Chaque jour, de nouvelles entreprises, petites et grandes, semblent être victimes d’une nouvelle violation de données ou d’une attaque par ransomware. C’est là l’un des revers d’un développement technologique mené au pas de charge. Les professionnels de la cybersécurité auront beau renforcer rapidement leurs défenses, les acteurs malveillants étofferont leurs arsenaux d’attaque à un rythme tout aussi soutenu.
Pour réduire les risques, particuliers et entreprises doivent faire leur possible pour protéger leurs données personnelles et celles de leurs clients. Une mesure permet d’ajouter un niveau de sécurité supplémentaire lorsque l’on se connecte à un compte : l’authentification multifacteur (MFA pour Multi-Factor Authentication) que tout le monde devrait adopter.
Avec la MFA, en plus de saisir son mot de passe, l’utilisateur doit confirmer son identité par un moyen supplémentaire. On pourrait croire à une solution de fortune, alors que la mise en œuvre d’un tel processus à l’échelle de toute une entreprise recèle quelques complexités. Dans cet article, nous expliquerons l’importance de l’authentification multifacteur et proposerons quelques pistes aux entreprises qui souhaitent mettre en place une authentification multifacteur pour protéger leurs systèmes.
Les risques
Une violation de la cybersécurité coûte toujours cher aux entreprises — pas seulement à cause des rançons ou autres frais à payer. D’autres risques peuvent être considérables, comme la perte de confiance des clients.
Dans l’affaire Colonial Pipeline, le PDG a dû prendre la décision de verser une rançon de 4,4 millions de dollars, sans parler des répercussions sur l’ensemble de la région touchée par la pénurie de gaz.
Rien qu’en 2020, 4 000 violations de données confirmées ont été recensées. Les victimes vont de la petite entreprise aux géants de la tech comme Microsoft. Chaque jour, des attaques de ransomware et de malware, des escroqueries par hameçonnage et autres piratages exposent des données personnelles. Ces vecteurs d’attaques prolifèrent avec l’essor du cloud, de l’Internet des objets (IoT), de la banque digitale et de nombreuses autres avancées technologiques qui, certes, rendent nos vies numériques plus pratiques, mais aussi plus dangereuses.
Cependant, même avec la technologie la plus perfectionnée, l’être humain sera toujours vulnérable. Premièrement, tout le monde a du mal avec la création de mots de passe. La plupart des gens utilisent des mots de passe dont ils peuvent se souvenir. Il est donc possible de les deviner ou de les percer par force brute, avec des bases de données qui contiennent les mots de passe courants. Autre problème : la plupart des gens utilisent le même mot de passe pour plusieurs comptes. Il suffit qu’un compte soit compromis pour que tous vos comptes se retrouvent menacés.
Des mesures ont déjà été prises pour faire face à ce risque. L’authentification à deux facteurs (2FA) est largement adoptée. Elle se présente généralement sous la forme d’un code envoyé par e-mail ou par SMS sur le téléphone ou la messagerie de l’utilisateur. Malheureusement, les principales solutions 2FA ne sont pas aussi sécurisées qu’il y paraît.
Un téléphone peut être volé. Problème : beaucoup n’ont aucune protection, mis à part, peut-être, un code PIN à quatre chiffres (qu’une attaque par force brute permet de deviner). Dans le même ordre d’idée, un compte e-mail peut facilement être compromis. Il n’est donc pas compliqué de piéger les victimes avec un message de phishing envoyé par e-mail. Par conséquent, il faut, en plus des mots de passe et de l’authentification à deux facteurs, une couche [de sécurité] supplémentaire.
En quoi la MFA peut-elle aider ?
L’ajout de couches de sécurité supplémentaires peut compliquer la tâche de hackers qui chercheraient à accéder à vos comptes en ligne. La MFA représente l’un des moyens les moins chronophages et les moins intrusifs d’y parvenir. L’enjeu est tel que, pour réduire le risque, des entreprises comme Google exigent l’authentification multifacteur pour tous leurs utilisateurs.
Même si vous pensez que votre système est sécurisé, il est recommandé de mettre en œuvre la MFA. Selon Ludovic Rembert, expert en sécurité chez Privacy Canada, on devrait toujours avoir plusieurs couches de protection, même pour un réseau WiFi privé ou un système de sécurité domestique :
« De manière générale, si l’un de vos appareils est connecté en WiFi, un pirate peut également accéder à votre réseau », explique M. Rembert. « Pour éviter que cela ne se produise, vous pouvez créer des mots de passe extrêmement longs avec des symboles uniques, vous pouvez changer fréquemment vos mots de passe, vérifier vos paramètres de sécurité ou utiliser une couche de protection supplémentaire avec un logiciel de chiffrement. »
L’omniprésence croissante des appareils IoT et des solutions basées dans le cloud accentue l’importance de ces recommandations. Pendant la pandémie notamment, le télétravail a accéléré les choses en poussant les entreprises à fournir des équipements distants et une connectivité sécurisée à leurs employés. Malheureusement, les solutions basées sur le cloud et les appareils IoT complexifient les infrastructures de cybersécurité. Dans de nombreux cas, ces dispositifs se sont révélés vulnérables.
La procédure d’authentification multifacteur exige de prouver son identité de plusieurs façons — d’où l’ajout de couches de sécurité. Il y a généralement trois façons de s’authentifier : avec quelque chose que l’on connaît (comme un mot de passe ou un code PIN), avec quelque chose que l’on possède (une carte à puce ou clé USB cryptographique), et avec quelque chose qui nous est propre (par empreinte digitale ou reconnaissance vocale). L’authentification multifacteur fonctionne en combinant au moins deux de ces possibilités pour plus de sécurité.
