www.belgium.be Logo of the federal government

Mieux protéger les comptes grâce à l’authentification multifacteur?

Paper
2FA

Votre mot de passe ne vous protège pas aussi bien que vous le pensez. Surtout lorsqu’une personne est en mesure de deviner votre mot de passe rien qu’en consultant vos posts sur les médias sociaux. D’ailleurs, même dans l’hypothèse où vous disposeriez d’un mot de passe complexe – voire d’un gestionnaire de mot de passe –, les cybercriminels ont malheureusement encore des moyens d’accéder à votre précieux sésame. A partir du moment où des criminels possèdent vos données, vous pouvez dire au revoir à votre argent et peut-être même à votre identité.

Alors, de quoi avez-vous besoin ? Plus que d’un seul mot de passe ! Un deuxième mode de vérification de votre identité.

Pourquoi mon organisation devrait-elle avoir recours à l’authentification multifacteur (MFA) ?

L’implémentation de la MFA rend la tâche des cybercriminels plus compliquée lorsqu’ils essaient d’accéder aux systèmes d’information, comme les technologies d’accès à distance, les mails et les systèmes de facturation et ce, même si les mots de passe sont compromis à causes d’attaques de phishing ou autres.

Cette mesure de sécurisation supplémentaire qui s’ajoute au simple mot de passe peut protéger votre entreprise, vos achats en ligne, vos comptes bancaires et même votre identité contre les cyberpirates.

Différentes appellations de la MFA :

  • Authentification multifacteur
  • Authentification à deux facteurs
  • Vérification en deux étapes
  • Authentification à 2 facteurs
  • 2FA

Qu’est-ce que l’authentification multifacteur MFA ?

La MFA est une approche par étape qui permet de protéger vos comptes en ligne et les données qu’ils contiennent. Lorsque vous activez la MFA dans vos services en ligne (comme les mails), vous devez fournir une combinaison de deux ou plusieurs moyens d’authentification afin de vérifier votre identité avant d’accéder au service. L’utilisation de la MFA protège votre compte bien plus qu’en utilisant simplement un nom d’utilisateur et un mot de passe. 

 

Les utilisateurs qui activent la MFA sont beaucoup moins susceptibles d’être piratés. Pourquoi ? Parce que même si un cybercriminel compromet un facteur (comme votre mot de passe), il ne peut pas satisfaire à la seconde condition d’authentification et n’a donc pas accès à vos comptes.

Les services en ligne veulent être surs que vous êtes bien la personne que vous prétendez être et, plus important encore, empêcher toute personne non autorisée d’accéder à votre compte et à vos données. Ils ont alors recours à une double vérification. Au lieu de vous demander uniquement ce que vous savez (comme un mot de passe ou un code PIN, qui peut être réutilisé, piraté ou volé plus facilement), ils peuvent vérifier votre identité en demandant une autre information indépendante :

  • une donnée que vous possédez (appel téléphonique, authentification via une application)
  • une donnée qui vous caractérise (empreinte digitale ou reconnaissance faciale)

Comment activer la MFA ?

Maintenant que vous savez en quoi ça consiste, vous allez voir des demandes d’authentification multifacteurs partout. Assurez-vous de l’activer dès que disponible. 

Commencez par les paramètres de sécurité des comptes que vous utilisez le plus. Vous aurez peut-être la possibilité d’activer la MFA, qui sera appelée « Two Factor Authentication », « Multifactor Authentication » ou « Two Step Factor Authentication ». Il existe de nombreuses façons de demander une seconde forme d’authentification. 

Techniquement, intégrer Microsoft ou Google MFA n’est pas une tâche très compliquée. Presque tous les fabricants de logiciels qui prennent un peu la cybersécurité au sérieux proposent la MFA gratuitement. Si votre entreprise choisit d’intégrer des tokens matériels, elle doit agir en connaissance de cause car ils varient d’une application à l’autre.

Formes les plus courantes de MFA :

  • Application MFA (« authentification app »)
  • Vérification par mail, sms ou appel téléphonique
  • Vérification par empreinte digitale ou reconnaissance faciale

Il est vraiment important de veiller à ce que tous les accès aux applications depuis Internet utilisent obligatoirement l’authentification multifacteur.

Obligez TOUS les collaborateurs de votre entreprise à utiliser l’authentification multifacteur (MFA) dans les cas suivants :

  • ils disposent de données de connexion pour accéder aux applications de l’entreprise (mails, comptabilité...)
  • ils peuvent accéder à votre organisation à distance (connexions VPN, bureau à distance (RDS)...)
  • ils détiennent des droits administrateur afin de procéder à des configurations ou des implémentations, comme l’accès au module de gestion DNS, à l’Active Directory, à la configuration du pare-feu et du commutateur, au module de gestion de votre fournisseur d’hébergement ou de Cloud.

La liste ci-dessous est une liste non exhaustive de logiciels pour lesquels il est vivement recommandé d’utiliser l’authentification multifacteur (MFA).

Utilisation de la MFA dans le cadre de l’« operation technology » (OT) et de l’« Internet of things » (IoT)

De plus en plus, dans les environnements OT et IoT, les utilisateurs sont la fois des individus et des appareils et des services, pour lesquels il est impossible d’appliquer certaines options de la MFA. La MFA s’inscrit en porte à faux avec la facilité d’utilisation attendue.

En effet, elle requiert que l’ « utilisateur » s’authentifie à l’aide de ses empreintes digitales, de la reconnaissance faciale, de la reconnaissance rétinienne, ou encore de la reconnaissance vocale et de la reconnaissance de la signature. Si ces options ne sont pas très utiles pour le « machine-to-machine » et l’« IoT », des ingénieurs ou des opérateurs pourraient les utiliser sur le terrain par exemple.

Les options d’authentification adaptative sont utiles dans l’environnement OT/IoT. Elles comprennent :

  • Lieu : La demande d’accès provient-elle d’un lieu connu ? L’utilisateur passe-t-il d’un réseau privé à un réseau public ?
  • Heure : Est-ce que l’heure et les données d’accès correspondent aux heures de travail habituelles ?
  • Appareil : La demande d’accès provient-elle d’un appareil connu ?

Voyons ensuite comment utiliser et intégrer l’authentification adaptative dans un environnement OT :

  • Lieu : La capacité Bluetooth d’un appareil portable et son authentification peuvent confirmer l’emplacement d’une personne par rapport à l’équipement. Le Bluetooth ayant un rayon d’action limité, les deux appareils doivent se trouver dans ce rayon.
  • Heure : Les employés sont censés être connectés pendant leurs heures de travail normales, alors que les périphériques dont les cycles de mise à jour sont réguliers ont généralement des timings de communication fixes. Tout changement doit tirer la sonnette d’alarme. Les interventions sur les appareils se font toutefois généralement en dehors des heures de travail.
  • Appareil : Le périphérique se connecte-t-il/route-t-il par le biais d’une autre adresse ? Utilisez toujours le zonage dans les réseaux avec le « Network Access Control » (NAC) et confirmez que l’adresse MAC correspond au dispositif.

Bien que toutes les techniques MFA ne soient pas adaptées à l’espace OT et à l’identification machine-to-machine, elles constituent certainement une bonne étape, surtout pour contribuer à sécuriser les portes d’entrée dérobées.