Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Mois de la cybersécurité : aller plus loin dans la sensibilisation et l’action

octobre 2022 par Chad Thunberg et Fabrice de Vésian, Yubico

Octobre vient de démarrer et marque cette année encore le début du mois de la cybersécurité, un événement très important pour le secteur, en France mais aussi au niveau international. Son objectif est clair : sensibiliser les particuliers mais aussi les professionnels aux cybermenaces. Aujourd’hui, la cybersécurité est devenue un enjeu majeur alors que les cybercriminels usent de techniques de plus en plus sophistiquées, et que la question n’est plus de savoir « si » mais bien « quand » une tentative d’attaque surviendra.

A cette occasion, Chad Thunberg, RSSI chez Yubico, évoque les tendances actuelles en matière de cybersécurité et les avantages associés aux clés de sécurité matérielles :

« Les entreprises continuent de se débattre avec les mots de passe et les anciennes solutions d’authentification multifacteurs (MFA), telles que les mots de passe à usage unique (OTP). Elles sont également confrontées à des attaques réussies contre l’exploitation des systèmes de notification push par les employés. Les schémas d’authentification qui reposent sur l’utilisation de secrets symétriques, comme par exemple, les mots de passe et OTP, ainsi que sur les systèmes susceptibles d’amener à une validation accidentelle de l’identité (dans le cas des notifications push) constituent aujourd’hui l’un des problèmes de sécurité les plus importants. Pourtant, nous continuons à essayer de renforcer leur utilisation dans le monde entier et nous n’avons pas la même approche ciblée pour mettre fin à ces méthodes que celle que nous avons vue dans d’autres domaines de la cybersécurité.

En guise de "pansement", nous voyons souvent des organisations mettre en œuvre des approches visant à atténuer les changements progressifs de la stratégie de l’attaquant. Il peut s’agir d’augmenter la longueur des mots de passe, de les réinitialiser régulièrement, d’imposer des combinaisons de caractères et d’utiliser une technologie pour comparer ses mots de passe à ceux connus pour avoir été compromis. Toutes ces approches sont fondamentalement erronées et continuent de retarder l’introduction de systèmes d’authentification.

Afin de faire des progrès significatifs pour stopper le niveau croissant d’attaques de ces mécanismes traditionnels, nous devons arrêter d’essayer de les renforcer et commencer à les considérer comme des vulnérabilités, tout comme nous l’avons fait avec d’autres solutions héritées, parmi lesquelles SSL et telnet.

Par exemple, FIDO2, une norme d’authentification ouverte développée par l’Alliance FIDO, offre des options d’authentification modernes étendues, notamment l’authentification forte à un facteur (sans mot de passe), l’authentification forte à deux facteurs (2FA) et l’authentification multifacteurs (MFA). Les protocoles de résistance au phishing mis en œuvre dans une clé de sécurité physique, compatible avec la norme FIDO2, sont considérés comme les meilleures solutions pour stopper net les cyberattaques sophistiquées comme le phishing. »

Fabrice de Vésian, Channel Manager chez Yubico, explique également que la cybersécurité est l’affaire de tous en tant que cible potentielle de cybercriminels, alors que la surface d’attaque ne cesse d’augmenter :

« Selon notre récente étude, 59 % des employés continuent d’utiliser leur nom d’utilisateur et leur mot de passe comme méthode principale d’authentification pour accéder à leurs différents comptes en entreprises. Les mots de passe représentent ainsi encore la forme la plus courante d’authentification des utilisateurs, alors qu’ils offrent une sécurité faible et une expérience médiocre. Ils ne sont en effet plus du tout adaptés à l’évolution des cybermenaces ni au monde dans lequel nous évoluons aujourd’hui. Avec l’accélération du tout digital, mais aussi du mode de travail hybride qui s’est développé au sein des entreprises, la surface d’attaque s’est considérablement étendue.

Il est urgent de prendre conscience que nous pouvons tous être la cible de cybercriminels, aussi bien en tant que particulier que professionnel, et donc de prendre les mesures nécessaires avant qu’il ne soit trop tard. Dans cette optique, l’authentification multifacteurs est devenue essentielle, non seulement pour les petits groupes d’utilisateurs privilégiés au sein des entreprises, mais aussi pour tous les membres de la société : des gouvernements protégeant les infrastructures critiques aux particuliers s’assurant que leur identité digitale ne tombe pas entre de mauvaises mains. Le mois de la cybersécurité est une occasion supplémentaire de rappeler la nécessité de sensibiliser et de rappeler les bonnes pratiques pour faire face aux cybermenaces omniprésentes et grandissantes. »


Voir les articles précédents

    

Voir les articles suivants