De plus en plus sophistiquées, les cybermenaces et les stratégies d’attaques sur les mots de passe d’authentification, rendent nos appareils, systèmes de réseau, applications et bases de données préférés plus vulnérables.
Environ la moitié des violations de données proviennent d’informations de connexion compromises (page en anglais), la plupart suite à des escroqueries par hameçonnage. La sensibilisation à la cybersécurité ne suffit pas pour sécuriser votre entreprise. Les utilisateurs sont humains et les erreurs arrivent. Les cybermenaces devenant de plus en plus difficiles à déjouer, plusieurs niveaux de sécurité sont nécessaires pour protéger l’accès aux systèmes. La meilleure façon de créer des niveaux de sécurité pour l’accès aux systèmes est d’utiliser l’authentification multifacteur (MFA) (page en anglais), la double authentification (2FA) (en anglais) ou la validation en deux étapes (2SV).
Quelles sont les différences entre la MFA, la 2FA et la 2SV ?
Bien que ces différentes méthodes d’authentification apparaissent comme étant identiques, elles ont tout de même leurs différences. Voici leurs spécificités :
- Authentification multifacteur (MFA) : la MFA est un renforcement de la sécurité qui demande à un utilisateur de rajouter deux ou plusieurs éléments de preuve (facteurs) pour accéder au système. Le facteur d’authentification peut inclure une information supplémentaire comme un mot de passe, quelque chose que l’utilisateur possède comme une carte à puce, ou quelque chose de biométrique comme son empreinte digitale.
- 2 facteurs d’authentification (2FA) : ce type d’authentification multifacteur utilise deux facteurs d’authentification distincts. Il doit s’agir de deux catégories d’authentification différentes (en anglais), telles que la connaissance ou la possession. Nous voyons la 2FA fréquemment, par exemple, lorsqu’une personne se connecte à un compte avec un nom d’utilisateur et un mot de passe, elle reçoit une notification instantanée sur son téléphone portable pour approuver la connexion.
- 2 étapes de vérification (2SV - 2 step verification) : ce type d’authentification multifacteur exige deux étapes de vérification séquentielles à l’aide de facteurs d’authentification. Par exemple, Google utilise la 2SV. Pour vous connecter, vous entrez votre nom d’utilisateur et le mot de passe, puis vous renseignez un code supplémentaire.
Il est important de noter que la 2FA et la 2SV sont des types d’authentification multifacteur, qui peuvent également s’étendre à l’authentification par trois facteurs ou à la vérification par trois facteurs, voire plus. La différence majeure réside dans le type de méthode d’authentification appliquée. Si la connexion est un processus en deux étapes, alors il s’agit de 2SV. Si le processus utilise deux facteurs d’authentification différents, alors il s’agit d’une connexion 2FA.
Les quatre principaux types de facteurs d’authentification
Bien qu’il y ait différentes solutions et façons d’authentifier l’accès au système et de vérifier l’identité d’un utilisateur, habituellement en plus du traditionnel nom d’utilisateur et mot de passe, chaque méthode rentre dans l’une de ces quatre catégories, ou facteurs. Les quatre facteurs sont liés à l’utilisateur : sa connaissance, ses appareils ou ses technologies supplémentaires, son identité et son emplacement.
Connaissance
Le moyen le plus commun d’authentifier l’accès au système consiste à utiliser les connaissances personnelles et uniques de l’utilisateur. Il peut s’agir d’une information ou d’un ensemble de caractères que l’utilisateur doit renseigner pour avoir l’accès. L’exemple typique est, bien évidemment, un mot de passe et un nom d’utilisateur, mais cela peut aussi être un numéro personnel d’authentification (PIN), voire les deux utilisés séquentiellement, ce qui est considéré comme une vérification en deux étapes.
Vous pouvez également observer parfois une question au sujet de l’utilisateur, comme sa date de naissance ou la première voiture qu’il a acheté. Bien souvent ce n’est pas la meilleure manière de vérifier l’identité. Ces informations sont facilement trouvables sur des sites internet ou sur les réseaux sociaux.
