Le désir de renforcer la sécurité informatique a attiré l’attention des gouvernements du monde entier, tous cherchant à protéger les données des consommateurs et des entreprises. Nombre d’entre eux ont proposé une législation visant à faire de la 2FA une exigence obligatoire pour les systèmes informatiques.
Le mot de passe simple a longtemps été une menace pour les systèmes de sécurité informatique. L'augmentation de la complexité et de la longueur des mots de passe peut apporter une protection supplémentaire, mais elle ne peut pas venir à bout des mauvaises habitudes des utilisateurs ou du vol d'informations d'identification. La double authentification (2FA) représente une bonne alternative pour l’augmentation de la sécurité en ajoutant une vérification supplémentaire pour chaque tentative de connexion, ce qui a pour effet de réduire la confiance dans un seul mot de passe.
Rendre la 2FA obligatoire
Le 12 mai 2021, le Président Américain Joe Biden a émis un décret visant à rendre la 2FA obligatoire pour l’ensemble des agences gouvernementales. Les agences fédérales telles que le FBI, le département de la sécurité intérieure et la NSA (National Security Agency) ont eu 180 jours pour mettre en place la 2FA afin de protéger les données.
Au Royaume-Uni, le Centre National de Cybersécurité a émis une directive forte pour les entreprises anglaises face à l’augmentation des menaces provenant d’agences étrangères. Parmi ces recommandations figurait, la mise en place de protection 2FA pour leurs systèmes.
Des exigences de 2FA similaires sont de plus en plus fréquentes dans le monde du travail. La dernière version de la norme de sécurité des données de l'industrie des cartes de paiement exige désormais l'authentification 2FA ou l'authentification multifacteur (MFA) pour les tâches liées au compte, comme certains types de paiements. En ajoutant des exigences de connexion, les fournisseurs sont mieux à même de protéger leurs clients contre la fraude.
D'autres industries traitant des informations personnelles sensibles suivent le même chemin. Aux États-Unis, des initiatives ont été prises pour améliorer la loi sur la portabilité et la responsabilité en matière d'assurance maladie afin d'y inclure des exigences de 2FA. En resserrant l’accès aux données sensibles des patients grâce à une seconde authentification, les fournisseurs peuvent protéger la confidentialité du patient.
Pourquoi les exigences en matière de 2FA sont-elles si importantes ?
Les principaux avantages de la 2FA sont la capacité de renforcer les défenses du périmètre et celle de réduire le risque que des acteurs malveillants accèdent aux systèmes des entreprises ou des administrations. En ajoutant des couches supplémentaires d’identification, les utilisateurs sont plus à même de se protéger et les entreprises peuvent servir de bouclier à leurs clients contre la fraude, le vol d’identité, le chantage et autre perte.
Rendre la 2FA obligatoire au niveau du gouvernement ou de l'industrie encourage les retardataires numériques à mettre à jour leurs systèmes de contrôle d'accès dans l'intérêt de leurs utilisateurs et de leurs clients.
En quoi la 2FA est différente du mot de passe ?
La 2FA ne remplace pas entièrement le mot de passe.
Dans la plupart des cas, vos systèmes, comme Active Directory, exigeront toujours une combinaison d’un nom d’utilisateur et d’un mot de passe.
Le second processus d’authentification intervient une fois les informations de connexion soumises. A ce stade, il sera demandé à l’utilisateur de fournir un deuxième facteur non lié pour confirmer son identité. Il peut s’agir d’une notification instantanée qui va l’inviter à se connecter via une application sur smartphone ou un jeton logiciel connecté à son appareil.
Est-il facile d’éviter la 2FA ?
Il est difficile de contourner la 2FA. Sans accès direct à la seconde méthode d’authentification de l’utilisateur, comme le smartphone, une application ou un jeton logiciel, il est pratiquement impossible de compléter le second niveau du processus de 2FA. Cela rend le système protégé avec la 2FA beaucoup plus difficile à compromettre, et finalement, davantage sécurisé.
