Construire un avenir plus sûr peut sembler risqué : les clients s'adapteront-ils facilement à des garde-fous plus stricts ? Pensons à l'authentification multifactorielle. De plus en plus, il est clair que l'AMF offre un excellent équilibre entre sécurité et commodité en ce qui concerne la protection de nos données.

Les points de douleur subsistent cependant. La direction pourrait croire que demander aux gens de penser au-delà du mot de passe est un pont trop loin. Mais environ deux tiers des personnes qui sont conscientes de l'AMF l'utilisent régulièrement, selon notre rapport de 2023 Oh Behave. Et 94% des personnes qui l’ont activée continuent de l’utiliser. Nos données ne soutiennent pas l'idée que l'AMF est trop difficile à demander aux gens. Bien fait, c'est rapide et pratique.

À mesure que l'adoption de l'authentification multifactorielle (AMF) augmente, Salesforce constitue une excellente étude de cas récente sur la façon d'implémenter l'AMF sur un vaste réseau de clients couvrant de nombreuses industries. 

Le 1er février 2022, Salesforce a commencé à exiger de tous les clients d'utiliser l'AMF lors de l'accès à ses produits, qui incluent des plateformes B2B populaires telles que Sales Cloud, Service Cloud et Einstein. 

Nous avons demandé à Salesforce pourquoi ils avaient décidé d'exiger l'adoption de l'AMF pour tous leurs produits, quels étaient les défis de cette initiative, et comment l'exigence fonctionne deux ans après sa mise en œuvre initiale.  

AMF : Augmenter la sécurité pour tous

L'exigence AMF est initialement née d'un besoin de sécurité au-delà d'un mot de passe. En tant que technologie, les mots de passe remontent aux années 1960, et ils ne sont plus un moyen efficace de sécuriser les comptes. Un mot de passe est un système d'authentification à facteur unique, tandis que l'authentification multifactorielle (comme son nom l'indique) exige plusieurs formes d'informations identifiantes. Habituellement, cela comprend un mot de passe et un autre facteur, qui pourrait être une empreinte digitale, se connecter à une application d'authentification autonome, ou un nouveau système de clé de sécurité. 

"La confiance est notre valeur numéro un, et il n'y a rien de plus important que la confiance et le succès de nos clients. Nous croyons que protéger les données des clients est une responsabilité partagée entre Salesforce et nos clients," a expliqué Lynn Simons, directrice principale de l'engagement en matière de sécurité chez Salesforce. "À mesure que les cyberattaques deviennent de plus en plus courantes, les mots de passe ne fournissent plus de garanties suffisantes contre l'accès non autorisé aux comptes." 

L'AMF offre une couche de protection supplémentaire contre les menaces de sécurité courantes, comme l’hameçonnage, le bourrage d'identifiants et la prise de contrôle de comptes. L'implémentation de l'AMF augmente la sécurité pour le client et pour Salesforce.

La stratégie

Exiger l'AMF pour tous ses produits a non seulement nécessité un savoir-faire technique, mais a également signifié que Salesforce devait convaincre les parties prenantes que c'était la bonne chose à faire. Heureusement, les preuves des avantages de l'AMF sont accablantes – l'Agence américaine de la cybersécurité et de la sécurité des infrastructures (CISA) affirme que l'utilisation de l'AMF sur un compte réduit le risque de piratage de 99 % !

"Salesforce croit que l'AMF est un élément essentiel pour sécuriser l'accès aux comptes," a poursuivi Lynn.

Bien qu'il existe un risque potentiel de compromis sur le mot de passe, il est très peu probable qu'un acteur malveillant puisse également deviner ou pirater un code de l'application d'authentification de l'utilisateur.

Depuis le 1er février 2022, les clients de Salesforce sont tenus d'utiliser l'AMF pour accéder aux produits Salesforce. Cela signifie que tous les utilisateurs internes qui se connectent aux produits Salesforce, y compris les solutions partenaires, via l'interface utilisateur doivent utiliser l'AMF pour chaque connexion.

Il est important de noter que les produits Salesforce incluent la fonctionnalité AMF sans coût supplémentaire.

Utiliser les facteurs les plus sécurisés

Bien que nous croyions que toute forme d'AMF est meilleure que pas d'AMF du tout, la vérité est que certains facteurs sont plus sécurisés que d'autres. Par exemple, votre empreinte digitale est plus difficile à compromettre qu'un mot de passe facile à quatre caractères. Avec leur initiative AMF, Salesforce a choisi de soutenir les méthodes les plus sécurisées. 

