Généralement, les outils permettant de mettre en œuvre l’authentification à deux facteurs sont disponibles gratuitement. Alors pourquoi les PME n’en profitent-elles pas ? Dans la plupart des cas, il s’agit d’un manque de connaissances et d’expérience, et beaucoup d’entreprises admettent généralement ne pas avoir conscience des avantages qu’apporte l’AMF en matière de sécurité.

Ce manque de clarté ou de connaissance quant à l’importance de l’AMF met en évidence un autre problème, peut-être plus important. Lorsque les entreprises - essentielles à notre infrastructure nationale, comme c’est le cas pour de nombreuses PME, qu’elles en aient conscience ou non - ne mettent pas en œuvre les solutions accessibles pour protéger leurs activités, les chances qu’elles s’équipent de mesures de cybersécurité plus avancées semblent minces.

Si on prend l’exemple de l’approche Zero Trust, l’AMF peut être considérée comme une passerelle, une première étape facile et souvent gratuite, permettant de mettre en œuvre une stratégie efficace ou un réseau robuste. Mais comment l’AMF contribue-t-elle à la transition vers l’approche Zero Trust ?

L’authentification à deux facteurs est le minimum – et probablement la chose la plus facile - que les entreprises puissent mettre en place pour se diriger vers une architecture Zero Trust complète. Elle s’avère également être la méthode la moins couteuse pour empêcher une cyberattaque pouvant s’avérer lourde de conséquences. De manière générale, le Zero Trust repose sur deux approches : une centrée sur l’identité et la seconde sur le réseau. Elles peuvent être développées en se basant sur les éléments suivants :

• La vérification continue : Il s’agit de vérifier en permanence l’accès à toutes les ressources.
• La limitation du rayon « d’explosion » : Minimiser l’impact en cas de violation externe ou interne notamment grâce à la segmentation des larges réseaux et des ressources en petits groupes pour lesquels les accès et les flux croisés sont limités.
• L’autorisation de la collecte de données et la réponse au contexte : Ce principe encourage les RSSI et les entreprises à investir dans une approche de cybersécurité capable d’automatiser la collecte de données et disposant d’une intelligence intégrée capable d’appliquer les différents processus en fonction des situations. Il existe plus qu’assez de solutions robustes sur le marché qui peuvent aider les entreprises de toutes tailles à répondre à cette problématique.

Alors, pourquoi les PME hésitent-elles à mettre en œuvre l’A2F ?

Qu’est-ce que l’authentification à deux facteurs, souvent appelée authentification multifactorielle (AMF) ? L’authentification à deux facteurs repose sur le principe fondamental de combiner quelque chose que l’utilisateur sait (code, identifiant, mot de passe) à quelque chose qu’il possède (une carte d’accès, un SMS sur le mobile, etc.) afin d’accéder au réseau et aux ressources de l’entreprise. Le A2F est désormais courant pour l’accès aux comptes d’utilisation courante – comme Google, LinkedIn, etc. et est également utilisé dans les environnements Windows® et Office 365® et ainsi que pour d’autres outils de collaboration.

Si l’A2F est devenue extrêmement courante, pourquoi tant de PME ne parviennent-elles pas à adopter cette pratique ? Généralement, la perception de ces éléments comme des obstacles résulte du fait que les entreprises se basent sur des informations obsolètes ou inexactes. Par exemple, les PME pensent à tort que l’AMF est réservé aux grandes entreprises. De plus, nombreuses sont celles à penser que sa mise en place est complexe et qu’elle nécessite un investissement élevé, impliquant peut-être du matériel coûteux et des processus compliqués à intégrer dans leur architecture actuelle. Enfin, les PME semblent tout simplement ne pas avoir conscience des méthodes alternatives qui fonctionnent avec l’A2F. Par exemple, certaines n’autorisent pas l‘utilisation des appareils personnels au bureau. Comment obtenir le code si l’utilisateur ne peut pas recevoir de SMS ou s’il ne peut pas avoir accès à son appareil personnel ? Il existe des méthodes alternatives, qui peuvent permettre l’activation de l’A2F ou la réception des codes comme par exemple les appels sur les postes de bureau, les envois de codes sur d’autres dispositifs ou encore les combinaisons de touches, etc.

Comment mettre en place une A2F ?

Comment les PME peuvent-elles envisager l’authentification à deux facteurs ou l’authentification multifactorielle et s’engager sur cette voie ? À quoi doivent-elles s’attendre ? Généralement, plus l’entreprise est petite, plus il est facile de mettre en place un système d’authentification à deux facteurs. Moins il y a de comptes d’utilisateurs et d’administrateurs nécessitant une authentification, et moins il y a de ressources réseau à gérer, plus la mise en œuvre et la gestion sont faciles.

Ensuite, l’activation de l’A2F est actuellement disponible en natif dans Windows et peut être configurée dans Active Directory pour tous les utilisateurs et administrateurs. Il existe également des modules Linux® permettant d’activer l’A2F et de nombreuses solutions logicielles à tous les prix qui s’intègrent facilement dans les environnements Windows, Linux ou macOS®.

Enfin, moins les entreprises ont d’employés, plus il sera rapide de former les membres de leurs équipes. Il est également plus facile de s’assurer de l’achèvement et de l’efficacité de la formation dans une PME que dans une grande entreprise.

Les PME ne doivent pas prendre peur. Il existe de nombreuses aides pour mettre en place une AMF et faire le premier pas vers environnement Zero Trust. Des guides dédiés sont disponibles auprès des institutions officielles comme l’ANSSI et de nombreux fournisseurs sont prêts à les aider dans leur analyse, leur décision, leur acquisition et leur mise en œuvre d’une telle stratégie.