L’authentification multifacteur, ou MFA (Multi-Factor Authentication), a le pouvoir d’empêcher la majorité des violations de données. Pourtant, de nombreuses organisations tardent encore à la mettre en œuvre.
La MFA permet de sécuriser les informations d’identification et les actifs en validant d’autres facteurs, en plus de votre nom d’utilisateur et de votre mot de passe. Certains trouveront sans doute cette approche multiniveaux exagérée pour sécuriser les comptes et connexions, mais les cybercriminels font feu de tout bois. En se contentant d’un simple nom d’utilisateur et mot de passe pour s’identifier, ou même de certains types d’authentification à deux facteurs, on fait courir un risque d’exposition accru à nos données d’identification.
On connaît le couple « nom d’utilisateur/mot de passe » ou les protocoles d’authentification à deux facteurs basés sur l’envoi d’un code SMS sur nos téléphones qui permettent d’opérer une vérification supplémentaire. L’authentification multifacteur fonctionne avec trois facteurs de validation : quelque chose que l’on connaît (ex. : un mot de passe), quelque chose que l’on possède (ex. : un smartphone) et quelque chose qui fait partie de nous (ex. : une empreinte digitale). Cette couche d’authentification supplémentaire est essentielle pour assurer la sécurité des actifs de l’entreprise et protéger les données personnelles, mais seulement 30 % des utilisateurs environ utilisent ces protocoles.
La mise en place de la MFA doit être considérée comme une priorité pour la sécurité des utilisateurs. Plusieurs raisons doivent les en convaincre en 2022 :
1. Taux de cybercriminalité en hausse
Ces derniers temps, les médias se sont fait l’écho d’une multitude d’attaques par rançongiciels et autres faits d’armes de cybergangs. La cybercriminalité a en effet atteint des sommets inédits.
Selon le FBI, les rançongiciels représentent depuis 2018 le premier problème de cybersécurité. Ce constat fait suite à plusieurs attaques frauduleuses d’ampleur contre bien des entreprises dans le monde. Certaines ont largement fait parler d’elles, comme les attaques contre SolarWinds, Colonial Pipeline et JBS Foods.
Les attaques par ransomware entraînent des destructions massives et des faillites, et coûtent aux entreprises plusieurs millions de dollars en rançons. Sans parler des coûts indirects liés à la perte de clients et à la communication à mettre en œuvre pour se remettre d’un tel scandale. Certains grands groupes peuvent se relever d’attaques d’envergure, mais pour les PME, sans la sécurité financière supplémentaire de leurs assurances et sans trésorerie suffisante, la seule issue est la faillite pour une bonne partie d’entre-elles.
Heureusement, la plupart des attaques de ransomware peuvent être évitées avec l’authentification multifacteurs. D’après le rapport d’enquête 2021 de Verizon sur les compromissions de données, 61 % des violations de données enregistrées en 2020 sont dues à des fuites d’informations d’identification. Toutefois, dès que l’on commence à utiliser la MFA, le risque d’être victime de fraudeurs chute instantanément.
2. Boom des applications de banques en ligne
Dès le début, la pandémie de Covid-19 a créé un environnement qui a contraint les consommateurs et les chefs d’entreprises à chercher des solutions bancaires alternatives. En fait, plus de 40 % des chefs d’entreprises dépendent aujourd’hui complètement de services bancaires en ligne pour leur gestion financière.
À l’écoute de ces nouveaux besoins, les entreprises spécialisées dans les technologies financières ont répondu par une pléthore de solutions bancaires. Ces fintechs ont ainsi créé des solutions permettant aux clients d’envoyer, de recevoir et d’effectuer leurs transactions à partir de leurs terminaux mobiles. Selon une étude de 2018, 73 % des personnes dans le monde utilisent des solutions de banque digitale, comme les portefeuilles intelligents, les paiements mobiles, les applications bancaires et les néobanques. Et ce nombre n’a pas fini de grimper.
Pratiques dans l’environnement économique actuel, ces technologies ne sont pas sans risques. Numéros de comptes bancaires, noms d’utilisateurs, codes PIN, numéros de téléphone, adresses électroniques… Sans mise en œuvre adéquate de la MFA, toutes ces données sensibles peuvent être exploitées [à des fins malveillantes].
3. Développement régulier de l’Internet des Objets
L’Internet des Objets (IoT) désigne l’ensemble des appareils intelligents connectés qui traitent les informations à la périphérie du réseau (Edge) ou dans le cloud. Nos appareils mobiles – smartphones, tablettes, ordinateurs portables, smartwatches, Google Nests, Fitbits et autres appareils intelligents – sont tous connectés à Internet et forment ce que l’on appelle l’IoT.