"Salesforce propose des solutions AMF qui équilibrent la sécurité robuste et la commodité de l'utilisateur," a déclaré Lynn. 

Les méthodes de vérification soutenues par Salesforce comprennent :

• Application Salesforce Authenticator : Cette option d'application mobile propriétaire a été créée comme une solution rapide et sans friction de notifications push simples qui s’intègrent dans le processus de connexion Salesforce.

• Applications d'authentification tierces : Vous pouvez également remplir l'exigence AMF en utilisant d'autres applications mobiles autonomes, en particulier des applications qui génèrent des codes temporaires basés sur l'algorithme de mot de passe à usage unique basé sur le temps (TOTP) OATH.

• Clés de sécurité : Ce sont des dispositifs physiques qui utilisent la cryptographie à clé publique – les smartphones d’aujourd’hui intègrent ces clés. 

• Authentificateurs intégrés : Un service d'authentification intégré à un appareil de bureau ou mobile, tel que Windows Hello, Face ID ou Touch ID. Cette option implique souvent des données biométriques, des identifiants difficiles à falsifier qui vous sont uniques, comme votre empreinte digitale ou votre visage.

Certains seconds facteurs ne sont pas aussi robustes et sont intrinsèquement plus vulnérables aux interceptions, à l’usurpation et à d'autres attaques. Pour cette raison, Salesforce a décidé de ne pas utiliser ces options comme MFA :

• Questions de sécurité : Celles-ci pourraient être devinées par des informations accessibles au public sur l'utilisateur. 

• Codes à usage unique envoyés par e-mail, SMS ou appel téléphonique : Si l'un de ces comptes est compromis, leur utilité en tant que MFA est inutile. De plus, ces méthodes sont plus facilement compromises par des attaques de fatigue MFA. 

Si vous exigez l'AMF, nous sommes d'accord pour dire que vous pourriez tout aussi bien utiliser les options les plus fortes disponibles en ce moment.

Résultats

À partir de 2024, Salesforce a un taux d'inscription de 100 % parmi ses employés, a confirmé Lynn. Tous les produits logiciels de Salesforce, appelés clouds, offrent l'AMF, et presque tous ont aidé les clients à protéger leurs données en imposant ou en activant automatiquement l'AMF pour leurs utilisateurs.

"Grâce au partenariat de nos clients et à leur engagement à protéger l'accès aux comptes utilisateurs, le programme d'activation automatique de l'AMF a rencontré un succès considérable," a noté Lynn.

Conclusion : La sécurité est un sport d'équipe

Depuis deux décennies, le NCA a pour mission d'habiliter chacun en ligne à accroître la sécurité numérique. Nous avons tous un rôle à jouer – les entreprises, les gouvernements, les sites Web et les individus. L'exigence réussie de l'AMF de Salesforce montre comment un changement positif peut avoir des effets d'entraînement dans le monde entier – on estime que 150 000 entreprises utilisent Salesforce dans le monde entier, et maintenant tous leurs employés et clients utilisent l'AMF. 

"La sécurité est un sport d'équipe – et n'est efficace que lorsque tout le monde est sur la même longueur d'onde," a suggéré Lynn. 

Meilleures pratiques

Lynn a recommandé quelques meilleures pratiques pour les entreprises tentant de déployer une stratégie AMF à long terme.

• Comprendre votre personnel : Pour les leaders IT, la première étape consiste à comprendre le personnel de l'entreprise, leurs interactions avec la technologie essentielle, et où il pourrait y avoir des vulnérabilités potentielles dans le système.

• Offrir des options qui s'intègrent dans les flux de travail existants : Plutôt que de mettre en œuvre une seule technologie pour toutes les équipes, améliorer les solutions existantes et offrir des solutions qui conviennent à une variété de flux de travail rendra l'AMF plus susceptible de fonctionner pour tout le monde. Un exemple de ceci serait Salesforce qui a publié sa propre application d'authentification qui s'intègre à ses produits. 

• Faciliter la tâche des administrateurs : Investir dans le développement du bon matériel de formation et le support d'activation pour faciliter la transition de ceux qui gèrent l'AMF sans encombre. 

Pour plus d'informations, Lynn recommande ce module sur Trailhead, la plateforme d'apprentissage en ligne gratuite de Salesforce. Le NCA dispose également de nombreuses ressources sur MFA.