La MFA est la meilleure défense des entreprises pour se protéger contre l’explosion du coût des fuites de données. Pour les spécialistes expérimentés de l’IT, la question n’est pas de savoir s’il faut appliquer la MFA, mais plutôt de savoir quelle est la méthode la plus efficace.
L’efficacité de votre stratégie de MFA repose sur la méthode d’authentification que vous choisissez de proposer à vos équipes. Les possibilités sont nombreuses, mais votre choix dépendra probablement de votre budget, de vos besoins de sécurité et de la facilité d’utilisation de la méthode.
Dans cet article, nous examinons les avantages et les inconvénients des méthodes d’authentification les plus populaires afin de vous aider à faire le bon choix pour votre entreprise.
Notifications push
Les applications mobiles de notifications Push font partie des méthodes de MFA les plus populaires. À chaque tentative de connexion à un système de l’entreprise ou à une application cloud, l’utilisateur final reçoit une notification sur son smartphone. Il lui suffit d’autoriser ou de refuser la tentative. Cette méthode offre un bon équilibre entre sécurité et expérience utilisateur grâce à l’autorisation d’une simple pression sur l’écran.
UserLock prend en charge les notifications push avec l’application UserLock Push.
Avantages des notifications push
Une connexion sécurisée
Les notifications push mobiles offrent une couche de sécurité supplémentaire pour vérifier l’identité des utilisateurs. La MFA par notifications push invite les utilisateurs à approuver ou à refuser les tentatives de connexion sur un appareil qui leur appartient. Il est ainsi beaucoup plus difficile pour les cybercriminels d’accéder aux comptes ou aux données sensibles.
Une vérification en temps réel
Les notifications push génèrent un mot de passe à utilisation unique (OTP, one-time passcode) à chaque tentative de connexion. Le processus d’authentification se déroule en temps réel et requiert une confirmation avant d’autoriser la tentative de connexion. Même dans le cas où un attaquant s’est emparé du nom d’utilisateur et du mot de passe d’un utilisateur, il lui sera quand même difficile de valider ce processus d’authentification en temps réel.
Un processus fluide
Plus de 2/3 de la population mondiale possède un appareil mobile. Les notifications push sont donc à la portée de presque tout le monde. Il suffit aux utilisateurs d’approuver ou de refuser la demande d’authentification sur leur appareil mobile : inutile de saisir un code manuellement ou de transporter un jeton physique.
Une autorisation plus forte
En plus d’authentifier les utilisateurs, les notifications push peuvent également servir à autoriser des actions spécifiques. Par exemple, vous pouvez exiger l’envoi d’une notification push pour approuver les connexions administrateur ou les transactions de forte valeur. En combinant authentification et autorisation, les notifications push offrent un niveau de sécurité plus élevé que d’autres méthodes d’authentification à deux facteurs.
Une sécurité renforcée par les appareils mobiles
Les fonctionnalités de sécurité intégrées aux appareils mobiles, comme l’authentification biométrique par reconnaissance faciale ou par empreinte digitale, renforcent la protection avant même d’accéder à la notification push. Fondamentalement, il faut passer un niveau d’authentification supplémentaire pour pouvoir valider la notification push. D’autres fonctionnalités de sécurité propres aux appareils mobiles, comme le chiffrement du matériel et les services de localisation, contribuent également à éviter les connexions non autorisées.
Jetons et clés physiques
Les jetons et clés physiques sont des dispositifs de MFA sécurisés et portables qui génèrent un code OTP pour chaque tentative de connexion. Associé au mot de passe de l’utilisateur, ce code permet à ce dernier de vérifier son identité et d’accéder à un système ou une application.
Les secteurs d’activité particulièrement sensibles, comme la finance, la santé ou l’administration publique, ont souvent recours aux jetons physiques pour se prémunir contre les fuites de données coûteuses et aux exigences de conformité. S’agissant d’un équipement matériel dédié, il est extrêmement peu probable qu’un cybercriminel sera en mesure de voler à la fois le mot de passe d’un utilisateur et son dispositif physique de MFA. Ainsi, les jetons et les clés physiques comptent parmi les méthodes de MFA les plus sûres du marché.
Parmi les méthodes de MFA prises en charge par UserLock, on retrouve des solutions matérielles populaires comme YubiKey et Token2.
Avantages des jetons et clés physiques
Protection hors ligne
Les jetons et les clés physiques ont l’avantage de fonctionner dans les situations où aucune connexion à Internet n’est disponible. Vous disposez ainsi d’une couche de sécurité supplémentaire dans les scénarios où la communication en ligne n’est pas possible. Les jetons physiques représentent une solution de MFA populaire dans les secteurs où les employés voyagent beaucoup ou ne disposent que d’un accès limité à Internet, comme dans l’industrie manufacturière ou le transport.
