A mesure que les technologies évoluent, les organisations doivent adapter leurs politiques de sécurité afin de pouvoir se défendre contre les cybermenaces. Dans cette optique, le règlement général sur la protection des données (RGPD), a mis l’accent sur la sécurité et les mesures qui régissent la façon dont les entreprises gèrent les données et les communications avec leurs clients.
Ainsi, dans certains secteurs de l’industrie, les réglementations et les cadres légaux imposent l’authentification pour sécuriser l’accès et le contrôle des actifs sensibles et critiques. Pourtant, toutes les authentifications n’offrent pas le même niveau de protection face à l’évolution rapide des cybermenaces.
Une étude de Cisco révèle que 47 % des entreprises ont déclaré qu’elles estimaient que leurs stratégies de sécurité étaient plus efficaces lorsqu’elles respectaient les réglementations de conformité. Ce niveau de confiance dépasse celui qu’elles ont en leurs programmes pour gérer les risques les plus élevés (42 %) et empêcher des incidents majeurs (43 %). De toute évidence, la nature punitive de la réglementation fait pression sur les organisations pour qu’elles respectent les normes prescrites. Cependant, leurs politiques de sécurité doivent aussi s’adapter pour gérer et atténuer les risques afin de garantir la cybersécurité des données et des actifs, au-delà du souci de conformité.
Se défendre contre les compromissions
Pour commencer, les organisations doivent comprendre l’éventail des menaces auxquelles elles sont confrontées et comment les cyberattaques se déroulent. Les identifiants, une barrière de vérification pour les utilisateurs afin qu’ils accèdent aux services, applications et systèmes numériques, sont les données les plus recherchées dans la phase initiale d’une attaque. Une fois subtilisés, ils fournissent un moyen pour les cybercriminels d’infiltrer les systèmes critiques, compromettant ainsi plus d’informations personnelles. Ces violations s’opèrent souvent en plusieurs étapes. Par exemple, ces éléments sensibles peuvent être la porte d’entrée pour déployer des logiciels malveillants. Malheureusement, il existe de nombreux moyens de les voler. Les organisations doivent donc mettre en place des mesures pour se prémunir et lutter contre ces cyber-risques.
L’authentification forte pour contrer les menaces modernes
L’authentification de base, telle que la combinaison nom d’utilisateur/mot de passe, ou même des formes courantes de double authentification (2FA) comme les SMS, sont inadéquates pour protéger les données, les systèmes et les applications contre les cybermenaces actuelles. Elles sont en effet vulnérables face à la sophistication croissante des attaques. De ce fait, certaines règlementations sectorielles commencent à définir des normes minimales d’authentification pour l’accès et le contrôle, tandis que d’autres s’appuient sur des cadres pour fournir des orientations.
L'Organisation internationale de normalisation (ISO), par exemple, définit les exigences d'un système de gestion de la sécurité de l'information (SGSI), la norme ISO 27001 détaillant les exigences en matière de contrôles d'accès et la norme ISO 27002 introduisant les contrôles cryptographiques. Entre temps, en juin dernier, la Commission Européenne a annoncé des plans pour une révision de la réglementation sur l’identification électronique, l’authentification et les services de confiance (eIDAS). Cette politique prévoit des interactions électroniques sécurisées et transparentes entre les personnes, les entreprises et les autorités publiques, par exemple par le biais de systèmes nationaux d’identification électronique, de signatures électroniques et d’authentification des sites web.
Protéger les citoyens et les services
De manière générale, les employés et contractuels du gouvernement sont souvent pris pour cible par les cybercriminels, en raison des informations auxquelles ils ont accès. En effet, les systèmes gouvernementaux nationaux et locaux détiennent des données sensibles telles que les numéros de sécurité sociale. Le domaine de la santé est également concerné par ces risques. Les hôpitaux de Paris (AP-HP) ont ainsi été victimes d’une attaque qui a dévoilé les données privées de près d’1,4 million de personnes. Le personnel médical a donc besoin de moyens sûrs et sécurisés pour accéder aux dossiers de santé électroniques hautement sensibles. Les systèmes éducatifs, quant à eux, regroupent des informations financières et autres données très attrayantes pour les usurpateurs d’identité et les cybercriminels.
Ces deux secteurs doivent donc rester vigilants et adapter leur structure informatique. Avec une forte proportion de cyberattaques axées sur le vol d’informations d’identification, l’authentification forte a fait la preuve de sa capacité à en réduire considérablement l’impact. Elle est plus efficace que certaines formes de double authentification ou que la combinaison traditionnelle de nom d’utilisateur et de mot de passe, qui reposent sur des protocoles comme les questions de récupération et les codes d’accès à usage unique, et peuvent être sensibles au phishing ainsi qu’à d’autres attaques à distance.
Pour protéger les données des citoyens et s’assurer que les services du secteur public ne soient pas interrompus, les organisations doivent déployer des programmes de sécurité qui sont à la fois conformes à la réglementation et qui intègrent une authentification forte pour contrecarrer les attaques. Une vérification supplémentaire, par exemple par le biais d’une authentification matérielle, permet de contrer les risques associés aux informations d’identification compromises. Ces dispositifs modernes de sécurité matériels ouvrent la voie à l’élimination des cyberattaques, protégeant ainsi les utilisateurs contre la compromission de leurs identifiants et les organisations contre les tentatives d’intrusion.