informatique pme image (311)

L’authentification multifacteur est un procédé informatique qui permet de vérifier l’identité d’un utilisateur lors d’une tentative d’accès à l’un de ses comptes. Cette validation peut être effectuée par divers moyens tels que l’utilisation de clés de sécurité anti-hameçonnage, de notifications push sur téléphone mobile et encore de mots de passe à usage unique.

Pour les entreprises, l’authentification multifacteurs reste l’un des meilleurs moyens de protéger l’accès à leur réseau. Cependant, la mise en place d’une authentification multifacteur peut receler un certain nombre de challenges : la solution doit être simple et facile à gérer, et surtout, elle ne doit pas entraver la productivité des employés. 

Pour vous éclairer sur le sujet, ITVisions a le plaisir de publier une tribune de François Amigorena, fondateur et PDG de IS Decisions.

Les mythes de l’authentification multifacteur

Lorsque des identifiants sont compromis par des pirates, cela constitue une menace énorme pour les entreprises. La raison est simple : l’attaquant utilise des informations d’authentification valides (volées mais valides). Pourquoi votre antivirus, votre pare-feu ou toute autre technologie mise en place signaleraient-ils quelque chose d’inhabituel? Vos outils supposent que les personnes accédant à votre réseau sont qui elles prétendent être.

Les organisations qui n’utilisent pas l’authentification multifacteurs sont ainsi complètement vulnérables aux attaques lorsque leurs employés sont victimes d’escroqueries par phishing ou partagent des mots de passe

Cette menace est bien connue des entreprises, mais beaucoup d’entre elles ne font toujours pas ce qu’il faut en matière de sécurité des mots de passe. Il y a quelques années, nous avons interrogé 500 responsables de la sécurité informatique aux États-Unis et au Royaume-Uni. Les résultats ont montré que seules 38% des entreprises utilisent l’authentification multifacteur (MFA) pour mieux sécuriser les informations d’identification réseau. Malheureusement, des recherches plus récentes montrent que les choses n’ont pas beaucoup changé.

Pourquoi les organisations sont-elles réticentes à adopter la MFA? Qu’est-ce qui les retient?

Voici quelques mythes qui ternissent l’image de la MFA:

Seules les grandes entreprises devraient utiliser la MFA.

C’est une fausse idée commune. De nombreuses organisations estiment qu’une entreprise doit avoir une certaine taille pour pouvoir bénéficier de la MFA. Elles ont tort. L’utilisation de la MFA devrait être une mesure de sécurité essentielle pour toute entreprise, quelle que soit sa taille. Les données à protéger sont aussi sensibles et la perturbation aussi grave dans toute entreprise pour une TPE, une PME ou un grand groupe. Et utiliser la MFA ne doit pas nécessairement être complexe, coûteux ou frustrant.

La MFA ne doit être utilisée que pour protéger les utilisateurs privilégiés.

Encore faux. Dans la majorité des organisations, on considère que la plupart des employés n’ont pas accès à des données précieuses. Ils s’appuient donc uniquement sur des informations d’identification Windows locales. Ils pensent que c’est un peu exagéré de leur demander d’utiliser la MFA pour se connecter. Mais ce n’est pas le cas. Ces employés “non privilégiés” ont en fait accès à des données susceptibles de nuire à l’entreprise. Par exemple, prenons une infirmière qui pourrait vendre les données d’un patient célèbre à un journal. Cela montre la valeur des données et le préjudice possible pouvant découler de leur utilisation inappropriée.

Mais ce n’est pas tout. Les cybercriminels ne commencent généralement pas avec un compte privilégié; ils exploitent n’importe quel compte victime d’hameçonnage pour se déplacer latéralement au sein du réseau afin de rechercher, d’accéder et d’exfiltrer des données de grande valeur.

La MFA n’est pas parfaite.

C’est vrai, aucune solution de sécurité n’est parfaite – mais la MFA s’en rapproche. Comme vous en avez peut-être entendu parler, le FBI a récemment publié une mise en garde concernant des cybercriminels capables de contourner la MFA. Il existait deux principales vulnérabilités de l’authentificateur: “prise de canal”, impliquant de prendre le contrôle du canal de communication utilisé pour l’authentificateur, et “phishing en temps réel“, qui utilise une machine au milieu qui intercepte et rejoue les messages d’authentification. Selon les experts, de tels types d’attaques nécessitent des coûts et des efforts considérables. La plupart des pirates informatiques qui se retrouvent face à la MFA préfèrent passer à la prochaine victime (plus facile) que d’essayer de contourner cette mesure de sécurité. Vous pouvez également prendre des précautions simples pour éviter certaines vulnérabilités, telles que choisir un authentificateur MFA qui ne repose pas sur l’authentification SMS. (L’Institut national des normes et de la technologie décourage le SMS et la voix dans ses dernières directives sur l’identité numérique).

Malgré les récents événements, le FBI affirme que la MFA est toujours efficace et qu’il s’agit de l’une des mesures les plus simples que puisse prendre une organisation pour améliorer la sécurité.

La MFA perturbe la productivité des utilisateurs.

Ce n’est pas obligatoire. Avec les nouvelles technologies, le défi est toujours le même: une mise en œuvre de manière à perturber le moins possible la productivité des employés. Si c’est trop perturbant, les utilisateurs trouveront un moyen de contourner les contrôles de sécurité. Sans cette sensibilité, l’adoption peut ralentir voire s’arrêter. Par conséquent, la MFA requiert de la flexibilité. Les administrateurs peuvent vouloir éviter d’inviter les utilisateurs à entrer un code MFA à chaque fois qu’ils se connectent. C’est pourquoi la MFA devrait être personnalisée en fonction des besoins de chaque entreprise.

N’importe qui peut être victime d’identifiants compromis, que vous soyez un utilisateur privilégié ou non. L’utilisation de la MFA devrait être une mesure de sécurité essentielle pour toute entreprise, quelle que soit sa taille, et constituer l’un des moyens les plus simples de sécuriser ses comptes.

A propos de l’auteur 

François Amigorena est le fondateur et PDG de IS Decisions, et un commentateur expert sur les questions de cybersécurité.

IS Decisions est un éditeur de logiciels spécialisé dans les solutions de gestion d’infrastructure et de sécurité pour Microsoft Windows et Active Directory. La société propose des solutions de contrôle d’accès utilisateur, d’audit de fichiers, de reporting de serveur et de bureau et d’installations à distance.

Parmis ses clients, on trouve le FBI, l’US Air Force, les Nations Unis et Barclays — chacun d’entre eux compte sur IS Decisions pour prévenir les atteintes à la sécurité; assurer le respect des principales réglementations; tels que RGPD et PCI DSS; répondre rapidement aux urgences informatiques; et économiser du temps et de l’argent pour le service informatique.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici