Alors que la crise sanitaire actuelle a bouleversé nos habitudes et l’économie, le Cesin a récemment publié six enseignements à tirer de la situation actuelle en termes de cybersécurité. Parmi ces recommandations figure la généralisation de l'authentification multi-facteurs (MFA) pour tous les services disponibles sur le cloud. L'occasion pour les entreprises de mettre en place une véritable stratégie dans un contexte où le recours au télétravail reste « souhaitable » selon le ministre de l'Economie et des Finances Bruno Le Maire, alors que la France vient d’entamer une nouvelle phase de déconfinement.
Les organisations françaises évoluent encore dans une période difficile, se concentrant sur le maintien de la productivité et du moral des employés, ainsi que l'équipement des collaborateurs distants avec les logiciels et les outils dont ils ont besoin. De plus en plus d'applications et de fonctions métier clés migrent actuellement vers le cloud ; cependant, une base de sécurité solide mais flexible est essentielle pour réduire l'exposition aux risques ainsi créée. En outre, avec une main-d'œuvre distante, il y a davantage d'ambiguïté et d'incertitude quant aux conditions et à l’environnement dans lesquels travaille un employé, ce qui rend essentiel pour les organisations sa capacité à rétablir la confiance avec leurs équipes et les appareils qu'elles utilisent.
L'authentification à deux facteurs (2FA) joue alors un rôle important en tant que première ligne de défense contre les cyberattaques. Mais toutes les méthodes ne se valent pas, puisque différents niveaux d'efficacité existent. Par exemple, l'authentification à deux facteurs (2FA), par le biais de mots de passe facilement mémorisables ou à usage unique (OTP) par SMS, est de plus en plus répandue. Elle est toutefois vulnérable au phishing et aux attaques de type « man in the middle ». La fraude par SIM Swapping - soit la prise de contrôle du numéro de téléphone d’un individu - devient également de plus en plus courante. Bien que plus sécurisée qu’un simple mot de passe, les entreprises doivent avoir conscience que la 2FA n’est aujourd’hui pas suffisante pour se protéger contre les attaques sophistiquées.
Les outils MFA matériels, tels que les clés de sécurité, offrent un autre moyen de renforcer la sécurité de l'authentification en prouvant que la personne qui accède à l'appareil ou à l'application est bien celle qu’elle prétend être. Ils ont également l'avantage d'être simples et pratiques à utiliser, puisque se connectant par simple contact.
Les clés de sécurité aident aussi notamment à résoudre le problème souvent négligé de la sécurité des téléphones mobiles, un risque actuellement accru en ces temps de télétravail généralisé. Les smartphones sont des appareils informatiques polyvalents qui, par nature, ont une plus grande surface d'attaque. Un dispositif d'authentification externe dédié, comme une clé de sécurité, minimise donc considérablement le niveau d'exposition aux logiciels malveillants ou aux attaques de phishing. En effet, de nombreux employés accèdent régulièrement à des applications professionnelles depuis leur smartphone; or, selon une de nos études récentes, 62% des professionnels de la sécurité IT français interrogés affirment que leur entreprise ne prend pas les mesures qui s’imposent pour protéger les informations stockées sur les téléphones mobiles. Ce manque de sécurité doit être rapidement comblé pour éviter les violations potentiellement dommageables.
Quelle que soit la méthode MFA jugée optimale par une organisation, il est important de l'implémenter pour tous les employés, les systèmes et les applications. Il s’agit en effet de la meilleure stratégie à adopter pour améliorer considérablement et simplement le niveau de sécurité. Dans le contexte actuel, il existe de nombreuses inconnues, mais l’infrastructure de sécurité ne doit jamais en être une.