft, par exemple.

4. Conformité réglementaire:

Avant de choisir une méthode d'authentification, vérifiez à quelles normes spécifiques votre application doit-elle se plier. Au Canada, l'utilisation de l'authentification à multiple facteur (MFA) est fortement recommandée, en particulier pour protéger les informations sensibles et les infrastructures critiques. Bien que le MFA ne soit pas toujours une obligation légale générale, certaines réglementations et normes sectorielles exigent ou recommandent son utilisation. Par exemple, dans le secteur financier, le MFA est souvent une exigence pour les transactions en ligne et l'accès aux systèmes critiques, en raison des risques élevés de cyberattaques.

5. Considérer les coûts:

Le coût est un facteur important dans le choix de la méthode d'authentification. Certaines méthodes, comme les solutions biométriques, peuvent être plus coûteuses à implémenter et à maintenir, en raison des besoins en infrastructure et en support technique. D'autres méthodes, comme l'authentification par mot de passe ou par lien magique, peuvent être plus économiques, mais elles n'offrent pas le même niveau de sécurité.

Soyez préparé: ajouter une étape au processus d’authentification vous demandera des efforts supplémentaires de support aux consommateurs. Il faut également prévoir le temps et les ressources nécessaires pour la gestion du service à la clientèle et des demandes lorsque le numéro de téléphone associé au compte n’est plus le même, que le code secret a été perdu ou que l’adresse courriel n’est plus accessible.

Le choix de la méthode d'authentification pour votre application mobile doit être un équilibre entre sécurité, expérience utilisateur, conformité et coûts. Une approche flexible, qui permet d'adapter ou de combiner plusieurs méthodes d'authentification, est souvent la plus efficace pour répondre aux besoins spécifiques de votre application. En tenant compte des recommandations et des meilleures pratiques, vous pouvez offrir à vos utilisateurs une expérience sécurisée et sans friction, tout en protégeant leurs données et votre application contre les menaces potentielles.

Partager cet article

Autres articles

24 avr. 2025

Pourquoi c’est aussi cher une app?

On constate le besoin d’éducation quant à la justification des coûts réels associés à la conception et au développement d’un produit numérique.

21 avr. 2025

Passkey : qu’est-ce que c’est ?

Réponses aux questions qui nous sont le plus couramment posées sur les Passkeys

31 mars 2025

Notes & avis : Leur impact sur le succès d'une application

Le succès d’une application ne repose pas uniquement sur des pratiques d'ingénierie minutieuses ou des designs flamboyants. Il faut s'assurer de livrer un produit à la fois performant, accessible, utile et simplifié, accompagné d'une stratégie de mise en marché (GTM) propre à l'écosystème des produits numériques.

17 mars 2025

Pourquoi Apple déteste les PWA

Les PWA ont progressé, mais, à mon humble avis, la majorité d’entre elles offre une expérience de qualité inférieure à celle de leurs équivalents natifs.

18 févr. 2025

Fidéliser sa clientèle
grâce à l’application mobile

Découvrez comment une application mobile bien conçue peut améliorer la fidélisation client grâce à la gamification, l'IA et des programmes personnalisés pour votre entreprise.

18 févr. 2025

Technologies de proximité

Présentation de différentes technologies permettant aux applications mobiles d’interagir avec le monde physique.

10 févr. 2025

Les entrevues utilisateurs sont une étape clé, mais souvent négligée

Une bonne idée n'est pas toujours synonyme de succès. Avant de prendre toutes décisions, il faut s'assurer de prendre en compte les besoins ou les attentes réels des utilisateurs finaux.

20 janv. 2025

Thirdbridge sous les projecteurs : Le partenaire numérique de L’Arrière-Scène

Thirdbridge est donc fier d’annoncer qu’il est le partenaire numérique officiel de JA Hypothèques et de leur dernier projet: L’Arrière-scène.

6 janv. 2025

25 Tendances clés pour optimiser son application mobile en 2025

L’équipe de Thirdbridge a rassemblé dans cet article 25 tendances à considérer pour le développement ou la stratégie d’une application mobile, ou de tout autre type de produit numérique en 2025.

24 oct. 2024

Miser sur le mobile pour optimiser l’experience de magasinage en ligne

Les fêtes représentent une période stratégique et une occasion essentielle pour les entreprises de maximiser leurs ventes via le mobile tout en enrichissant l'expérience de magasinage en ligne.

