MFA, le cortex en plus

Place à l’authentification forte sécurisée par l’intelligence humaine

En prônant l’authentification cognitive et souveraine, HIAsecure élève le MFA. L’idée ? moduler le MFA en fonction dub risque et faire la différence avec l’intelligence humaine. Soit un changement de paradigme. Cyber Security Management promeut la solution en Belgique et au Luxembourg.

« Après les mots de passe, les mots de passe dynamiques, les certificats électroniques, les jetons électroniques et enfin la biométrie, l’avenir de l’authentification ne peut reposer que sur l’être humain et ses capacités cognitives inaliénables, estime Marc Olivier, CEO, HIAsecure. Il est temps de mobiliser notre cortex ! » La start-up française -par ailleurs à l’origine du QR Code dynamique- ambitionne de faire de l’intelligence humaine, le quatrième facteur de l’authentification et de construire un modèle de confiance autour d’un écosystème européen, donc souverain.

HIAsecure utilise l’authentification cognitive forte pour renforcer la sécurité, conforme aux normes comme la DSP2 et le GDPR. Contrairement à l’authentification classique, HIAsecure exige plusieurs facteurs de vérification indépendants, comme la biométrie et un « code » que l’utilisateur doit interpréter pour répondre, protégeant ainsi contre les cyberattaques. Cette solution met l’accent sur une sécurité robuste tout en étant « passwordless » et en se basant sur une technologie de Zero Trust.

L’utilisateur, toujours le maillon faible

En 2025, les solutions MFA du marché sont toujours vulnérables, par

lacunes architecturales ou conceptuelles. En effet, la plupart de celles-ci adressent partiellement les attaques traditionnelles « Credentials Access » et ne prennent pas en compte les menaces émergentes, comme le quantique.

« D’un point de vue fonctionnel, en multipliant les étapes, les solutions MFA n’ont fait qu’alourdir et complexifier l’expérience de l’utilisateur, lequel subit le processus plus qu’il ne le maîtrise, estime Marc Olivier. L’utilisateur reste encore et toujours le point faible du processus. » Le « MFA Fatigue » en est la conséquence. Conclusion : les systèmes MFA actuels ne permettent pas de garantir que l’utilisateur est conscient de son action ! 

D’autre part, le développement des GAN remet sérieusement en cause la confiance que nous accordions jusqu’à maintenant dans l’authenticité d’une photo, d’une vidéo, d’une voix. La génération de deepfakes atteint une qualité saisissante, inquiétante et aisément accessible, ce qui s’avère préjudiciable à certaines approches d’authentification biométriques.

L’explosion des fraudes au faux conseiller, les campagnes de phishing, l’ingénierie sociale et autres actes coercitifs illustrent une réalité simple : les trois facteurs « je possède », « je connais », « je suis », ne suffisent plus à garantir la confiance dans le MFA !

La naissance du facteur cognitif

En remettant l’intelligence humaine au centre du modèle d’authentification, HIAsecure propose un changement de perspective. Dans sa démarche, « l’intention devient la matière première de l’authentification, comme le note Brice Leffe, COO, HIAsecure. En introduisant un quatrième facteur basé sur la cognition – ‘je sais faire’- nous complétons l’approche traditionnelle ; nous réconcilions sécurité, conformité et expérience utilisateur ! »

De fait, depuis le début de l’informatique, les systèmes d’authentification n’ont jamais vraiment authentifié l’acteur humain, lorsque celui-ci est présent. Aujourd’hui, il est couramment exigé d’avoir au moins deux facteurs d’authentification pour atteindre un niveau d’authentification fort suivant les Directives EU PSD2/3 parmi les trois familles « je connais », « je possède » ou « je suis ». Pour chacune de ces familles, le système authentifie toujours l’utilisateur de façon indirecte ou implicite supposant que le bon utilisateur est présent : via un clavier pour « je connais », via une clef cryptographique enfouie pour « je possède », via une lecture de caractéristiques biométriques pour la dimension inhérente à l’utilisateur : « je suis ».

Le constat est donc simple : suivant l’état de l’art, aucune de ces trois familles de méthodes ne peut réellement authentifier l’utilisateur humain. « C’est là, enchaîne Marc Olivier, que nous transformons l’authentification en introduisant un nouveau facteur de sécurité inhérent à l’être humain : sa capacité de raisonnement ! »

Replacer l’humain au cœur du processus

La proposition HIAsecure peut être considérée comme un complément naturel aux technologies déjà déployées -un « overlay en mode MFA ». En réalité, la technologie proposée permet une adaptation contextuelle des mécanismes d’authentification offrant un continuum du 2FA classique jusqu’au niveau le plus élevé en mode 4FA.

Le Zero Trust, lui, impose de ne plus accorder de confiance implicite à aucun acteur, aucun terminal, aucun réseau. Chaque requête, chaque transaction, chaque session doit être vérifiée dynamiquement, selon le contexte et le risque pour s’assurer de leur légitimité. De la même façon, que le couple SSO/MFA est imparfait dans les implémentations actuelles, le couple Zero Trust/MFA ne peut garantir que l’utilisateur est réellement légitime puisque l’authentification de l’utilisateur est et reste indirecte.

« En garantissant que l’accès aux ressources identifiées résulte d’une action consciente et éclairée de l’utilisateur, nos technologies font la différence », note Brice Leffe. Une autre déclinaison de la technologie HIAsecure repose sur l’évaluation contextuelle d’un score de risque, établi à partir de données physiologiques et de métadonnées techniques, sans centralisation de données sensibles.

L’UX au service l’humain et de la sécurité

L’authentification cognitive d’HIAsecure repose sur une philosophie simple : valider une intention plutôt qu’un secret technique. Pour l’utilisateur, la solution est simple -« IDless » et « passwordless »- et repose sur trois piliers.

– Présentation d’un QR code dynamique à usage unique, permettant d’ouvrir un canal de communication éphémère entre le service et le terminal de l’utilisateur ;

– Usage du facteur cognitif, « je sais faire » : une action mentale appliquée à un challenge présenté, que seul l’utilisateur peut résoudre ;

– Un enrôlement offline de l’utilisateur permettant d’instancier l’application mobile et dotant celui-ci d’une méthode de résolution personnelle des challenges.

Les techniques de « Moving Target Defense » sont également mises en oeuvre, de façon transparente pour l’utilisateur, dans la version MFA adaptative avec un continuum du 2FA au 4FA (« je possède, je suis, je connais, je sais faire »), sans impact sur l’UX. Sur le plan de l’expérience, la solution simplifie l’usage au maximum : une seule action cognitive, une seule interaction consciente suffisent à valider la transaction. Le niveau de sécurité s’adapte automatiquement à la criticité : d’un simple scan pour un accès courant (2FA) à un challenge cognitif complet pour une opération sensible (4FA).

C’est donc simple et fluide. « La perception de la sécurité change, nuance Marc Olivier. Elle n’est plus vécue comme une contrainte, mais comme un moteur pour la confiance. »

Le critère d’intention porté par la technologie HIAsecure garantit que l’utilisateur est bien à l’origine de l’authentification, mais surtout atteste d’une action consciente et volontaire.