Comment pouvez-vous remplir vos exigences en matière de 2FA ?
Comme n’importe quel contrôle de sécurité, le déploiement de la 2FA doit être minutieusement planifié afin de vous assurer qu’elle protège correctement vos appareils. L'un des plus grands défis que vous aurez à relever sera d'activer la 2FA sur les systèmes existants et d'intégrer la technologie à votre environnement actuel. Si vous ne répondez pas à ces questions, il est peu probable que vos nouvelles défenses soient aussi complètes que vous l'auriez espéré.
Lorsque vous préparez l’intégration de la 2FA à vos protocoles de sécurité digitale, il y a d’autres questions que vous devez considérer, notamment :
Quels comptes ont besoin de la 2FA ?
Il peut être tentant d’appliquer la 2FA seulement aux comptes avec un niveau administrateurs ou à ceux ayant des droits leur permettant de faire des changements dans le système et dans les configurations de sécurité. Toutefois, cette approche ne tient pas suffisamment compte des autorisations d'accès aux données. Par exemple, votre responsable des ventes ne doit pas être en mesure de définir les règles de pare feu, par contre il peut accéder aux informations personnelles dans la base client, protégées par la RGPD.
Il faut savoir que les cybercriminels commencent généralement en compromettant un simple système. Puis, ils utiliseront ce système compromis comme point de chute pour une future attaque interne au réseau de l’entreprise. Gagner l’accès à un petit compte offre la possibilité de causer de plus gros problèmes à l’avenir. Idéalement, vous devez empêcher les pirates de prendre pied dans vos défenses.
Pour la protection la plus complète et la plus cohérente, la 2FA doit être une exigence pour l’ensemble des comptes utilisateurs.
Quel facteur de 2FA devez-vous utiliser ?
Les facteurs de 2FA ne sont pas tous égaux, et certains sont intrinsèquement plus sécurisés que d’autres. Les codes par SMS sont populaires parce qu’ils sont simples et rapides à mettre en place, mais ils ne sont pas aussi sûrs (lien en anglais) qu’un jeton logiciel ou une application d’authentification.
Par exemple, un virus portable peut lire les SMS d’un téléphone compromis, qui peut transmettre au pirate une capture du jeton 2FA. L'utilisation d'une application d'authentification sécurisée dans un sandbox, comme Google Authenticator ou Microsoft Authenticator, est beaucoup plus sûre. Une fois l'application ouverte, une confirmation chiffrée est transmise au système de l'utilisateur sans intervention humaine.
Devriez-vous personnaliser votre offre de 2FA ?
La sécurité des réseaux est un exercice d'équilibre qui consiste à protéger les systèmes contre les accès non autorisés sans nuire de manière significative à la productivité des utilisateurs. Il est peu probable que la même exigence de 2FA soit requise pour les différents types de connexion, les différents lieux et les différents types d’employés.
Un bon point de départ est de cartographier les différents points d’authentification sur votre réseau et les systèmes qu’ils impactent. Cela vous aidera à comprendre vos exigences en matière de 2FA et comment déployer au mieux la technologie.
La 2FA en passe de devenir inévitable
La réalité c’est que les entreprises de toute taille doivent améliorer les dispositions relatives à la sécurité des données afin de mieux protéger leurs opérations et leurs clients. Les cadres de bonnes pratiques de l’industrie et les législations, poussent de plus en plus les entreprises dans la bonne direction. En outre, les clients sont plus conscients que jamais des risques en ligne et ils exigent que leurs données soient protégées contre la perte ou le vol.
C'est pourquoi il est judicieux, d'un point de vue stratégique, de réfléchir aux exigences actuelles de la 2FA et de planifier sa mise en œuvre future. À terme, la 2FA deviendra un élément nécessaire et inévitable de la conduite des affaires.