15 oct. 2024

Valoriser la gestion de Produit : Clé du Succès en Développement Logiciel

La distinction entre gestion de produit et gestion de projet est essentielle pour garantir une productivité optimale. Il ne suffit pas de les traiter comme des concepts interchangeables ; il est crucial d’adopter une approche proactive pour placer les bonnes ressources aux bons endroits.

27 sept. 2024

Thirdbridge dans La Presse: Vision et croissance

Notre président et co-fondateur, Pierre-Étienne Bousquet, a récemment été l'invité de Camille Dauphinais-Pelletier de La Presse, où il a partagé des réflexions sur le parcours de Thirdbridge.

4 sept. 2024

L’impact de la recherche UX

L’intégration des principes et des pratiques de l’expérience utilisateur (UX) dans le processus de développement d'un logiciel ou d'une application est devenu crucial.

15 juil. 2024

La Phygitalisation: Le commerce du détail repensé

Les entreprises ont toujours dû innover et repenser leurs façons de faire afin de demeurer pertinentes, et cela est encore plus vrai à l’ère du numérique.

18 juin 2024

Hybride vs. Natif: Faire le bon choix

Chez Thirdbridge, l'approche de développement hybride est celle de prédilection. Mais analysons plus en détail en comparant le développement hybride et natif à travers des étapes clés du développement d'applications: les coûts, la performance, la sécurité et la maintenance.

14 juin 2024

Financer son projet numérique

Ce n’est pas un secret pour personne que concrétiser ses rêves les plus fous en ce qui concerne l’innovation numérique au sein de votre entreprise amène de nombreux points positifs.

13 juin 2024

Lancer son application : la clé d’un budget bien planifié

Très peu de projets numériques se terminent dans les budgets et les délais initiaux.

23 mai 2024

Trucs et astuces pour une conception logicielle durable

Quand on pense à réduire notre empreinte écologique, notre premier réflexe est de penser aux moyens de transport qu’on utilise ou à nos habitudes de recyclage ou de consommation.

17 mai 2024

Rentabiliser son application : nos conseils

Que vous cherchiez à faire gagner du temps à vos utilisateurs, à les fidéliser ou à améliorer leur expérience d’achat, on vous partage ici les trois principaux éléments clés à considérer pour maximiser votre retour sur investissement (ROI).

6 mai 2024

Couche-Tard Connecté: Le dépanneur sans caisse

Bravo à notre équipe de développement mobile qui a tout donné dans les dernières semaines afin d’assurer un lancement sans embûche du projet Couche-Tard Connecté.

25 avr. 2024

Au-delà du lancement : comment assurer la pérennité de votre application?

Vous avez religieusement suivi les étapes de développement de votre application et êtes sur le point de la lancer : bravo! Mais même s’il s’agit là d’un bel accomplissement, votre job est loin d’être terminée…

22 mars 2024

Nos 12 conseils pour réussir un projet logiciel après 12 ans dans l’industrie

Thirdbridge célèbre ses 12 ans!

23 avr. 2025

Gamification: Transformer l’engagement en levier de performance

Bien au-delà de l'aspect ludique, la gamification s'impose comme une stratégie expérientielle puissante pour influencer positivement les comportements.

4 avr. 2025

CMS pour votre application mobile ?

Un guide rapide pour choisir le bon CMS pour votre app mobile — comparaison des principales plateformes et conseils d’intégration pour plus de flexibilité et de scalabilité.

26 mars 2025

Pourquoi un plan de maintenance?

Un projet est rarement vraiment terminé ; il continuera de nécessiter une quantité non nulle de travail au fil du temps.

25 févr. 2025

Les ateliers stratégiques: une approche adaptée aux besoins de vos projets

Les ateliers stratégiques sont au cœur de notre processus collaboratif, nous permettant de co-créer des solutions pertinentes et innovantes pour nos clients et les leurs.

18 févr. 2025

AWS, SPA et SEO

Comment optimiser le SEO d’une SPA hébergée sur AWS

13 févr. 2025

Aligner SSO et modèle d’affaire

Il est essentiel d’aligner son modèle d’affaires avec la structure de coûts du fournisseur de SSO. Sinon, le succès de votre produit pourrait rapidement devenir un problème financier!

30 janv. 2025

Jour de match

Il est important de garder à l’esprit que l’objectif principal est de mettre en lumière les zones d’ombre du projet.