Possession
Un autre facteur pour l’accès au système peut être un objet que l’utilisateur a sur lui. Cela peut inclure un appareil comme une carte à puce, un jeton matériel ou un téléphone portable. Cela comprend également les applications 2FA qui peuvent être téléchargées sur le téléphone portable ou sur l’ordinateur, comme Google Authenticator, Microsoft Authenticator ou LastPass Authenticator (en anglais).
En pratique, un facteur de possession se double d’un facteur de connaissance, car l’appareil ou l’application va demander un mot de passe additionnel que l’utilisateur doit connaître. Par exemple, si un utilisateur se connecte avec son nom d’utilisateur et son mot de passe, et que la 2FA est activée par un système de mot de passe unique de Google Authenticator, alors l’utilisateur doit avoir en sa possession l’application Google Authenticator qui lui fournira l’autre mot de passe ou PIN.
Le jeton matériel tel que YubiKey ou Token2 fonctionne de façon similaire aux applications 2FA. Dans ce cas, cependant, l’utilisateur insère une clé qui est liée à l’appareil que la personne utilise. Chaque fois que l’utilisateur a besoin de se connecter et de la MFA, le jeton affichera un nouveau code.
Des codes par SMS peuvent également être envoyés aux utilisateurs d’appareils mobiles pour authentifier l’accès. Gardez à l’esprit que le SMS n’est pas recommandé comme solution de MFA robuste, en effet un code envoyé en texte brut (non chiffré) à un numéro de téléphone pourrait facilement être volé ou usurpé.
Inaliénable
Plus généralement utilisés pour les emplacements sur site, les données biométriques telles que les empreintes de doigts, le scan des yeux et les processus de reconnaissance faciale ou vocale peuvent confirmer l’identité d’un utilisateur. Certains d’entre eux sont désormais répandus dans les appareils électroniques personnels. Par exemple, les iPhone permettent aux utilisateurs de configurer la reconnaissance facile ou la numérisation des empreintes digitales pour accéder aux téléphones.
Localisation
L’emplacement physique de l’utilisateur peut également dicter l’accès au système. Il existe aussi certains scénarios pour lesquels l’emplacement de l’utilisateur n’indique pas nécessairement s’il a ou non la permission d’accéder à l’appareil ou à l’application, mais il déterminera quel facteur d’authentification sera utilisé. Par exemple, si vous utilisez un réseau d’entreprise sur site, vous pouvez vous connecter avec seulement votre nom d’utilisateur et votre mot de passe. Si vous êtes hors site, le système pourrait vous demander d’utiliser un jeton matériel installé.
Les avantages de l’authentification multifacteur
En raison de la façon dont les appareils mobiles et les applications sont connectés au réseau de votre entreprise, mettre en place la MFA est une bonne solution (si ce n’est pas une exigence réglementaire), qu'il s'agisse de deux étapes de vérification ou plus, ou de deux facteurs d'authentification distincts ou plus.
Vous trouverez ci-dessous quelques-unes des principales façons dont la MFA protège l’accès à vos systèmes :
- Protège de la négligence : il peut être difficile de se rappeler des mots de passe, d’autant plus s’ils sont compliqués. De nombreux utilisateurs créent des mots de passe courts et facilement mémorisables, laissant le champ libre aux cybercriminels pour voler les informations confidentielles grâce à des attaques par force brute ou par phishing. La MFA fournit un niveau de sécurité supplémentaire dans le cas où les mots de passe des employés seraient compromis.
- Empêche les accès indésirables : Puisqu’elle requiert une étape ou un facteur supplémentaire pour accéder à votre système réseau ou à vos applications logicielles, la MFA tient les criminels à distance.
- Permet la mobilité géographique : De nombreuses solutions de MFA, telles que les facteurs de connaissances ou de possessions comme un téléphone mobile, un jeton matériel ou une application d’authentification, n’obligent pas l’utilisateur à être sur place pour se connecter. Donc, la MFA est gérable de n’importe où.
