Actu
Pas de cybersécurité sans clé de sécurité
juin 2023 par Fabrice de Vésian, Sales Manager France chez Yubico
Les cybermenaces visant les entreprises ou bien les particuliers n’ont jamais été aussi nombreuses. Selon une récente étude menée par Yubico, 80 % des salariés en France indiquent avoir été exposés à une cyberattaque dans leur vie personnelle au cours des douze derniers mois, soit le taux le plus élevé d’Europe, et 61 % en ont été victimes au travail.
Fabrice de Vésian, Sales Manager France chez Yubico, revient plus particulièrement sur la question de l’authentification multifacteur comme moyen de lutte contre les cybermenaces, expliquant pourquoi les différentes méthodes ne se valent pas avant d’aborder plus en détails les clés de sécurité matérielles :
« En France, seules 8 % des entreprises ont adopté l’authentification multifacteur pour toutes les applications et services, ce qui est très faible, d’autant plus que toutes les méthodes ne se valent pas, certaines étant susceptibles d’être interceptées ou détournées par les cybercriminels. Encore trop d’organisations s’appuient en effet sur des moyens dépassés et vulnérables pour accéder à leurs comptes numériques, tels que la combinaison d’identifiants et de mots de passe, l’authentification mobile par SMS, les gestionnaires de mots de passe, ou encore les mots de passe à usage unique. Pour beaucoup d’entreprises, la prise de conscience des risques et des enjeux de la cybersécurité est avérée, mais il y a encore du chemin à parcourir pour la mise en place de moyens permettant de lutter efficacement contre ces cybermenaces.
Les employés, quel que soit leur rôle au sein de l’entreprise, sont la plus grande force ou la plus grande faiblesse de la cybersécurité, mais dans la plupart des cas, ils ne sont pas équipés pour être des cyberdéfenseurs efficaces. Le manque d’éducation et de formation sont encore souvent observés. La preuve, 60 % des salariés en France ont écrit ou partagé leur mot de passe, une pratique qui augmente considérablement les risques de piratage. Cette tendance rend encore plus importante l’adoption par les entreprises d’une méthode d’authentification multifacteur résistante aux attaques et permettant une vérification sûre de l’identité, afin d’empêcher toute vulnérabilité susceptible d’ouvrir la voie royale vers les données et les ressources de l’entreprise.
Bien qu’étant utilisées par seulement 17 % des employés en France, les clés de sécurité matérielles représentent l’une des solutions les plus fiables en matière d’authentification multifacteur, car elles suppriment totalement le risque d’attaques à distance. Elles sont en effet basées sur la cryptographie à clé publique, et ne nécessitent aucun partage de code. La surface d’exposition est donc très réduite. Les clés de sécurité rendent l’authentification insensible aux tentatives de phishing et les comptes inaccessibles à tous, sauf à la personne qui possède la clé ; contrairement à un smartphone, dont les codes, même uniques, peuvent être interceptés, ou bien qui peut lui-même être infecté par un malware, sans compter sur l’impossibilité de l’utiliser en cas de batterie déchargée.
Certaines entreprises hésitent encore à franchir le pas de l’adoption à grande échelle de clés de sécurité matérielles pour l’ensemble de leurs collaborateurs, notamment parce qu’elles imaginent un processus complexe en cas de perte ou de vol, ce qui n’est pas avéré. Dans un tel scénario, la révocation de la clé perdue ou dérobée peut alors être envisagée, ce qui rend son utilisation impossible. Les outils permettent tous de s’authentifier de manière temporaire avec une autre méthode, le temps de récupérer une autre clé dans les locaux de l’entreprise par exemple, pour les profils n’ayant pas de clé de secours. Au moment où les organisations commencent à considérer la généralisation de l’authentification multifacteur à l’ensemble des applications et des services, il est primordial qu’elles comparent les forces et les faiblesses du second facteur, et qu’elles en connaissent tous les tenants et aboutissants.
Les entreprises doivent prendre au sérieux l’authentification multifacteur. C’est le premier domaine sur lequel il faut se concentrer pour protéger ses données, même les plus sensibles, et ses ressources, le plus important et celui qui a le plus d’impact dans le cadre d’une stratégie globale de sécurité. Et, comme le révèlent les données de l’enquête, c’est un domaine qui n’est pas toujours à la hauteur des cybermenaces. Au sein des entreprises françaises, la prise de conscience de l’importance de la cybersécurité ne s’accompagne pas encore de l’engagement nécessaire pour mettre en œuvre une authentification plus forte. Ces résultats soulignent ainsi la nécessité pour les organisations d’améliorer leur cybersécurité tout en éduquant leurs employés sur la manière de se protéger en ligne, au-delà de l’utilisation des identifiants et des mots de passe. Dans cette quête, les clés de sécurité font aujourd’hui partie des moyens les plus sûrs et qui permettront à termes aux entreprises de répondre aux enjeux de la cybersécurité. »