Une fiabilité renforcée
Les jetons physiques font partie des méthodes de MFA les plus difficiles à pirater. Ces jetons prennent généralement la forme de petits dispositifs portables confiés aux utilisateurs légitimes. Beaucoup d’entre eux utilisent des mots de passe à usage unique basés sur le temps (TOTP) pour rendre encore plus difficiles les tentatives d’accès non autorisées.
Réduction du risque d’attaques de phishing
Les jetons et clés physiques offrent une protection robuste contre les attaques de phishing. On estime que le phishing est responsable d’environ 12 % de toutes les fuites de données, les attaquants se faisant passer pour des sites Web ou des services légitimes pour obtenir les identifiants d’utilisateurs. Mais s’ils ne disposent pas du jeton matériel, les cybercriminels se retrouvent dans l’impossibilité de compléter le processus de MFA et ne pourront pas accéder aux comptes volés.
Un chiffrement plus fort
Les jetons matériels de MFA sont intégrés aux dispositifs physiques. Ils ne partagent aucun composant matériel avec d’autres applications ou logiciels et ils ne se connectent au monde extérieur pour aucune autre raison. Ainsi, par nature, ils sont moins vulnérables aux tentatives d’altération, aux virus ou aux interférences extérieures que d’autres méthodes de MFA qui se basent sur un appareil multifonction.
Polyvalence
Les jetons physiques sont également extrêmement polyvalents. On les utilise dans de nombreux secteurs d’activités et dans un large éventail de scénarios de gestion des identités et des accès, par exemple, en complément d’un mot de passe, pour fournir un second facteur d’authentification en vue d’approuver les transactions. Comme ils ne requièrent aucun accès à Internet, les jetons et clés physiques permettent également aux personnels de se connecter de façon sécurisée partout où ils travaillent.
Comparatif jetons et clés physiques/notifications push
Les jetons et clés physiques offrent un excellent niveau de protection. Leurs clés de sécurité sont générées sur des dispositifs dédiés qui sont exclusivement détenus par les utilisateurs autorisés, ce qui les protège contre diverses menaces, comme l’accoutumance à la MFA et l’erreur humaine. Pour cette raison, ils constituent généralement la méthode de MFA idéale pour les secteurs d’activité réglementés et sensibles. Toutefois, les utilisateurs doivent se trouver en possession de leur dispositif à tout moment, sous peine de se voir refuser l’accès aux systèmes.
À ce titre, les notifications push représentent une forme d’authentification plus conviviale. Elles permettent aux utilisateurs de compléter le processus de MFA depuis leur appareil mobile, ce qui rend la vérification particulièrement simple et fluide. Les appareils mobiles sont cependant plus faciles à pirater que les jetons physiques.
Avant de prendre votre décision, souvenez-vous que les notifications push comme les jetons physiques offrent un niveau de protection considérable. Mais ces deux méthodes ont chacune leurs particularités. Généralement, la décision se résume à choisir entre sécurité et praticité. Les entreprises qui souhaitent bénéficier du degré de protection le plus élevé possible se tourneront plutôt vers les jetons physiques. À l’inverse, celles qui cherchent à trouver le bon équilibre entre sécurité et facilité d’utilisation pourront opter pour les notifications push. UserLock propose ces deux méthodes de MFA et vous laisse choisir celle qui répond le mieux à vos besoins.
Applications d’authentification
Les applications d’authentification pour MFA sont un moyen facile et sûr d’ajouter une couche de protection supplémentaire à vos comptes utilisateur. Les applications se téléchargent sur l’appareil mobile des utilisateurs et génèrent des mots de passe à usage unique basés sur le temps pour appliquer un deuxième niveau de vérification.
UserLock prend en charge les applications d’authentification les plus populaires telles que Google Authenticator, Microsoft Authenticator, LastPass Authenticator et Duo avec un jeton programmable comme Token2.
Avantages des applications d’authentification
Sécurité renforcée
Les applications d’authentification utilisent des mots de passe TOTP. Il devient ainsi beaucoup plus difficile pour les cybercriminels d’accéder de façon non autorisée aux comptes utilisateurs. Les codes des applications sont uniquement valables pour une courte durée et ils ne peuvent pas être répliqués ou réutilisés, ce qui protège l’accès aux systèmes critiques.
Simplicité d’utilisation
À l’instar des notifications push, les applications d’authentification sont plus conviviales pour les utilisateurs, puisque ces derniers peuvent valider les tentatives de connexion directement sur leur appareil mobile. Les applications sont faciles à installer et ne requièrent aucun dispositif supplémentaire. L’inscription des utilisateurs est elle aussi très simple : ces derniers peuvent rapidement ajouter un nouveau compte à l’aide de simples codes de vérification ou de QR codes.
Aucune connectivité requise
Les applications d’authentification peuvent fournir des codes même en l’absence d’une connexion à Internet. Si un utilisateur n’est pas connecté ou s’il se trouve dans une région où la couverture réseau est insuffisante, il peut quand même se connecter en toute sécurité.
