Blog GlobalSign

09 févr. 2018

Authentification multifacteur : gros plan sur les avantages

Si le mot de passe reste probablement la mesure de sécurité la plus courante et la plus appréciée, c’est aussi la plus vulnérable. D’après les chiffres de 2016, les pirates et cybercriminels en quête d’identités à voler représentent la principale source de violations de données. Comment réagissent la plupart des entreprises face aux menaces ou à une violation de données avérée ? Elles changent les mots de passe de leurs utilisateurs.

Pourtant, les mots de passe présentent de nombreuses limites. En premier lieu, ils ne fournissent pas une preuve d’identité suffisante. Quiconque s’empare du mot de passe d’un compte peut simplement y accéder et en extraire des informations à volonté. La sécurité des comptes repose alors uniquement sur la robustesse des mots de passe qui, comme chacun sait, est en général insuffisante. Personne n’aime mémoriser des chaînes de caractères mêlant majuscules, minuscules, chiffres et caractères spéciaux. Les utilisateurs veulent quelque chose de simple et facile à retenir, mais qui se trouve, par la même occasion, facile à pirater.

D’où l’engouement des entreprises pour l’authentification multifacteur (MFA, Multi-Factor Authentication) en complément des mots de passe pour le contrôle des accès ou, dans certains cas, comme alternative. Reste à savoir en quoi consiste cette méthode.

Qu’est-ce l’authentification multifacteur ?

Dans un billet de blog de 2016, Petteri Ihalainen définissait de manière très détaillée l’authentification multifacteur. En résumé, il s’agit d’identifier un utilisateur en ligne en validant au moins deux preuves fournies par cet utilisateur – chacune appartenant à une catégorie distincte de facteurs. Peut-être avez-vous également entendu parler de variantes comme l’authentification renforcée, l’authentification avancée, la vérification en deux étapes, ou encore l’authentification à deux facteurs.

La méthode MFA s’appuie sur trois éléments de base possibles :

  • a) une information connue de l’utilisateur, comme un mot de passe ou un code PIN ;
  • b) un objet que l’utilisateur possède, comme un appareil mobile ; et
  • c) un élément unique, propre à l’utilisateur, comme son empreinte digitale, son iris ou sa voix.

L’authentification multifacteur repose sur l’idée qu’aucun facteur n’est parfait. Chaque facteur implémenté présente des points forts et des points faibles. Mais un deuxième ou un troisième facteur viendra compenser les limites du ou des autres, et inversement.

Après avoir revu les bases de l’authentification multifacteur, plongeons au cœur de ses avantages.

Avantages de l’authentification multifacteur

Sécurité renforcée

Comme mentionné plus haut, cette méthode repose sur l’idée que chaque facteur vient compenser les faiblesses des autres. Par exemple, les facteurs d’authentification correspondant à « une information connue de l’utilisateur », comme les mots de passe et les codes PIN, peuvent se révéler vulnérables aux attaques par force brute (découverte du mot de passe par les pirates) ou par ingénierie sociale. Pour pallier ces limites, il est possible d’ajouter un facteur d’authentification plus difficile à deviner, comme « un objet que l’utilisateur possède » (appareil mobile), ou « un élément unique, propre à l’utilisateur » (facteur biométrique : empreintes, voix, etc.). Sans disposer de l’ensemble des facteurs requis par le système, le hacker ne pourra pas accéder au compte.

Mise en conformité

Outre le chiffrement des données, de nombreuses normes — nationales, européennes ou autres — contraignent généralement certaines entreprises à implémenter l’authentification multifacteur. C’est surtout le cas lorsqu’elles doivent protéger des informations sensibles comme des données financières ou à caractère personnel. L’implémentation de l’authentification multifacteur fait alors partie intégrante de leur mise en conformité.

D’autre part, même si la norme en question ne mentionne pas précisément la méthode MFA, l’authentification multifacteur pourra malgré tout constituer la meilleure option. C’est le cas, par exemple, du Health Insurance Portability and Accountability Act (HIPAA). Sans précisément exiger une implémentation MFA, de nombreuses dispositions des sous-parties de la Security Rule insistent sur le besoin d’un processus d’authentification renforcée. En d’autres termes, l’authentification multifacteur.

Toutefois, l’une des priorités devrait également porter sur le choix des bons facteurs d’authentification. L’année dernière, le NIST (National Institute of Standards and Technology) a mis à jour ses recommandations pour l’utilisation de l’authentification multifacteur. Désormais, les méthodes de vérification hors bande comme le réseau RTCP, les SMS et les appels vocaux sont déconseillées du fait du risque d’interception de ce type de communications.

Il est par conséquent hors de question de baser votre implémentation MFA uniquement sur les règles de mise en conformité. Ne croyez pas qu’en vous contentant de respecter les exigences réglementaires, vous allez renforcer votre sécurité. Vous devez, au contraire, vous assurer que la méthode utilisée fasse partie des méthodes recommandées. Plus qu’une simple mise en conformité, poursuivez toujours un objectif de protection de vos données et de vos systèmes.

Connexions simplifiées

À première vue, l’authentification multifacteur semble compliquer les connexions aux comptes. Mais, en réalité, la protection renforcée qu’offre cette méthode permet aux entreprises d’utiliser des options de connexion plus avancées comme l’authentification unique (SSO).

La méthode SSO valide l’identité de l’utilisateur par authentification multifacteur lorsqu’il se connecte. Une fois authentifié, l’utilisateur est connecté à son logiciel SSO. Il peut par la suite accéder aux applications prises en charge par ce logiciel, sans avoir à se connecter à chacune séparément.

Ce scénario rend l’authentification multifacteur plus pratique… alors, qu’en temps normal, le processus de connexion peut vite lasser les utilisateurs. Ces derniers en ont en effet assez de devoir se connecter à différents comptes. Et l’authentification multifacteur ne fait que leur compliquer la tâche. Mais, associée à l’authentification unique, une seule instance MFA peut couvrir toutes les applications dont l’utilisateur a besoin.

Authentification multifacteur : une composante essentielle de la cybersécurité

À l’heure où les violations de données s’amplifient et se multiplient, les entreprises prennent de plus en plus conscience de cette menace. Heureusement, cette année, avec l’essor des communications cloud, nombre d’entre elles ont fait de la cybersécurité une priorité absolue. Face à ces préoccupations, la plupart implémentent l’authentification multifacteur. De fait, avec un taux de croissance annuel cumulé de 15,52 %, le marché MFA devrait peser 12,51 milliards de dollars d’ici 2022. Ces chiffres prouvent que, pour beaucoup, l’authentification multifacteur fait partie des mesures de sécurité les plus efficaces pour protéger leur entreprise, leurs utilisateurs et leurs données sensibles.

À propos de l’auteur

Mark Dacanay est un professionnel du Marketing Digital en poste depuis plus de 5 ans dans une entreprise B2B de services cloud. C’est un véritable passionné des technologies cloud qui n’a pas la tête dans les nuages. Vous pouvez le joindre sur Twitter et LinkedIn.

Note : ce billet de blog a été écrit par un rédacteur externe afin de varier les contenus proposés à nos lecteurs. Les opinions exprimées par l’auteur de cet article sont exclusivement les siennes et ne reflètent pas nécessairement les opinions de GlobalSign.

Partager ce blog