L'authentification multifactorielle : à mettre en place sans tarder!
Si vous avez hésité à adopter l’authentification multifactorielle (AMF) pour votre entreprise parce que vous craignez qu’elle soit trop compliquée à administrer ou peu pratique à utiliser, c’est le moment d’y repenser.
Les atteintes à la protection des données dues au vol de mots de passe font maintenant partie des nouvelles hebdomadaires. Pourtant, malgré des années d’avertissements sur les faiblesses de la sécurité des mots de passe, les gens continuent à s’accrocher à cette forme de contrôle d’accès dangereusement vulnérable sans changer leur comportement.
« Une analyse d’un demi-milliard de mots de passe volés par le National Cyber Security Centre du Royaume-Uni a récemment révélé que la chaine de caractères '123456' constituait près de 5% de tous les mots de passe de l’échantillon, suivie de '123456789' à 1.4%. Au total, les cinq mots de passe les plus fréquemment utilisés représentaient environ 8% de la base de données. »
Pendant ce temps, les cybercriminels ne sont pas restés les bras croisés. Les logiciels de décodage des mots de passe qui sont maintenant utilisés se servent de technologies comme l’apprentissage machine pour améliorer la précision des déductions basées sur des informations obtenues de sources publiques comme les profils des réseaux sociaux. Lors d’un test, un logiciel de décodage de force brute entre les mains d’un professionnel qualifié était sur le point de compromettre 90% du contenu d’un échantillon de mots de passe en utilisant simplement des combinaisons de caractères couramment utilisées. Et c’était il y a six ans.
Les administrateurs de la sécurité comprennent les limites des mots de passe, mais ils ont de la difficulté à trouver des options raisonnables. Plusieurs entreprises exigent que les utilisateurs changent leur mot de passe tous les 30 à 90 jours. C’est une façon efficace de réduire la tendance dangereuse des gens à réutiliser les mots de passe, mais cela peut en fait introduire de nouvelles vulnérabilités. Par exemple, les chercheurs ont constaté que de nombreux utilisateurs ne font que des modifications mineures aux mots de passe existants plutôt que de les changer entièrement, une pratique qui ne fait rien pour améliorer la sécurité.
Les gestionnaires de mots de passe commerciaux tels que LastPass, Dashlane et Keeper, qui stockent les mots de passe dans un coffre-fort chiffré pour éliminer le besoin de les mémoriser ou de les noter, sont une excellente option, mais seulement 15% des personnes les utilisent. Plusieurs se contentent de demander une réinitialisation du mot de passe, une option qui, selon Gartner, représente de 20% à 50% de tous les appels de centres d’assistance. Forrester Research estime les coûts aux entreprises de 70$ par incident.
Le temps de l’AMF est venu
Une meilleure approche consiste à utiliser l’authentification multifactorielle. Cette technique combine deux ou plusieurs facteurs d’authentification, tels qu’un mot de passe de concert avec un numéro d’identification personnel, ou un code transmis par message texte ou un balayage biométrique, pour fournir un niveau supplémentaire de vérification. On dit parfois que l’AMF combine quelque chose que vous connaissez, comme un mot de passe, avec quelque chose que vous avez, comme un téléphone cellulaire. Bien qu’aucune technologie de contrôle d’accès ne soit parfaite, il a été démontré que l’AMF élimine presque toutes les vulnérabilités dues au piratage par mots de passe.
Un nombre croissant de sites web et de réseaux sociaux offrent désormais l’AMF comme option, mais son adhésion par les consommateurs a été faible, en raison d’un manque de compréhension et de la perception des inconvénients. Cependant, cela ne devrait pas être le cas pour les entreprises où chacun est responsable de la protection des informations sensibles.
En fait, la combinaison de l’AMF et du service d’authentification unique (SSO) peut être à la fois plus pratique et plus sûre que les solutions traditionnelles basées sur un mot de passe. Par exemple, la gamme de solutions AMF d’Okta offre aux entreprises la flexibilité de choisir comment elles protègent les applications et les données tout en améliorant le côté pratique pour les utilisateurs.
Par exemple, les administrateurs peuvent choisir n’importe quelle combinaison de facteurs d’authentification et les affecter à des groupes ou même à des utilisateurs individuels. Une fois que les utilisateurs s’authentifient dans l’annuaire, ils ont accès à une gamme complète de services sur site ou sur cloud déterminés par les politiques. Il n’est plus jamais nécessaire de se reconnecter et, comme le système repose sur une authentification multifactorielle, ils n’ont plus besoin de se souvenir de mots de passe complexes ou de les changer souvent.
Okta a même appliqué l’apprentissage machine pour rendre le processus d’authentification plus intelligent. Par exemple, un utilisateur qui tente de se connecter à partir d’une adresse IP reconnue ou d’un périphérique connu sur le réseau d’entreprise peut ne pas être tenu de saisir un mot de passe, alors qu’un utilisateur qui tente de s’authentifier à partir d’un appareil inconnu via une connexion non sécurisée peut être soumis à une triple authentification. Le logiciel Oka peut même apprendre à reconnaitre des modèles de comportement, comme les employés qui sont en télétravail tous les mercredis, et à ajuster les facteurs d’authentification en conséquence.
De tels services sont disponibles à un prix d’abonnement qui s’inscrit dans le budget de chaque organisation. La combinaison du coût, de la commodité et de la protection devrait faire de l’AMF une décision facile à prendre pour toute entreprise.
Vous pourriez aussi aimer
Gouvernance risque et conformité
Longtemps considérée comme un domaine purement technique, on observe, depuis quelques années, un changement de paradigme dans la gestion de la cybersécurité.
Entrevue Cybersécurité de Patrick Naoum au sein du magazine PLAN
Voir les pages 34, 40 et 42 pour l’article mettant en vedette, Patrick Naoum. ing. P.Eng, qui parle de cybersécurité pendant la pandémie avec le magasine PLAN, de l’Ordre des ingénieurs du Québec.