Or, tout ce qui est connecté à Internet est potentiellement vulnérable à une violation de données ou une attaque. À l’heure du télétravail, la plupart des équipements informatiques professionnels sont des appareils IoT. Pour les cybercriminels, c’est une immense surface d’attaque. Même certains jouets pour enfants peuvent être connectés à Internet et collecter un flux continu d’informations.
Même si la petite Susie est la seule à utiliser son jouet, il a probablement été configuré avec le compte de messagerie d’un de ses parents. Mais en cas de compromission de ce jouet, rien n’empêche les pirates d’employer la force brute pour accéder à d’autres comptes à l’aide de l’adresse électronique et du mot de passe subtilisé à la poupée de la petite Susie.
Aux États-Unis, le foyer moyen possède au moins 10 appareils connectés. L’utilisation de l’authentification multifacteur contribue à réduire les vulnérabilités provoquées par les appareils IoT. Elle protège en effet les informations personnelles critiques susceptibles d’être stockées sur les principaux appareils connectés.
4. Explosion du nombre de télétravailleurs
Outre l’augmentation des solutions mobiles, la pandémie a également contraint les entreprises à changer leurs modes de travail, en passant au tout distanciel ou à des formes hybrides pour s’adapter aux règles de distanciation sociale. En 2020, au plus fort des confinements, plus de 70 % des actifs avaient basculé en télétravail. Même si les entreprises rouvrent progressivement leurs portes et que les collaborateurs commencent à revenir au bureau, le travail à domicile reste autorisé dans de nombreuses entreprises, pour une durée indéterminée. D’autres leur préfèrent des modèles hybrides, alliant présentiel et distanciel.
Le contexte offre un cas d’utilisation idéal pour la MFA. [Avant la pandémie], les salariés se rendaient dans les locaux de leur entreprise pour travailler sur un ordinateur de bureau, avec une connexion VPN et l’assistance de la DSI située dans le même bâtiment. La donne a changé et les télétravailleurs utilisent aujourd’hui leurs appareils personnels pour effectuer leurs missions professionnelles. Or, beaucoup n’ayant jamais travaillé de chez elles [auparavant], leurs protocoles de cybersécurité ne sont sans doute pas fiables à 100 %. Dans ce contexte, la MFA peut aider à protéger les actifs de l’entreprise et les données personnelles.
5. Évolution des réglementations de conformité
Partout dans le monde émergent des mouvements en faveur de la protection des données et des droits à la vie privée des utilisateurs d’applications et de sites web. L’UE a ouvert la voie avec son RGPD (Règlement général sur la protection des données), suivie par la récente loi californienne sur la protection des données personnelles (California Consumer Privacy Act, CCPA).
Avec la fin des cookies tiers annoncée pour 2023 et l’intensification de la pression sur les gouvernements pour réguler la protection des données, le débat sur la protection de la vie privée devrait rester animé. À la date où cet article est rédigé, il n’existe aucune réglementation fédérale sur la protection des données privées aux États-Unis. L’authentification multifacteur constitue par conséquent la meilleure méthode pour commencer à sécuriser ses données personnelles.
Conclusion
À l’heure où les vents de la transformation numérique soufflent sur la planète, la protection de vos données personnelles et professionnelles revêt une importance cruciale. Le nombre croissant d’appareils connectés à l’IoT, combiné à l’augmentation inédite du nombre d’utilisateurs d’Internet, provoque une réaction en chaîne des vulnérabilités. Et les conséquences d’une exploitation de ces vulnérabilités peuvent être dramatiques.
Alors que les cyberattaques prolifèrent, les méthodes d’authentification traditionnelles, comme l’association d’un nom d’utilisateur et d’un mot de passe, ne suffisent plus à garantir la sécurité. En créant un jeu d’identifiants propres à chacun, la MFA rend la tâche des hackers plus ardue. Dérober ces identifiants dans le but de semer la panique dans votre organisation devient alors plus compliqué. L’authentification multifacteur permet de jouer sur deux tableaux. D’une part, l’utilisation de plusieurs couches de sécurité pour barrer l’accès aux utilisateurs non autorisés permet de lutter contre la perte de données. Et de l’autre, la MFA simplifie le processus de connexion pour les utilisateurs autorisés. En résumé, pour éviter une catastrophe financière, n’attendez plus pour déployer l’authentification multifacteur.
Note : Cet article de blog a été écrit par un contributeur invité dans le but d’offrir une plus grande variété de contenu à nos lecteurs. Les opinions qui y sont exprimées sont uniquement celles de l’auteur et ne reflètent pas nécessairement la position de GlobalSign.