Rapport coût/efficacité avantageux
Les applications d’authentification pour la MFA sont généralement disponibles gratuitement en téléchargement. Ainsi, les entreprises peuvent facilement accueillir de nouveaux utilisateurs et déployer la MFA à grande échelle, tandis que les coûts de maintenance de l’application incombent au fournisseur.
Comparatif applications d’authentification/notifications push/jetons physiques
Les applications d’authentification offrent un bon compromis entre sécurité, facilité d’utilisation et rapport coût/efficacité. Les applications d’authentification peuvent être plus difficiles à pirater que les notifications push. Elles sont par ailleurs moins coûteuses à déployer, même à grande échelle, que les jetons physiques.
Au moment de choisir la méthode de MFA qui vous convient le mieux, gardez à l’esprit que toutes ces méthodes représentent un progrès considérable par rapport à l’utilisation de mots de passe seuls. Ce progrès est d’autant plus important si vos systèmes contiennent des données sensibles (et c’est très souvent le cas).
Il existe également d’autres méthodes de MFA nettement moins sécurisées, comme les SMS, les appels téléphoniques ou les questions de sécurité, qui offrent un niveau de protection bien inférieur à celui des applications d’authentification, des notifications push et des jetons physiques.
En règle générale, vous pouvez choisir la méthode de MFA qui correspond le mieux à votre cas d’utilisation en vous inspirant des propositions suivantes :
- Notifications push : vous cherchez une méthode très pratique et évolutive, et vous pouvez tolérer le risque d’attaques exploitant l’erreur humaine.
- Applications d’authentification : vous cherchez le bon équilibre entre facilité d’utilisation, sécurité, rapport coût/efficacité et compatibilité hors-ligne.
- Jetons physiques : vous cherchez le niveau de sécurité le plus élevé possible. Vous êtes prêt à faire un compromis sur la facilité d’utilisation et sur le coût de déploiement.
Notifications SMS
Les notifications SMS font partie des premières méthodes de MFA à avoir vu le jour, à l’époque de la démocratisation des appareils mobiles. Elles sont encore souvent utilisées aujourd’hui, mais leur fonctionnement pose de nombreux problèmes de sécurité.
La majorité des experts déconseillent l’utilisation des notifications SMS comme méthode de MFA.
Risques des notifications SMS
Vulnérabilité aux attaques
Les notifications SMS sons vulnérables aux attaques (en anglais). Des hackers peuvent intercepter les messages texte et lire les contenus non chiffrés, ce qui leur permet d’accéder facilement aux systèmes de l’entreprise. Les SMS sont également mal protégés contre d’autres types d’attaques, comme l’échange de carte SIM ou l’usurpation de numéro de téléphone.
Risque d’attaque de phishing
Les cybercriminels peuvent exploiter les communications par SMS pour mener des attaques de phishing. Ils peuvent envoyer de fausses requêtes de MFA, des liens dangereux ou mener des attaques d’ingénierie sociale directement sur le téléphone portable des victimes, ce qui augmente leurs chances de parvenir à accéder aux systèmes sans autorisation.
Problèmes de conformité
En tant que méthode de MFA, les SMS ne sont pas conformes à certaines réglementations spécifiques, comme le Règlement général sur la protection des données (RGPD) ou la loi Health Insurance Portability and Accountability Act (HIPAA) (en anglais). De fait, les notifications SMS peuvent ne pas être utilisables pour certaines entreprises. Toute situation de non-conformité peut entraîner des pénalités légales et financières.
Comparatif notifications SMS/notifications push
Les notifications push sont potentiellement plus susceptibles à l’erreur humaine et aux attaques d’accoutumance à la MFA. Néanmoins, ces notifications sont chiffrées et sont distribuées par un canal beaucoup plus sécurisé que les SMS. Pour cette raison, les notifications push offrent un niveau de protection sensiblement plus élevé que les SMS.
Comparatif notifications SMS/jetons physiques
Les jetons physiques comptent parmi les méthodes de MFA les plus sécurisées du marché. Accessibles sur des dispositifs dédiés et sécurisés contre tout accès extérieur, ils offrent un niveau de protection beaucoup plus élevé que les SMS.
Comparatif notifications SMS/applications d’authentification
Les applications d’authentification offrent un bon compromis entre sécurité et facilité d’utilisation. Même si elles sont davantage vulnérables à certains problèmes de sécurité, elles offrent un niveau de protection bien supérieur aux notifications SMS.
Choisir entre toutes les méthodes de MFA proposées par UserLock
Nous le savons, les besoins de sécurité de votre équipe sont souvent variables. C’est pourquoi nous vous offrons la liberté de choisir entre plusieurs méthodes de MFA :
- Jetons et clés physiques
- Notifications push
- Applications d’authentification