L'authentification multi-facteurs (MFA) est un excellent équilibre entre sécurité et commodité lorsqu'il s'agit de protéger les comptes et les données de vos utilisateurs. La mise en œuvre d'un système MFA efficace aide votre entreprise à maintenir la conformité avec les réglementations sur la protection des données et à réduire votre responsabilité légale si le compte d'un utilisateur est compromis.

Aucune mesure de sécurité n'est infaillible, cependant, et faire fonctionner le MFA dans l'ensemble de votre organisation peut entraîner certains défis que vous devrez surmonter.

Qu'est-ce que l'authentification multi-facteurs (MFA) ?

La MFA exige que les utilisateurs fournissent deux catégories différentes de preuves prouvant leur identité avant de leur permettre de se connecter. Les facteurs d'authentification sont généralement classés en :

• Quelque chose que vous savez (comme un mot de passe ou un code PIN)

• Quelque chose que vous possédez (comme votre appareil mobile ou une clé de jeton d'authentification)

• Quelque chose que vous êtes (comme la reconnaissance faciale, les empreintes digitales et d'autres données biométriques)

La plupart des systèmes MFA demandent quelque chose que vous savez et quelque chose que vous possédez. En d'autres termes, pour obtenir un accès non autorisé à un compte sécurisé par MFA, un attaquant aurait besoin d'accéder à l'appareil mobile d'un utilisateur et de connaître son nom d'utilisateur et son mot de passe.

Taux d'adoption faibles

Un des premiers défis qu’une organisation peut rencontrer lors de la mise en œuvre de l’authentification multi-facteurs est d’inciter les gens à l’utiliser au départ. 68 % des personnes n’utilisent pas le MFA partout où il est disponible. Malheureusement, de nombreux utilisateurs perçoivent l'étape de sécurité supplémentaire comme une gêne qu'ils éviteront si possible. Cela est particulièrement vrai s'ils ne sont pas conscients de la sécurité supplémentaire que cela leur offre. L'authentification multi-facteurs peut protéger les entreprises contre les attaques pouvant entraîner d'importantes violations de données. Demandez simplement à Uber. En 2016, des pirates ont volé les données personnelles de 57 millions de personnes en accédant de manière non autorisée au réseau d’Uber, et ce n’était pas une attaque sophistiquée. En fait, un développeur logiciel d’Uber avait involontairement laissé exposées ses informations d’identification utilisateur dans le code qu’il avait partagé sur GitHub. Toute personne ayant accès à leur référentiel GitHub pouvait alors se connecter à leur compte développeur Uber et accéder à des données sensibles. Toute forme d'authentification multi-facteurs aurait empêché cette méthode d'attaque.

Par conséquent, la meilleure façon d’atténuer ce défi est de rendre le MFA aussi pratique que possible en permettant aux gens de s'authentifier avec des méthodes qu'ils utilisent déjà, telles que les SMS ou une application d'authentification. Cela signifie que votre système MFA n'ajoute pas aux nombreux systèmes d'authentification et de connexion que les utilisateurs doivent gérer et se rappeler sur leurs nombreux comptes.

Tentatives de phishing automatisées

Augmenter la quantité d'informations ou l'accès dont un utilisateur non autorisé a besoin pour se connecter rend plus difficile pour les attaquants d'obtenir tout ce dont ils ont besoin par hameçonnage. Cependant, ce n’est pas impossible, et en cherchant les bonnes informations, un attaquant peut intercepter des messages d’authentification envoyés à un appareil personnel ou usurper l’identité de l’appareil de l'utilisateur pour se connecter.

Les systèmes d'authentification multi-facteurs les plus sophistiqués sont de plus en plus résistants à cette méthode d'attaque. À moins que vous n'éduquiez vos utilisateurs sur comment repérer les tentatives de phishing automatisées et comment y répondre, même un système MFA résistant au phishing ne stoppera pas toutes les attaques.