- Assure la conformité de l’industrie : La MFA est l’une des exigences réglementaires les plus fréquentes pour les clients et les employés. Il s’agit notamment des normes de sécurité des données PCI Data Security Standards (en anglais), RGPD et autres réglementations de l’industrie.
Comment choisir la bonne méthode d’authentification ?
Aucune de ces méthodes n’est nécessairement meilleure que l’autre, la solution réellement optimale dépend de la spécificité de votre situation. La clé pour les entreprises est de créer un équilibre entre sécurité, productivité et budget.
Par exemple, bien que les avantages de sécurité d’un système de cinq niveaux de vérification soient considérables, ce n’est pas pratique pour les employés de perdre autant de temps par jour uniquement dans le but de se connecter. Il est également important de préparer votre entreprise à la mise en place d’une authentification multifacteur, peu importe la méthode utilisée, afin de couronner de succès le déploiement de votre MFA.
Authentification sur site ou hébergée sur le cloud
Lors de l’évaluation des différentes options de fournisseurs de MFA, il est important de prendre en compte l’infrastructure de votre entreprise. Pouvez-vous héberger votre solution sur site ? Ou avez-vous besoin d’un système basé sur le cloud ?
Dans la mesure du possible, la MFA sur site est une méthode plus sécurisée car la mise en œuvre et le contrôle ne peuvent se faire qu’à partir d’un réseau local sécurisé. La connexion internet n’étant pas requise pour les accès sur site, cela réduit les risques d’attaques à partir d’internet.
Les solutions sur site peuvent toujours appliquer la MFA pour sécuriser l’accès à distance de divers types de connexions comme un bureau à distance, un réseau privé virtuel, un bureau virtuel, un service d’information internet (IIS).
- En l'absence de telles connexions, les politiques de la MFA sont toujours appliquées par un agent sur la machine distante qui se connecte au service sur site via Internet. En savoir plus sur ce sujet avec UserLock Anywhere
- Un agent permet également à une machine d'être protégée par MFA lorsqu'elle est hors ligne - sans connexion Internet.
Les avantages et les inconvénients du multifacteur, en deux étapes ou en deux facteurs
Voyons d’abord comment choisir entre 2SV et 2FA. Premièrement, la 2FA est plus sécurisée parce qu’elle nécessite deux facteurs différents, en comparaison avec la 2SV, qui de manière générale demande deux étapes d’un même facteur (comme deux connaissances ou authentification). C’est pour cette raison, que de nombreuses exigences en conformité telles que HIPAA (en anglais), PCI DSS, and RGPD demandent spécifiquement deux facteurs d’authentification et non juste deux étapes
D’un autre côté, 2SV est généralement plus simple et plus rapide pour les employés parce qu’elle nécessite deux informations qu’ils connaissent déjà. Lorsque les entreprises n’ont pas spécifiquement besoin d’une authentification à deux facteurs à des fins de conformité, elles trouveront alors la 2SV comme protocole de sécurité plus attrayant.
Lorsque les entreprises ont besoin de protéger des systèmes extrêmement précieux contenant des informations sensibles, ils peuvent implémenter une MFA qui nécessite une vérification en trois étapes et une 2FA. Par exemple, si quelqu’un se trouve dans un entrepôt de données et souhaite accéder à une section spécifique, il devra rentrer le mot de passe exigé, un PIN unique, puis réaliser un scan oculaire pour y avoir accès. Dans ce cas, il s’agit de trois étapes de vérification mais de seulement deux facteurs.
Tirer avantage du contrôle granulaire de la gestion des accès
Indépendamment du système auquel on accède ou de quelle méthode d’authentification et de vérification vous avez choisi, le contrôle granulaire des accès (en anglais) offre aux entreprises des mesures de sécurité supplémentaires. La granularité signifie restreindre ou permettre des accès spécifiques au système, mais aussi contrôler les détails sur quand et comment la MFA doit être demandée.
