L’authentification multifacteurs est une composante indissociable d’une politique de gestion des accès et des identités (IAM) solide. En s’appuyant sur plusieurs facteurs de vérification, la MFA a pour but de renforcer la sécurité des authentifications. Mais déployer l’authentification multifacteurs en entreprise permet également de faciliter sa mise en conformité, tout en rassurant les clients sur la sécurité de leurs données. Découvrez tout ce qu’il faut savoir sur le fonctionnement de la MFA, ses avantages, et nos bonnes pratiques pour sa mise en place dans un milieu professionnel.
Qu'est-ce que l'authentification multifacteurs ?
Les risques de l'authentification unifactorielle
L'authentification unifactorielle est un processus d’authentification reposant uniquement sur un seul facteur de vérification, généralement un mot de passe. Bien que majoritairement utilisé, ce système présente de nombreux risques, car si ce facteur unique est compromis, l'accès aux données et aux comptes est facilement accessible pour un cyberattaquant. Voici les principaux risques associés à l’authentification unifactorielle :
- Compromission des identifiants : les mots de passe peuvent être dérobés par des techniques de phishing, des logiciels malveillants ou encore des attaques par force brute. Une fois qu'un attaquant obtient ces informations, il peut accéder librement aux comptes associés.
- Réutilisation des mots de passe : selon une récente étude, 53% des utilisateurs reconnaissent réutiliser les mêmes secrets sur plusieurs sites ou services1. Si un seul compte est compromis, les autres peuvent l'être aussi, facilitant l'accès à des informations sensibles.
- Vol de bases de données : les bases de données contenant des identifiants et des mots de passe sont souvent ciblées par les cybercriminels. Les fuites de ces informations peuvent conduire à des usurpations d'identité, des accès non autorisés à des comptes…etc.
Malgré sa simplicité d'utilisation, l'authentification unifactorielle ne fournit donc pas une protection suffisante contre les cybermenaces. C’est pourquoi en entreprise particulièrement, il est indispensable d'adopter des méthodes d’authentification plus robustes comme l'authentification multi facteurs pour protéger les services sensibles.
Authentification multifacteurs : définition
L'authentification multi facteurs (MFA) est un système de sécurité qui exige de l'utilisateur de fournir plusieurs preuves d'identité avant de lui permettre l'accès à une ressource, comme un compte en ligne, une application ou un site web. Contrairement à l'authentification unifactorielle, qui repose sur un seul élément, la MFA ajoute des couches supplémentaires de protection, rendant un éventuel piratage beaucoup plus difficile pour les cybercriminels.
Les différents types de facteurs d'authentification utilisés pour la MFA
L'authentification multifacteurs repose sur l'utilisation de plusieurs types de facteurs d'authentification pour garantir un niveau de sécurité supérieur à celui offert par l'authentification unifactorielle.
Ces facteurs sont classés en trois catégories :
- La connaissance (quelque chose que l'utilisateur sait)
- La possession (quelque chose que l'utilisateur a)
- L'inhérence (quelque chose que l'utilisateur est)
Parmi ces 3 catégories, on distingue 3 types de facteurs couramment utilisés dans le cadre de la MFA :
Le facteur biométrique
La biométrie repose sur l'utilisation de caractéristiques physiques ou comportementales uniques de l'utilisateur pour l'authentification. Les technologies biométriques sont de plus en plus répandues en raison de leur sécurité et de leur simplicité d’utilisation. Parmi les facteurs biométriques les plus répandus dans le cadre de la MFA, on compte :
- Les empreintes digitales : les capteurs d'empreintes digitales sont couramment intégrés dans les smartphones et les ordinateurs portables. Ils permettent une vérification rapide et fiable de l'identité de l'utilisateur.
- La reconnaissance faciale : cette technologie analyse les traits du visage pour autoriser l'accès. Elle est difficile à tromper, surtout lorsqu'elle intègre des mesures de profondeur et de mouvement.
- La reconnaissance vocale : ce type d'authentification utilise l'analyse de la voix de l'utilisateur. La reconnaissance vocale est particulièrement utile dans les environnements où les mains libres sont nécessaires, comme les services clients automatisés.
- Les scans rétiniens et de l’iris : bien que moins courants, ces scans offrent un niveau de sécurité très élevé en utilisant les motifs uniques de l'iris ou de la rétine de l'utilisateur.
