Authentification Multifactorielle : Mieux vaut prévenir que guérir ?

septembre 2023 par Daniel De Prezzo, Head of Technologies Southern Europe chez Veritas Technologies

Deux milliards d’euros. C’est le montant exorbitant qu’auraient coûté les cyberattaques sur les systèmes d’information des organisations sur le sol français en 2022[1]. Ces estimations démontrent une fois de plus que les hackers se perfectionnent. Leurs méthodes évoluent avec pour objectif de faire un maximum de dégâts, et ce, quelle que soit leur cible (entreprises, personnes morales ou particuliers). Autre facteur d’inquiétude, la démocratisation des objets connectés ne fait qu’accroître le risque de cyberattaques. Selon les prévisions, 22 milliards de dispositifs IoT seraient actuellement en circulation à travers le monde, et ce chiffre devrait grimper à 50 milliards d’ici 2030. Des montres connectées aux smartphones, en passant par les points d’accès WiFi, ce sont autant de portes d’entrée pour des cybercriminels capables de voler facilement des mots de passe et de subtiliser les informations ainsi que les données de leurs cibles.

Toutefois, face au risque de se voir voler ses données et ses sauvegardes, de subir un chantage à la rançon et/ou d’être à la merci d’un malware, un mot de passe complexe n’est plus suffisant. Le recours à l’authentification multifactorielle (AMF) est devenu incontournable.

L’authentification multifactorielle en pratique

Sans surprise, les attaques par ransomware constituent la menace n°1 notamment lorsqu’elles sont couplées avec des attaques par phishing. D’ailleurs, dans leur dernier rapport, le gouvernement français a justement indiqué que 27% des signalements déposés par les entreprises et associations en 2022 étaient liés à des attaques par phishing - soit une augmentation de 54% des recherches d’information et d’assistance en un an seulement.

Face au risque de se voir dérober ses données personnelles, l’AMF permet d’ajouter une couche de sécurité grâce à l’intégration d’une étape supplémentaire dans le processus d’identification. Cette méthode permet de sécuriser davantage l’accès à un compte, à une ressource ou à une plateforme. Si l’une des techniques les plus connues du grand public est l’envoi de SMS sur le téléphone de l’utilisateur, l’AMF est aujourd’hui utilisée dans de nombreuses situations, comme lors de la connexion à un réseau social ou à un compte bancaire. Bien que certaines entreprises rendent obligatoire l’utilisation de l’AMF pour accéder à leurs services, l’utilisateur peut également procéder de lui-même à une analyse des risques et lister tous ses comptes les plus sensibles sur lesquels il peut ajouter l’option d’authentification multifactorielle.

Pour les entreprises, l’activation de l’AMF leur permet de s’aligner sur les politiques existantes de gestion des identités et des accès (GIA), et d’empêcher les accès par un tiers non autorisé. Pour cela, les équipes IT ont la possibilité d’utiliser différentes techniques : ils peuvent demander un mot de passe ou un code PIN supplémentaire, utiliser une application tierce sur le téléphone qui fournit un code unique (appelée authentificateur ou jeton matériel), ou encore faire appel aux données biométriques. Quoi qu’il en soit, l’objectif des entreprises est que ces méthodes entrent dans les habitudes des salariés de l’entreprise, sans quoi l’approche AMF sera vaine.

Protéger son entreprise tout en restant efficace

Sachant que les pirates sont toujours en quête de données sensibles et/ou critiques - surtout si elles proviennent d’organisations - n’importe quel salarié peut devenir une cible pour pouvoir y accéder. Face à ce risque, de nombreuses entreprises ont déjà mis en place une stratégie dite Zero Trust, qui repose sur le principe qu’on ne peut faire confiance à aucun utilisateur ou dispositif lorsqu’il s’agit d’accéder aux systèmes de l’entreprise. L’AMF découle donc directement de cette approche, apportant un degré de protection supplémentaire pour protéger tous les utilisateurs.

Alors que certains restent sceptiques et reprochent à l’AMF de nuire à la productivité des employés, il semblerait qu’ils acceptent de passer par ces étapes supplémentaires. En effet, ils ont conscience des enjeux de cybersécurité, d’autant plus qu’ils utilisent déjà cet outil dans le cadre de leurs activités personnelles. La mise en place d’une stratégie de gestion des accès, avec une AMF résistante assure que seules les personnes autorisées accèderont aux données et aux applications de l’entreprise. Si l’organisation se voit ainsi armée contre les attaques sans causer pour autant de désagréments aux employés, elle peut tout à fait coordonner et faire évoluer ses moyens de défense dans le cadre d’une stratégie de cybersécurité plus globale.

Recourir à l’authentification continue et à l’IA pour assurer une sécurité optimale

Bien que l’authentification multifactorielle constitue une réelle garantie de sécurité, comme tous les moyens de protection, elle n’est pas infaillible. Des cybercriminels peuvent par exemple harceler leurs victimes et tenter de les « avoir à l’usure » en leur demandant inlassablement de valider la demande de connexion. Là où généralement les entreprises mettent en place un processus d’authentification simple, l’ANSSI préconise de la rendre plus forte en combinant au moins deux facteurs différents pour contrer ces tentatives.

Mais, plus efficace encore, l’authentification dite « continue » associe aux processus d’identification multifactorielles des paramètres de sécurité supplémentaires. Ces procédés, basés sur l’Intelligence Artificielle et le Machine Learning, identifient les habitudes d’utilisation d’une personne et donc les comportements qui pourraient s’avérer suspects : une tentative d’accès depuis un nouvel appareil, des heures de connexion inhabituelles, depuis l’étranger etc. En implémentant des technologies de pointe, les entreprises utilisent finalement les mêmes moyens que les hackers, mais à des fins bien différentes. Pour éviter de se faire distancer par ces derniers, les équipes IT et cyber doivent donc avoir les moyens et la stratégie nécessaires pour assurer leur mission : protéger l’entreprise des attaques.

Face à l’augmentation du nombre de cyberattaques, il convient pour les entreprises d’adopter des dispositifs de sécurité renforcés tel que l’AMF. Couplée à l’IA, elle permet d’identifier les potentielles menaces et d’alerter les équipes afin de prévenir les futures attaques et de renforcer la protection de l’entreprise. À l’heure où la bataille contre les cybercriminels continue de faire rage, chaque outil mis en place peut aider à déjouer leurs actions malveillantes.