Il n’y a que dans certains scénarios seulement qu’il est logique d’exiger des utilisateurs qu’ils justifient constamment qui ils sont. Les administrateurs systèmes devraient gérer leurs exigences MFA en établissant des règles spécifiques pour chaque utilisateur selon le type de MFA utilisé, la fréquence, l’application ou le système et les différences conditions de connexion.
Une grande partie de ces mesures sont plus efficaces lorsque la MFA fait partie d'une solution globale de gestion des accès permettant :
- d'appliquer des restrictions
- de demander la MFA
- de surveiller les registres d'accès
UserLock, par exemple, permet également aux administrateurs systèmes de mieux gérer les exigences en matière d’accès et de vérification des utilisateurs, en fonction des facteurs contextuels tels que l’origine de l’appareil, la durée de connexion, le type de session et la présence ou non de sessions simultanées.
Authentification sans mot de passe
Bien que la MFA offre la commodité de conserver les mots de passe tout en renforçant la sécurité, l’option la plus sécurisée pour certaines entreprises peut être d’abolir complétement l’utilisation de mots de passe. Une solution alternative à la MFA pour gérer les systèmes d’accès et les vérifications d’identité est d’utiliser une méthode sans mot de passe telle que la donnée biométrique, les notifications poussées sur le téléphone portable, les mots de passe à usage unique ou des liens par email pour se connecter. Dans ce cas, il ne s’agit pas d’une connexion standard, c’est-à-dire qu’elle ne nécessite pas de nom d’utilisateur ou de mot de passe pour accéder au système.
Une autre forme d’authentification sans mot de passe est l’authentification unique (SSO), qui permet aux utilisateurs d’accéder à tous les systèmes en se connectant qu’une seule fois. UserLock, par exemple, donne la possibilité aux utilisateurs d’accéder à la fois aux applications cloud et aux ressources du réseau de l’entreprise avec seulement leur identifiant Active Directory. L’authentification unique peut également se combiner aux exigences de la MFA pour plus de sécurité.
Avec la suppression des mots de passe, les employés n’ont plus besoin de créer et de mémoriser des mots de passe complexes. Il déjoue aussi les tentatives d’escroquerie par hameçonnage en accédant aux identifiants de connexion des utilisateurs puisqu’ils n’en ont plus. Cela constitue aussi globalement une option plus pratique pour les employés.
Il existe d’autres avantages spécifiques (en anglais) au fait d’utiliser la SSO avec les comptes Active Directory. Par exemple, garantir un ensemble unique d'informations d'identification pour tous les utilisateurs, en conservant Active Directory comme système central de gestion des identités, et en le combinant avec la MFA pour une meilleure sécurité. Il y a aussi l’avantage, non lié à la sécurité, d’augmenter la productivité des employés en limitant le temps passé à se connecter sur l’ensemble des applications.
Optimiser la sécurité et la commodité avec une MFA facile à utiliser
Equilibrer la commodité d’accès des utilisateurs en prévenant des menaces de sécurité représente un défi pour de nombreuses entreprises. Simplement exiger une authentification unique avec le traditionnel nom d’utilisateur et mot de passe ne suffit plus pour empêcher les pirates d’accéder à des ressources sécurisées. Puisque les mots de passe peuvent être compromis, il est essentiel de mettre en œuvre la couche de sécurité supplémentaire que constitue l'authentification multifactorielle, la vérification en deux étapes ou l'authentification à deux facteurs.
Afin d’optimiser la sécurité, il est recommandé de combiner les exigences d’authentification avec la gestion des contrôles d’accès et la granularité (contrôler qui a la permission, à quel système, comment ils se connectent, quand peuvent-ils le faire, et d’où peuvent-ils le faire). Les contrôles d’accès, la MFA, l’authentification unique (pour ceux qui veulent passer sur le « sans mot de passe »), peuvent tous être gérer depuis Active Directory grâce à UserLock.
Contactez-nous pour en savoir plus sur la sécurisation de votre réseau et de vos applications.