La biométrie offre une protection solide contre les tentatives d'usurpation d'identité, car elle repose sur des caractéristiques uniques et difficiles à reproduire pour un cyberattaquant. Preuve en est, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) considère la biométrie comme un moyen "plus robuste et plus résilient" que les mots de passe pour l'authentification.2
Les codes PIN et mots de passe
Les codes PIN et mots de passe sont les facteurs d'authentification les plus traditionnels et demeurent largement utilisés, même dans le cadre de l’authentification multifacteurs. Ils reposent sur la connaissance de l'utilisateur, et doivent respecter plusieurs critères pour être efficaces :
- Les mots de passe doivent être complexes et uniques pour chaque service. Conformément aux recommandations de l’ANSSI, ils ne doivent pas faire référence à une information personnelle, ni figurer dans le dictionnaire. 3
- Les codes PIN sont généralement plus courts et souvent utilisés sur des dispositifs mobiles ou pour des transactions rapides. Ils doivent également être suffisamment complexes pour éviter les devinettes faciles.
L’utilisation des mots de passe et codes PIN dans le cadre de la MFA réduit significativement les risques de cyberattaques, car ils ne représentent qu'un élément d'une authentification en plusieurs étapes.
Les clefs de sécurité
Les clefs de sécurité sont des dispositifs matériels que l'utilisateur possède et utilise pour prouver son identité. Elles sont de plus en plus populaires en raison de leur simplicité d'utilisation et de leur niveau élevé de sécurité. On distingue 3 types de clefs de sécurité majoritairement utilisés en entreprise :
- Les clefs USB : ces dispositifs doivent être insérés dans un port USB pour vérifier l'identité de l'utilisateur. Ils peuvent également utiliser la technologie NFC (Near Field Communication) pour une connexion sans fil avec des appareils compatibles.
- Les tokens matériels : ces mécanismes génèrent des codes temporaires à usage unique (OTP), que l'utilisateur doit entrer pour accéder à son compte.
- Les cartes à puce : utilisées principalement dans des contextes professionnels, les cartes à puce contiennent des informations d'authentification et nécessitent généralement un lecteur de cartes pour être utilisées.
D’un point de vue cyber, les clefs de sécurité offrent une protection particulièrement robuste contre les cyberattaques type phishing, car elles exigent une présence physique et une interaction directe avec l'appareil. De ce fait, il est plus difficile pour un hacker de pirater un compte via ce facteur de possession.
.png?width=700&name=MITM%20-%205%20bonnes%20pratiques%20-%20Related%20Content%20(1).png)
.png?width=700&name=Chu%20de%20la%20Martinique%20-%20G%C3%A9rald%20Galim%20-%20RSSI-related%20content%20(2).png)
.png?width=700&name=Piratage%20de%20compte%20pro%20_%20Menace%20n%C2%B02-%20related%20content%20(1).png)
Les 4 principaux avantages de l'authentification multifacteurs
En exigeant plusieurs formes d'identification avant d'accorder l'accès, la MFA offre une multitude d'avantages qui renforcent la protection des comptes et la cybersécurité en entreprise :
1. Amélioration de la sécurité
Contrairement à l'authentification unifactorielle, qui repose uniquement sur un mot de passe, la MFA nécessite plusieurs preuves d'identité, ce qui rend beaucoup plus difficile pour les attaquants de compromettre un compte.
Par exemple, même si un pirate informatique parvient à voler ou à deviner un mot de passe, il devra encore franchir d'autres obstacles, comme l’exigence d’un facteur biométrique, un code envoyé par SMS ou une clef de sécurité physique. Cette complexité accrue rend les tentatives de piratage beaucoup moins susceptibles de réussir.
En outre, l’authentification multi facteurs est efficace contre diverses formes d'attaques, comme le phishing et les attaques par force brute, car elle exige des vérifications multiples que les attaquants ne peuvent pas facilement contourner. Preuve en est, la MFA pourrait empêcher jusqu'à 90% des prises de compte frauduleuses, selon une étude de Verizon.4
2. Réduction des risques de piratage
En exigeant que les utilisateurs fournissent plusieurs preuves d'identité, la MFA diminue significativement les risques d'accès non autorisés. Même si un des facteurs d'authentification est compromis, les autres couches de sécurité empêchent les accès non autorisés.
