Pourquoi déployer la MFA à l’ensemble des utilisateurs ?
mai 2022 par François Amigorena, Fondateur et PDG d’IS DECISIONS
Prévenir les violations de données et protéger efficacement les accès à l’heure où les risques de cybersécurité se multiplient, représentent un réel enjeu pour les entreprises. L’authentification multifacteur (MFA) reste donc l’un des moyens les plus efficaces pour combattre les menaces. Bien qu’elle ait pris de l’ampleur ces deux dernières années, la MFA n’est toujours pas la norme. Pourquoi ? Parce que les entreprises ne comprennent pas toujours la valeur ajoutée de la MFA et comment la mettre en place, par conséquent, l’adhésion complète prend du temps.
Les géants de l’informatique la rendent obligatoire
Fausse croyance, frustration, confusion ou encore fainéantise sont autant de raisons courantes poussant la plupart des personnes à travers le monde à ignorer la possibilité de mettre en place la double authentification (2FA). A savoir que moins de 10% des comptes Google sont protégés par une double authentification, et seulement 12 % des américains utilisent un gestionnaire de mot de passe.
Résultat, de nombreux géants informatiques repensent leur sécurité : Salesforce impose l’authentification multifacteur, Google va activer la 2FA à des millions d’utilisateurs, la filiale d’Amazon Ring oblige la 2FA pour ses clients.
Pourquoi les entreprises tardent à adopter la MFA ?
A l’instar des particuliers, les entreprises mettent également du temps à adopter l’authentification multifacteur, continuant de croire aux mythes considérant la MFA comme un outil réservé :
• Aux grandes entreprises et grands groupes, ou
• Aux utilisateurs les plus privilégiés : comptes administrateurs du domaine ou en local, les comptes AD (Active Directory) ou à ceux qui ont plus de droits que l’ensemble du réseau.
Pourtant, que vous soyez un grand groupe ou une petite entreprise, vos données sont tout autant sensibles et doivent être protégées de manière identique.
La question de savoir si la MFA doit être réservée aux comptes les plus privilégiés mérite d’être examinée de plus près.
La protection au-delà des comptes privilégiés
La protection des comptes « moyens » a longtemps été oubliée. Néanmoins avec le passage massif des entreprises vers un environnement hybride comprenant le réseau sur site et le cloud, l’accent a changé.
En effet, chaque entreprise a un degré différent, mais vous réduirez les risques en étendant les mesures de sécurité autant que possible aux « non-privilégiés »
L’importance du moindre privilège
Le principe du moindre privilège (né en 1999) est le fait de limiter l’accès des utilisateurs aux simples données, applications et systèmes dont ils ont besoin dans le cadre de leurs missions. Les menaces étant de plus en plus importantes, le principe du moindre privilège est d’autant plus pertinent pour la stratégie de sécurité de votre entreprise.
– Les comptes utilisateurs servent de levier aux attaques externes pour prendre le contrôle des terminaux, se déplacer dans le réseau pour finalement atteindre les données sensibles préalablement ciblées.
– Les initiés tirent parti de leur propre accès accordé ou d’autres comptes compromis pour exploiter les données et les applications à des fins malveillantes.
Etendre la MFA à l’ensemble des utilisateurs
La réelle valeur de la MFA réside dans la protection de l’ensemble des comptes ayant accès à des données ou à des applications sensibles. Chaque utilisateur ayant des droits et des privilèges spécifiques à ses fonctions, tous les utilisateurs sont alors des utilisateurs privilégiés.
Préparer son déploiement pour réussir la mise en place de la MFA
Instaurer la mise en place de la MFA pour l’ensemble de vos utilisateurs demandera forcément plus de temps que pour les comptes privilégiés uniquement. Le secret, c’est la préparation ! Quelle que soit la taille de votre entreprise, voici 6 conseils pour réussir votre déploiement :
– La sécurisation des connexions améliore considérablement votre position de sécurité
– Faites-en sorte que la MFA ne soit pas contrariante pour les départements informatiques
– La MFA doit concilier sécurité et productivité des utilisateurs
– Eduquez et donnez à vos utilisateurs les moyens de soutenir la MFA
– La MFA n’est pas seulement pour les utilisateurs privilégiés
– Obtenir l’engagement et l’adhésion de la direction
Exploiter la puissance de la MFA
Bien que les obligations de Google, Salesforce ou encore Amazon poussent les entreprises à adopter la MFA, une réelle augmentation ne viendra qu’avec un changement fondamental dans la posture de sécurité des entreprises. Plus les entreprises comprennent l’importance d’appliquer le principe de moindre privilège et de la gestion des comptes privilégiés à l’ensemble des comptes utilisateurs, plus elles comprendront l’avantage de sécuriser les connexions de tous les utilisateurs. Elles devront alors trouver un équilibre entre la productivité des employés et la sécurité. Et dès que ce sera le cas, préparez-vous à voir une explosion des demandes de MFA granulaires et personnalisables.
contact : info@isdecisions.com
François Amigorena est le fondateur et PDG de IS Decisions, et un commentateur expert sur les questions de cybersécurité. IS Decisions est un éditeur de logiciels spécialisé dans les solutions de gestion d’infrastructure et de sécurité pour Microsoft Windows et Active Directory.
Articles connexes:
- Julien Birène, SYNETIS : L’approche orientée risques s’impose en matière de GRC
- Cyril Patou, Clear Skye : La gestion des identités doit être au cœur des stratégies pour pouvoir adopter une approche de Zero Trust
- Christophe Grangeon, USERCUBE : la mise en place d’une solution IGA nécessite de relever un double défi technique et organisationnel
- Le cloud grand gagnant des projets d’IAM du 21ème siècle ?
- Hervé Liotaud, SailPoint : l’IAM devient le cœur même de chaque stratégie de sécurité d’entreprise
- Fabrice Bérose, Ilex International : découvrez la puissance de la plateforme Ilex International