Appareils personnels

Les appareils personnels tels que les téléphones et les ordinateurs portables sont souvent utilisés dans le cadre des processus d’authentification multi-facteurs, comme l’envoi de codes d’authentification par SMS ou email ou l’utilisation d’une application pour générer une clé d’authentification.

Les appareils personnels de ce type constituent souvent l’un des maillons les plus faibles de la sécurité des comptes utilisateurs, outre les utilisateurs eux-mêmes. Il existe de nombreuses façons pour les utilisateurs malveillants d'intercepter des données destinées à un appareil personnel ou de prétendre se connecter depuis un appareil légitime d'un utilisateur. Ils peuvent, bien sûr, être tout simplement volés ou contrôlés à distance, donnant à un attaquant accès à toutes les connexions enregistrées ou aux données non protégées sur l'appareil.

L’utilisation d’appareils personnels dans l’authentification multi-facteurs est souvent un compromis nécessaire malgré ces défis. C'est la méthode MFA la plus simple pour la plupart des utilisateurs. Cela permet également d’augmenter le nombre de personnes qui choisissent d’utiliser votre système d’authentification multi-facteurs. Les risques potentiels des appareils personnels peuvent être atténués en suivant les bonnes pratiques pour l'utilisation des appareils à la maison et au travail. Pour plus de sécurité, les entreprises peuvent encourager les clients et les employeurs à utiliser des méthodes d'authentification basées sur le matériel, telles que les générateurs de clés. Selon Google, les comptes Google sécurisés par l'authentification matérielle étaient immunisés contre presque toutes les tentatives de phishing automatisées et de masse.

Signalement des violations potentielles de la sécurité

En moyenne, il faut près de 200 jours pour qu'une violation de la sécurité soit identifiée. Il est essentiel de sensibiliser vos utilisateurs à l’importance de signaler immédiatement les violations potentielles de la sécurité, vous donnant ainsi le temps de restreindre l’accès à leurs comptes avant qu’un plus grand dommage n’ait lieu. Cela est particulièrement pertinent lorsque vous utilisez des systèmes MFA nécessitant des comptes supplémentaires ou utilisant un appareil personnel tel qu’un téléphone.

Sauf si vous le leur expliquez clairement, les utilisateurs peuvent ne pas immédiatement réaliser que quelque chose pourrait compromettre la sécurité de leur compte. Par exemple, supposons que le téléphone d’un utilisateur est volé ou que son compte email est piraté. Ils ont utilisé ce téléphone ou cet email pour s'authentifier avec votre système. Dans ce cas, le voleur a peut-être déjà l'accès ou les détails dont il a besoin pour accéder à d'autres comptes.

Supposons que les utilisateurs ne comprennent pas que cela pourrait compromettre un compte qu'ils ont avec votre entreprise. Dans ce cas, vous risquez de ne pas être informé de la violation de sécurité possible jusqu'à ce qu'il soit trop tard pour agir. Par conséquent, il est également essentiel d'aider les utilisateurs à comprendre comment repérer les signes qu'un compte a été compromis afin qu'ils puissent signaler le problème plus rapidement.

Les signes courants d'un compte en ligne compromis incluent :

• Le mot de passe a été modifié.

• L'utilisateur a reçu des e-mails concernant une modification de mot de passe ou d’informations de compte qu'il n'a pas demandée.

• L'utilisateur a reçu des e-mails de phishing, qui peuvent facilement être effectués avec l'une des plates-formes de marketing par e-mail populaires, contenant des données personnelles associées à un compte.

• L'utilisateur a reçu des notifications concernant des tentatives de connexion depuis des emplacements ou des adresses IP inconnus.

Conclusion

L'authentification multi-facteurs, comme tout autre système de sécurité, n'est pas infaillible. Elle rend la vie considérablement plus difficile à un attaquant potentiel, rendant votre organisation et vos utilisateurs une cible moins attrayante pour la fraude et le vol de données. Il est toutefois essentiel de mettre en place une authentification multi-facteurs de manière pratique pour vos utilisateurs, car elle ne peut pas protéger leurs comptes s'ils ne veulent pas l'utiliser.