De plus, l’authentification multi facteurs permet une détection précoce des tentatives de compromission. Si un utilisateur reçoit une demande de validation d’accès qu’il n’a pas initiée, il peut être alerté, devinant ainsi qu’un de ses mots de passe a été compromis.
3. Facilitation de la mise en conformité réglementaire
L'adoption de la MFA aide les entreprises à se conformer à de nombreuses normes et réglementations de sécurité, telles que la RGPD, le HIPAA et le PCI DSS, qui recommandent ou exigent son utilisation.
En intégrant l’authentification multi facteurs, les entreprises respectent les exigences légales imposées par les autorités de protection des données, évitant ainsi les amendes et autres sanctions liées à la non-conformité.
Par ailleurs, l'utilisation de la MFA montre que l'entreprise s'engage activement à protéger les données de ses utilisateurs, ce qui est indispensable en cas de litige ou d'audit de sécurité. En adoptant ces mesures, les entreprises peuvent démontrer qu'elles ont pris des précautions adaptées pour sécuriser les informations sensibles, renforçant ainsi leur position juridique et leur réputation.
À savoir : pour se conformer à NIS2, il est recommandé de déployer dès maintenant la MFA en entreprise, sur les services les plus sensibles.
4. Renforcement de la confiance des clients
Les entreprises qui utilisent la MFA bénéficient souvent d'une meilleure perception de la part de leurs clients. En montrant qu'elles prennent la sécurité des données au sérieux, ces entreprises renforcent la confiance des utilisateurs, qui se sentent mieux protégés contre les menaces en ligne.
De plus, dans un marché où la sécurité des données est de plus en plus prioritaire, l'utilisation de la MFA peut servir d'avantage concurrentiel. Les clients préfèrent traiter avec des entreprises qui mettent en œuvre des mesures de sécurité robustes, ce qui peut attirer de nouveaux prospects et renforcer les relations existantes. En effet selon une étude de Microsoft réalisée en 2023, 73 % des consommateurs français affirment que la sécurité des données est un facteur important lors du choix d'une entreprise.5
Comment fonctionne l'authentification multifacteurs ?
L’authentification multifacteurs repose sur l'utilisation de différents types de facteurs d'authentification. Cette combinaison rend l'accès non autorisé beaucoup plus difficile pour les attaquants.
Le premier facteur d'authentification
La première étape de l'authentification multifacteurs consiste à saisir les identifiants de connexion, généralement un nom d'utilisateur et un mot de passe. Il s’agit du premier facteur d'authentification, qui repose sur quelque chose que l'utilisateur connaît.
C'est la première barrière de sécurité que l'utilisateur doit franchir. Dans cette même logique, le premier facteur constitue également la première ligne de défense contre les accès non autorisés. Cependant, seul, il est vulnérable aux attaques par phishing, à la compromission de bases de données et aux attaques par force brute (brute force attack).
Le second facteur d'authentification
Une fois les identifiants de connexion vérifiés, la deuxième étape de l'authentification multifacteurs implique un facteur basé sur quelque chose que l'utilisateur possède.
Un exemple courant est l'utilisation d'un téléphone portable, sur lequel un code peut être envoyé par SMS. L'utilisateur doit alors saisir ce code pour accéder à son compte.
Les applications d'authentification génèrent des codes de vérification temporaires (également appelés one-time password – OTP) qui changent toutes les 30 secondes. Ces applications sont plus sécurisées que les SMS car elles ne sont pas vulnérables aux interceptions de messages (Attaque Man-in-the-middle).
Un autre exemple est l'utilisation de tokens physiques, comme les clefs USB. Comme évoqué plus haut, ces dispositifs doivent être connectés physiquement à l'ordinateur ou utilisés sans contact via NFC pour vérifier l'identité de l'utilisateur. Ces tokens sont très sécurisés car ils nécessitent une interaction physique, rendant les attaques à distance pratiquement impossibles.
Bonus : le troisième facteur d'authentification
Dans certaines configurations MFA, une troisième étape peut être nécessaire, impliquant souvent quelque chose que l'utilisateur est. Cette troisième vérification utilise dans la plupart des cas des données biométriques pour confirmer l'identité de l'utilisateur.
