octobre 18, 2021

Les mythes sur l’authentification à deux facteurs

Comme vous le savez maintenant, les données des entreprises peuvent être compromises assez facilement et représentent l’une des menaces les plus dangereuses pour toute organisation. Ce qui le rend extrêmement dangereux, c’est la difficulté à détecter l’une de ces attaques. La difficulté vient du fait qu’une fois qu’un hacker compromet un ensemble d’identifiants, il peut accéder à votre réseau avec des identifiants valides. Cela signifie que les outils de sécurité que vous avez mis en place ne signaleront rien de suspect, car ils croiront que la personne qui se connecte est bien celle qu’elle prétend être.

L’authentification multifactorielle permet de relever cet immense défi. C’est l’une des mesures les plus efficaces à mettre en place contre les accès non autorisés. Sans AMF en place, vos autres contrôles de sécurité peuvent malheureusement être contournés.

La plupart des entreprises connaissent le risque, mais ne le prennent pas assez au sérieux. Il y a quelques années, seules 38% des entreprises disaient utiliser l’AMF selon nos recherches. Ce qui est plus inquiétant, c’est que selon certaines études plus récentes, les choses n’ont pas tellement changé aujourd’hui. Pourquoi en est-il ainsi ?

L’AMF ne devrait être mise en œuvre que dans les grandes entreprises

De nombreuses organisations estiment que leur entreprise est trop petite pour utiliser l’AMF. Or, ce n’est pas vrai. L’AMF peut et doit être utilisée par toute entreprise, quelle que soit sa taille. Si vous y réfléchissez bien, les données que les petites entreprises veulent protéger sont tout aussi importantes que celles de n’importe quelle grande entreprise. L’AMF peut être adaptée aux besoins des petites entreprises, elle n’a pas besoin d’être complexe ou coûteuse.

L’AMF ne doit être utilisée que pour protéger les utilisateurs privilégiés

La deuxième chose que de nombreuses organisations pensent est qu’elles ne devraient utiliser l’AMF que pour leurs utilisateurs les plus privilégiés. Ce n’est pas vrai non plus. Elle devrait être utilisée pour protéger chaque utilisateur au sein d’une organisation. Pourquoi cela ? Eh bien, de nombreux utilisateurs n’ont pas accès à des données critiques, mais ils ont quand même accès à des données qui pourraient être utilisées de manière inappropriée et qui pourraient nuire à l’organisation. De plus, la plupart des pirates ne commencent pas avec un compte privilégié, ils profitent généralement d’une cible facile de bas niveau pour se déplacer ensuite latéralement au sein du réseau.

L’AMF n’est pas parfaite

Soyons honnêtes, en matière de sécurité informatique, la perfection n’existe pas. Mais vous devez comprendre que l’AMF est assez proche. Certaines attaques ont montré que l’AMF pouvait être contournée. Le FBI a émis un avertissement à propos de ces attaques. Deux vulnérabilités des authentificateurs en étaient la cause : Le “Channel Jacking”, qui consiste à s’emparer du canal de communication utilisé par l’authentificateur, et le “Real-Time Phishing”, qui consiste à utiliser une machine intermédiaire qui intercepte et rejette les messages d’authentification. Toutefois, ces attaques nécessitent beaucoup d’argent et d’efforts. C’est pourquoi la plupart du temps, les pirates qui rencontrent l’AMF changent de victime et essaient d’en trouver une plus facile.

Malgré ce qui s’est passé, le FBI pense toujours que l’AMF est très efficace.

L’AMF est trop perturbatrice

La mise en œuvre d’une nouvelle solution pose un défi : éviter de perturber la productivité des employés. Si vous n’en tenez pas compte, la solution ne sera jamais adoptée par ses utilisateurs. C’est la raison pour laquelle l’AMF doit être flexible et adaptée aux besoins de chaque organisation. Ce que vous pouvez faire, c’est combiner l’AMF avec des contrôles contextuels pour vérifier davantage l’identité sans perturber la productivité.

Des erreurs d’identification peuvent survenir pour chaque utilisateur, qu’il soit privilégié ou non. C’est pourquoi l’AMF devrait faire partie de la stratégie de sécurité de toute entreprise, quelle que soit sa taille.