En outre, les options MFA se perfectionnent chaque jour un peu plus grâce à l’intelligence artificielle (IA), avec l’authentification basée sur le comportement. L’authentification intelligente pousse la vérification personnalisée plus loin en prenant en compte des critères comme la localisation, l’adresse IP, l’heure de connexion, en plus des identifiants traditionnels. Cela préfigurerait-il l’authentification multifacteur de demain ? Combinée à des protocoles de gestion de l’identité numérique, la MFA pourrait venir renforcer d’un cran la sécurité des organisations.
Comment configurer l’authentification multifacteur
Si la MFA représente l’une des mesures de sécurité les moins contraignantes côté utilisateur, il n’est pas toujours simple pour les entreprises de choisir les bonnes solutions. Voici quelques conseils à l’attention des organisations qui utilisent l’authentification multifactorielle.
Diversifiez vos étapes d'authentification
Vous pouvez intégrer, au choix, différents types de facteurs à votre procédure MFA. Nous avons déjà évoqué les mots de passe à usage unique (OTP, One-Time Password). Si leur utilisation seule ne constitue pas une solution suffisante, les OTP offrent un moyen simple de ralentir la tâche des pirates, sans pour autant rendre les choses pénibles pour vos employés. Même constat pour les questions de sécurité : sans être suffisantes en soi, elles font, après tout, partie d’un système multifacteur.
L’authentification basée sur un token logiciel ou par notification push offre une alternative voisine, bien que plus forte, aux mots de passe à usage unique envoyés par SMS. La procédure exige une application supplémentaire pour vérifier les connexions, mais une fois l’installation effectuée, les utilisateurs peuvent s’authentifier sans trop de soucis. La notification push est plus sûre, car il s’agit d’un mode hors bande. En clair : la notification s’effectue sur une connexion sécurisée, séparée physiquement du réseau primaire.
Envoyées par un canal chiffré, les notifications ne contiennent pas de code. Alors que les mots de passe à usage unique envoyés par SMS peuvent être lus sur un écran de téléphone verrouillé, les notifications push doivent être confirmées pour être lues. Il faut alors déverrouiller l’appareil pour cliquer sur la confirmation. Quelles que soient les solutions choisies, vos logiciels MFA doivent utiliser des certificats numériques et le chiffrement sur au moins l’une des couches.
Dédramatisez la MFA pour vos équipes IT (ou les utilisateurs)
La mise en place d’une authentification multifacteur n’a pas à tourner au cauchemar pour votre département IT. Redoutant une implémentation compliquée, de nombreuses entreprises – en particulier les PME – écartent la MFA. Vous pouvez cependant mettre l’accent sur des solutions qui offrent une flexibilité de déploiement à grande échelle. De nombreuses solutions MFA pourront ainsi s’intégrer à votre infrastructure existante et être installées sans avoir à configurer manuellement chaque appareil.
Pour ce type de logiciel, comme pour tout, l’expérience utilisateur est un point important à prendre en compte. L’expérience doit être fluide pour les employés, et l’installation simple pour les administrateurs. Et même si votre infrastructure ne permet pas encore l’authentification intelligente, vous pouvez intégrer vos propres paramètres comportementaux – comme la prise en compte de l’instant où la connexion a lieu et l’existence de plusieurs connexions d’appareils simultanées – pour éviter aux utilisateurs d’avoir à s’authentifier avant chaque utilisation.
Sensibilisez vos employés à la sécurité
En général, l’humain est le maillon faible. Regrettable, mais vrai. Aussi, lorsque vous mettez en œuvre une procédure de MFA, n’oubliez pas d’enseigner en même temps à vos employés quelques règles de base : choisir des mots de passe longs et complexes, et reconnaître les signes d’hameçonnage et d’autres activités douteuses.
Apprenez-leur également à utiliser la MFA sur leurs appareils personnels, d’autant que s’ils travaillent chez eux, ils lisent probablement leurs e-mails professionnels sur leur mobile. Assurez-vous que vos employés utilisent un VPN pour ordinateur portable et téléphone, et que les données confidentielles qu’ils conservent soient stockées sur des appareils et des serveurs sécurisés par l’entreprise.
Si votre infrastructure le permet, sachez que les données biométriques sont probablement la solution MFA la plus difficile à pirater. Même si la mise en œuvre d’un tel dispositif est impossible à l’échelle de votre entreprise, sachez que cette fonctionnalité existe déjà sur la plupart des smartphones. Encouragez par conséquent vos employés à verrouiller leurs téléphones professionnels et leurs appareils personnels par empreinte digitale.
Conclusion
Réalisée correctement, l’authentification multifacteur est l’une des formes de sécurité les plus simples et les moins contraignantes qu’une entreprise puisse mettre en œuvre. Compte tenu des risques galopants pour la cybersécurité dans notre monde numérique, entreprises et particuliers auraient tort de ne pas l’utiliser. Dotée d’outils de pointe, votre infrastructure de sécurité multicouche contribuera à protéger vos employés et vos données sensibles — un investissement bénéfique.
Note : Cet article de blog a été écrit par un contributeur invité dans le but d’offrir une plus grande variété de contenus à nos lecteurs. Les opinions qui y sont exprimées sont uniquement celles de l’auteur et ne reflètent pas nécessairement la position de GlobalSign.