Les méthodes courantes incluent l'empreinte digitale, la reconnaissance faciale ou la reconnaissance vocale. Par exemple, après avoir saisi le code de vérification envoyé sur son smartphone, l'utilisateur peut être invité à scanner son empreinte digitale sur un capteur ou à permettre à la caméra de vérifier son visage.
L'authentification multifacteurs pour prévenir les cyberattaques
L’authentification multifacteurs s’avère être un allié de taille, pour prévenir plusieurs types de cyberattaques :
Les attaques par phishing
Les attaques par phishing, (ou hameçonnage) visent à tromper les utilisateurs pour qu'ils divulguent leurs informations confidentielles, comme des mots de passe ou des numéros de cartes de crédit, souvent par le biais de faux sites web ou de mails frauduleux.
Bien qu’avec cette méthode, les cybercriminels réussissent parfois à obtenir les mots de passe, l'authentification multifacteurs ajoute une étape supplémentaire qui empêche les attaquants de tirer parti de ces informations. Ainsi, même si un utilisateur tombe dans le piège et révèle son password, le pirate ne pourra pas accéder au compte sans le second facteur d'authentification.
Le credential stuffing
Les mots de passe seuls sont une forme vulnérable de vérification d’identité, responsable de 81 % des violations de sécurité6. Le credential stuffing est une méthode où des hackers utilisent des listes de mots de passe volés pour tenter de se connecter à différents comptes. Cette cyberattaque repose sur le fait que de nombreux utilisateurs réutilisent les mêmes mots de passe sur plusieurs sites. Cependant avec l’authentification multi facteurs, même si un attaquant dispose d'un mot de passe valide, la MFA bloquera l'accès au compte faute de fournir le second facteur, rendant cette méthode d'attaque beaucoup moins efficace.
Les attaques par force brute
Dans une attaque par force brute, le cybercriminel tente de deviner un mot de passe en utilisant des combinaisons aléatoires jusqu'à ce qu'il trouve la bonne. L'authentification multifacteurs complique considérablement cette technique. Même si un attaquant parvient à deviner le mot de passe, il devra toujours fournir le second facteur d'authentification pour accéder au compte. Cela rend les attaques de force brute pratiquement inefficaces contre les systèmes protégés par MFA.
Les attaques man-in-the-middle (MITM)
Les attaques de type man-in-the-middle (MITM) se produisent lorsque des attaquants interceptent la communication entre deux parties sans leur connaissance, ce qui leur permet de capturer des informations sensibles comme des identifiants de connexion.
Lorsque la MFA est mise en place, même si un attaquant parvient à intercepter un mot de passe, il doit encore franchir une seconde barrière de sécurité. Par exemple, un code unique peut être envoyé sur un téléphone portable ou une application d'authentification, ou bien une confirmation peut être demandée via une notification push. Les systèmes de MFA avancés sont capables de détecter des anomalies dans les tentatives de connexion, comme des localisations géographiques inhabituelles ou des comportements atypiques. Ainsi, si un cyberattaquant compromet un smartphone par une attaque MITM, il pourra avoir accès au premier facteur (mot de passe) puis au second facteur s’il est envoyé sur ce même smartphone. Or, si le hacker se connecte au compte de la victime depuis un endroit inhabituel ou un appareil non enregistré, l’application MFA ou le système MFA enverra des notifications d’alertes à l’utilisateur principal, qui pourra bloquer la connexion et changer son mot de passe.
L'ingénierie sociale
La fraude par ingénierie sociale implique des manipulations psychologiques pour amener les utilisateurs à divulguer des informations confidentielles. Les informations obtenues par cette méthode peuvent inclure des mots de passe ou des réponses à des questions de sécurité.
Cependant, même si un attaquant réussit à obtenir ces informations, elles restent insuffisantes pour pénétrer des systèmes protégés par la MFA. Lorsqu’on sait que l'ingénierie sociale serait responsable de 98 % des cyberattaques7, démocratiser l’authentification multi facteurs s’impose comme une nécessité !
Le détournement de session (session hijacking)
Le détournement de session (session hijacking) survient lorsqu'un attaquant prend le contrôle d'une session utilisateur active en volant des cookies de session ou d'autres identifiants de session. L'authentification multifacteurs peut atténuer ce risque en demandant une réauthentification pour des actions sensibles. Par exemple, si un utilisateur essaie de modifier des paramètres de sécurité ou de réaliser une transaction financière importante, le système peut exiger un second facteur d'authentification. Cela réduit les risques de détournement de session en s'assurant que l'utilisateur est toujours celui qu'il prétend être.
