L’authentification forte renforce la sécurité des entreprises
Temps de lecture : 5 minutes
Publié le 27 juin 2022
Vous est-il déjà arrivé de retrouver vos identifiants et vos mots de passe exposés sur le Web et détournés par des cybercriminels ? À l’échelle d’une entreprise, cette action qui consiste à compromettre l’identité d’un utilisateur peut avoir des conséquences dramatiques ! Lorsqu’elles sont volées ou compromises, les identités des collaborateurs ouvrent les portes de l’entreprise aux pirates informatiques. Une fois au cœur du réacteur, ils peuvent mener des actions malveillantes à loisir. Renforcer la protection de ces identités s’impose alors comme une évidence. Et pour ce faire, nombreuses sont les organisations qui se tournent désormais vers l’authentification forte couplée à une démarche de gestion des terminaux et applications pour mieux se prémunir.
Yann Duchenne, expert des stratégies Zero Trust et conseiller en cybersécurité au sein de Microsoft EMEA, et Thibault Renard, Cloud Endpoint Technology Specialist au sein de Microsoft France, nous en disent davantage sur ces technologies. Ils nous expliquent en quoi elles deviennent des fondamentaux de la cybersécurité des entreprises.
L’authentification forte : pour vivre protégés, vivons outillés
Cumuler les facteurs d’authentification pour accroître la confiance
L’authentification forte – également appelée « MFA » pour « Multifactor Authentication » – permet d’augmenter le niveau de confiance attribué à un individu lorsque celui-ci se connecte à une application, un site web ou une ressource de l’entreprise. « Aujourd’hui, les connexions réalisées uniquement avec la combinaison identifiant-mot de passe ne suffisent plus pour s’assurer qu’il s’agit bien de la bonne personne derrière l’identité utilisée » déclare Yann Duchenne. L’authentification forte entre en jeu, car elle apporte les moyens supplémentaires et nécessaires pour garantir l’intégrité d’une identité. « L’idée est de permettre aux utilisateurs de se servir d’équipements qu’ils possèdent comme une clé USB ou un smartphone par exemple. Mais encore d’utiliser leurs caractéristiques biométriques pour s’authentifier » précise Yann Duchenne.
En cumulant de cette façon les facteurs d’authentification, les entreprises ajoutent un niveau de protection et d’assurance qui leur est indispensable. D’autant plus nécessaire à l’heure où les menaces cyber se font toujours plus prégnantes. L’authentification forte a aussi ceci d’intéressant qu’elle n’est requise que dans certaines situations. C’est ce que l’on nomme l’accès conditionnel. « L’authentification forte permet d’identifier les populations par types d’équipements, par niveaux de risque ou encore par géolocalisations. Pour définir ensuite les données, ressources et applications auxquelles ces populations sont autorisées à accéder ou non » détaille-t-il.
Déployer une stratégie de gestion des terminaux et applications
À cette dynamique vertueuse vient s’ajouter la gestion des accès aux terminaux et applications, autre fer de lance de la gouvernance des identités. « Les organisations qui s’attèlent à la gestion de leurs terminaux et applications réduisent la surface d’attaque car elles sont en capacité d’évaluer la conformité de leurs différents équipements » indique Thibault Renard.
« Pour que la démarche soit pleinement efficace, il faut pouvoir l’évaluer en temps réel et en continu afin de s’assurer que les accès conditionnels préalablement définis soient toujours pertinents » complète l’expert. Pour les entreprises, cette gestion fine ajoute un niveau de granularité qui rend le pilotage des identités et les accès aux différentes ressources encore plus efficaces.
Comprendre les enjeux de cybersécurité et l’application de l’authentification forte
Compromission d’identités, tous concernés
Mots de passés exposés sur le Dark Web, déploiements de ransomwares sur les réseaux de l’entreprise, vol de données étatiques… Ces scénarios catastrophes pourtant bien réels peuvent avoir un même dénominateur commun : la compromission d’identités. En effet, « le vol d’identité est indéniablement le risque initial le plus important pour les organisations. Si un attaquant dérobe une identité, il sera en mesure de réaliser, à des fins malveillantes, toutes les actions conférées à celle-ci ».
L’instauration d’une politique d’authentification forte prend alors tout son sens, surtout quand on sait que le MFA permet aux entreprises de se prémunir de 99,9 % des attaques informatiques.
Si plusieurs acteurs comprennent l’intérêt d’un tel dispositif, il reste du chemin à parcourir pour un certain nombre d’organisations. « Il y a tout un travail d’évangélisation à réaliser pour susciter l’intérêt des entreprises et leur faire prendre conscience qu’elles doivent êtres actrices de leur sécurité et véritablement s’intéresser à ce sujet » analyse Thibault Renard.
Une prise de conscience qui doit s’opérer à tous les étages et non pas uniquement au sein des équipes IT et des DSI. « On dit souvent que la sécurité repose sur le tryptique individus-processus-technologies et fonctionne si les entreprises disposent des bons individus avec les bonnes compétences, capables de prendre les bonnes décisions. En d’autres termes, cela signifie que le facteur humain est capital » interpelle Yann Duchenne. Il estime que tous les collaborateurs doivent se sentir concernés par ces enjeux et adopter le bon niveau de vigilance en conséquence.
Vers un futur sans mots de passe ?
Aujourd’hui, la priorité est d’accompagner les entreprises dans la mise en place de stratégies de MFA et d’exploiter toutes les capacités de l’authentification forte en réponse aux menaces cyber. Demain, cette démarche ira encore plus loin et l’authentification entrera dans une nouvelle ère, celle de l’approche sans mots de passe, dite « passwordless ».
« L’approche passwordless fonctionne et a d’ores et déjà démontré son utilité. Elle facilite la vie des utilisateurs et offre un niveau de sécurité encore plus élevé que l’authentification forte » s’enthousiasme Thibault Renard. Un procédé innovant, dont Microsoft entend se saisir. Le but est qu’à terme, chacun puisse accéder aux services et technologies de la firme sans avoir à se munir d’un mot de passe. En 2021, Microsoft a d’ailleurs testé le passwordless sur ses comptes grand public. Aujourd’hui, les utilisateurs peuvent choisir de s’y connecter avec leurs identifiants ou bien à l’aide de cette approche.
Selon Yann Duchenne, il est « encore trop tôt pour espérer faire disparaitre les mots de passe du monde de l’entreprise car le mot de passe est encore aujourd’hui très ancré dans la gestion des accès, notamment applicactifs ». Néanmoins, Microsoft ambitionne d’ores et déjà – et à court terme – de rendre le passwordless généralisable. Et ce, au bénéfice d’une meilleure expérience utilisateur et d’une meilleure sécurité pour toute l’entreprise.