14 janv. 2025

Gestion des mots de passe moderne

Chez Thirdbridge, offrir une tranquilité d'esprit à nos clients est au centre de nos priorités et, selon nous, tout commence par la fiabilité de nos pratiques et processus internes.

29 oct. 2024

L'IA au service de l'innovation : une nouvelle ère pour les apps mobiles et l’expérience utilisateur

L'intelligence artificielle (IA) représente une transformation numérique qui nous impacte tous. Cette technologie qui s'améliore rapidement grâce à l'analyse des données, permet non seulement de prendre des décisions informées et de réaliser des prévisions fiables, mais également de réaliser de nombreuses tâches plus rapidement.

17 oct. 2024

Comment mesurer la performance de son application mobile?

L’application mobile est devenue une extension de l'expérience client d'une marque.

15 oct. 2024

Pierre-Étienne Bousquet invité du journal ‘’Les Affaires’’

Notre président et cofondateur, Pierre-Étienne Bousquet s'est entretenu avec Jean-François Venne de Les Affaires afin de discuter de l'importante croissance du numérique dans l'industrie du commerce de détail et de son impact sur les ventes en ligne, qui deviennent de plus en plus cruciales pour le chiffre d'affaires.

12 sept. 2024

Maximiser l'engagement avec le contenu généré par les utilisateurs

L'émergence du contenu généré par les utilisateurs (UGC) révolutionne la co-création. Devenu un outil clé dans les stratégies marketing des marques, l'UGC change la manière dont le contenu est créé et consommé.

9 août 2024

Les PWAs : un moyen de tester le potentiel des apps mobiles

Dans la dernière décennie, les applications mobiles ont changé notre quotidien : ces simples outils sont devenus des facilitateurs essentiels des tâches quotidiennes et des catalyseurs des interactions professionnelles et personnelles.

26 juin 2024

Thirdbridge dans La Presse

En tant que dirigeant d’entreprise, on doit se poser la question « Qu’est-ce que j’essaie d’accomplir avec mon projet ? » et y répondre par une vision qui va au-delà de ses propres intérêts.

14 juin 2024

Recruter une équipe à l’interne ou engager une agence pour développer son application?

Lorsqu’on entreprend un projet aussi imposant et important que celui du développement d’une application, un dilemme crucial surgit rapidement: choisir entre une agence spécialisée ou recruter sa propre équipe à l’interne pour accomplir le travail. Une chose est certaine, c’est que les deux options présentent des avantages et des contraintes distincts.

14 juin 2024

Réussir le développement de son application en 5 étapes

Le développement d’une application ne s’improvise pas. Pour réussir dans ce domaine convoité, il est essentiel d’être bien préparé. Malheureusement, une grande majorité des projets numériques d’envergure échoue faute d’une préparation adéquate.

30 mai 2024

Avez-vous vraiment besoin d’une application?

Ne froncez pas les sourcils! Ceci est une vraie bonne question. Il suffit d’observer les gens dans le métro, par exemple, ou encore dans une salle d’attente : tout le monde ou presque a un téléphone à la main, pour lire, texter, jouer, obtenir un renseignement, rencontrer l’âme sœur, commander à manger ou magasiner…

22 mai 2024

Optimiser la synergie avec votre partenaire de développement logiciel

L’univers du numérique, et d’autant plus celui du développement de solutions numériques sur mesure, ne cesse d’évoluer — entre les avancées technologiques rapides et les besoins changeants des consommateurs, il est bien difficile de prédire de quoi l’avenir sera fait pour les acteurs du Web.

14 mai 2024

Réussir vos mises à jour en 5 étapes

Saviez-vous qu’au moins 20% du temps de développement d’une application devrait être alloué aux tests et à l’assurance qualité ?

3 mai 2024

Des infrastructures simplifiées pour plus de vélocité

Chez Thirdbridge, nous sommes convaincus que les équipes orientées projet livrent des résultats de qualité supérieure, et ce, plus rapidement. Étant donné qu’elles sont responsables de l’intégralité du flux de création de valeur, ces équipes peuvent augmenter leur vélocité en éliminant elles-mêmes les goulots d’étranglement. De plus, accorder la responsabilité du flux de bout en bout à nos équipes de développeurs rend leur travail encore plus engageant et motivant.

12 avr. 2024

La bourse entrepreneur Thirdbridge

Thirdbridge est plus que fier de pouvoir apporter son soutien à un projet et à des individus plein de promesses.