Comment mettre en place l'authentification multifacteurs en entreprise ?
La mise en place de l'authentification multifacteurs (MFA) en entreprise est un processus stratégique qui nécessite une planification et une exécution rigoureuses. Voici 4 étapes à suivre, pour déployer efficacement la MFA dans le milieu professionnel :
Étape 1 : analyse des besoins
La première étape pour mettre en place l’authentification multifacteurs consiste à analyser les besoins de l'entreprise. Il s’agit donc d'identifier les ressources critiques nécessitant une sécurité renforcée. Ces ressources peuvent inclure des systèmes financiers, des bases de données clients, des applications internes sensibles et tout autre actif numérique utilisé au sein de l’organisation.
Parallèlement, il faut déterminer quels utilisateurs seront concernés par la MFA. Les collaborateurs ayant accès à des informations sensibles doivent être priorisés.
Cette analyse permet de comprendre où l’authentification multifacteurs sera la plus bénéfique et comment elle peut être intégrée sans perturber les opérations quotidiennes de l’entreprise.
Étape 2 : sélection d'une solution
Après avoir identifié les besoins, place au choix d’une solution MFA adaptée. Il existe de nombreuses options sur le marché, chacune offrant différents niveaux de sécurité selon leurs fonctionnalités.
Pour prendre une décision éclairée, il est important de considérer des facteurs comme la compatibilité avec les systèmes existants, la facilité d'utilisation, le coût et le support technique.
Pour une intégration fluide et une sécurité robuste, nous vous recommandons d'opter pour une solution MFA qui offre une variété de méthodes d'authentification, un support technique dédié et des options personnalisables pour répondre aux besoins spécifiques de l’entreprise.
À noter : LockSelf vous permet d’activer la génération de codes OTP pour chacun des mots de passe enregistrés dans votre coffre-fort. Une deuxième étape de connexion qui permet d’apporter une protection supplémentaire, d’autant plus que votre coffre-fort LockSelf peut lui-même être protégé par MFA.
Étape 3 : déploiement pilote
Avant de procéder à un déploiement général, il est recommandé de tester la solution MFA sur un groupe restreint d'utilisateurs. Ce déploiement pilote permet de valider la configuration initiale et de résoudre les éventuels problèmes avant de l'étendre à l'ensemble de l'organisation. Un groupe représentatif des différents départements de l’entreprise doit être choisi pour s'assurer que la solution fonctionne bien dans divers contextes d'utilisation.
Durant cette phase, les retours d'expérience des utilisateurs pilotes permettront d’ajuster les paramètres de la solution, d’améliorer l'expérience utilisateur et de garantir que la MFA n'entrave pas la productivité. Une fois les ajustements effectués et les problèmes résolus, l’entreprise sera prête pour un déploiement à plus grande échelle.
Étape 4 : monitoring continu
La mise en place de la MFA ne se termine pas avec son déploiement. Il convient de surveiller régulièrement les performances du système, les tentatives d'accès non autorisées et l'adhésion des utilisateurs à la nouvelle méthode d'authentification.
Il peut également être nécessaire d'ajuster les paramètres de sécurité au fil du temps. Par exemple, il est possible d’introduire de nouvelles méthodes d'authentification ou de renforcer les politiques IAM en réponse à des incidents de sécurité ou à des modifications des réglementations. Le feedback continu des utilisateurs et les audits réguliers permettent de maintenir une sécurité optimale tout en s'adaptant aux besoins de l’entreprise.
Sources :
1 https://specopssoft.com/fr/blog/reutilisation-des-mots-de-passe-un-danger-cache/
2 https://www.dpo-partage.fr/rapport-anssi-bsi-sur-lidentite-numerique/
3 https://cyber.gouv.fr/bonnes-pratiques-protegez-vous
4 https://www.verizon.com/business/resources/reports/dbir/
5 https://www.microsoft.com/fr-fr/security/security-insider/microsoft-digital-defense-report-2023
6 https://www.entrust.com/fr/resources/learn/what-is-a-one-time-password
7 https://www.proofpoint.com/fr/threat-reference/social-engineering
