Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

16/10/2023

Cybersecurity Insights

L’authentification multi-facteurs en 2023

L’authentification multi-facteurs, un sujet toujours d’actualité à ne pas négliger !

En 2023, l’authentification multi-facteurs est-elle assez utilisée ?

Parmi les entreprises ayant détecté des attaques cyber en 2022, 41% ont subi des tentatives d’arnaque au président, 33% de bruteforce, et le vecteur d’attaque principal reste le Phishing avec 74% des entreprises affectées (Source : CESIN 2022). Pour ces trois vecteurs d’attaque et pour bien d’autres, l’authentification joue bien souvent un rôle clé pour l’attaquant : une fois des identifiants obtenus, il dispose d’un accès direct au système et peut ainsi poursuivre son attaque, pivoter depuis l’intérieur vers d’autres systèmes, voler des informations sensibles…
Pourtant, des solutions existent et ce depuis des années ! L’authentification multi-facteurs est utilisée dans 81% des entreprises et permet de considérablement réduire les risques : les entreprises qui n’en disposent pas sont 5 fois plus impactées par des incidents de prise de contrôle de compte (Source : Gartner).

Alors pourquoi s’en passer, et surtout, comment l’implémenter ?

L’authentification multi-facteurs (MFA) consiste à combiner au moins deux facteurs d’authentification. On entend par facteur d’authentification une méthode d’authentification telle que le mot de passe, la reconnaissance ou l’empreinte digitale par exemple. On utilise ainsi fréquemment le mot de passe en première méthode d’authentification, que l’on combine ensuite avec un second facteur : un code de confirmation envoyé par sms, email ou via des applications de OTP le plus souvent.

Suivant le contexte, certains facteurs d’authentification complémentaires au mot de passe sont plus utilisés que d’autres :

  • Les données biométriques sur les téléphones, et de plus en plus sur certains modèles de laptop
  • Les codes de confirmation par SMS ou mail, sur de nombreux sites web
  • Les notifications push pour beaucoup d’applications bancaires
  • Les certificats de sécurité en entreprise et bien souvent pour la connexion au VPN ou pour les échanges entre services
  • Les clés cryptographiques (RSA, DSA) pour des échanges entre serveur, ou utilisées par les administrateurs techniques
  • Les cartes à puce, pouvant contenir elles-mêmes des certificats, clés, générer des codes TOTP, gérer le challenge-réponse …

Aujourd’hui, beaucoup d’outils proposent nativement une solution de MFA : « MFA », « Code à usage unique », « Code OTP », « Double authentification », « Authentification forte », « Confirmation par […] », à chaque outil sa formulation.

D’autres outils vous permettront d’utiliser la fédération d’identité par la fonctionnalité « vous connecter avec [un tiers] », ce qui peut être implémenté notamment en entreprise : l’authentification multi-facteurs doit alors être faite sur votre compte principal (Microsoft, Google, Facebook, …) et c’est lui qui gère l’accès à vos outils.

A chaque menace sa, ou ses, solutions. Vous craignez des tentatives de bruteforce ? Renforcez vos mots de passe, limitez le nombre de tentatives d’accès.

Vous craignez la réutilisation de mots de passe ayant fuité ? Utilisez des mots de passe différents, gérez-les avec des gestionnaires de mots de passe. Vous craignez un accès illégitime à un compte par des identifiants volés ? Implémentez du MFA.

Le MFA : la solution à tous nos problèmes ?

Pas totalement.

Implémenter des solutions de MFA sur vos outils vous permettra sans aucun doute de réduire drastiquement les risques de compromission et d’accès frauduleux à des comptes, mais ce n’est pas si simple.

A chaque contexte d’entreprise ses besoins de sécurité, à chaque technologie sa solution de MFA. Systématiser le MFA sur chaque outil n’est pas forcément la solution, certaines méthodes sont lourdes pour l’utilisateur (confirmation par SMS, email par exemple), et c’est là toute la difficulté : des choix et compromis doivent être faits.

Le plus souvent, les points d’accès protégés sont les suivants :

  • Les points d’authentification unique (SSO), en entreprise, il peut s’agir de votre compte Microsoft par exemple. C’est l’équivalent de votre compte google lorsque vous l’utilisez sur d’autres sites avec la fonction « se connecter avec google »
  • Les accès au réseau (VPN notamment), vous possédez généralement un certificat sur votre machine, il peut également vous être demandé un mot de passe et/ou un code à usage unique
  • Les comptes d’administration, à destination d’administrateurs techniques mais également parfois à des responsables
  • L’accès à vos mails, en tant que point central, vos mails sont bien souvent une méthode de réinitialisation des autres mesures de sécurité par la fonction « mot de passe oublié »

Malgré tout, le MFA ne vous assure pas qu’aucun compte ne pourra être compromis ! Ce très bon article vous expliquera notamment comment des attaquants arrivent désormais, massivement, à contourner les solutions d’authentification forte. 

Ce qu’il faut retenir : le MFA seul n’est pas la solution, il doit être couplé à des mesures fortes de sécurité, des outils d’analyse, de la sensibilisation, …

Et toutes les solutions n’apportent pas les mêmes garanties. Implémenter un code à usage unique géré dans votre gestionnaire de mot de passe ou application « authenticator » favorite est une très bonne chose : cela réduira considérablement les risques. Cependant, vous ne serez pas protégé contre certains phishing plus poussés, l’origine de votre connexion ne sera pas vérifiée, le comportement ne sera pas comparé à vos habitudes.

Que faisons-nous chez Almond face à ces problématiques ?

Nos experts sont en mesure de vous accompagner sur toute la chaîne d’authentification et de gestion des accès :

  • Identification des points sensibles de votre infrastructure
  • Mise en œuvre et audit de solution d’authentification unique SSO
  • Mise en œuvre de dispositif MFA
  • Diagnostic des risques de sécurité et accompagnement à leur remédiation
  • Sensibilisation aux risques cyber (phishing, social engineering)
  • Campagnes de phishing

Nous intervenons sur toute la chaîne de gestion des accès et travaillons ainsi avec des spécialistes de l’authentification forte et des solutions avancées spécialisées dans l’authentification multi-facteurs.

Ces solutions avancées permettent de prendre en compte les différents aspects du MFA : intégration, expérience utilisateur, analyse comportementale, adaptabilité face aux nouvelles menaces. Certains outils en SaaS seront ainsi parfaitement adaptés aux enjeux actuels d’architecture Zero Trust et s’intègreront ainsi dans vos architectures Cloud.

Sources

Romain CHAUVIRE

Consultant Governance, Risks & Compliance

Voir les derniers Cybersecurity Insights

13 novembre 2023
Version révisée (Edition 4) de la norme ISO/CEI 27005 : Almond vous propose un top 3 des changements normatifs et des précisions sur leurs implications directes dans les travaux des Risk Managers au sein des organisations.
19 octobre 2023
C’est ce que tente d’éclairer cet article en explorant les avantages d’une approche ISO 27001 pour structurer les réponses attendues par vos clients dans les questionnaires SSI qu’ils vous transmettent.
11 octobre 2023
Chez Almond, nous préconisons de parachever les pratiques de contrôle par une approche par les risques pour améliorer la qualité du portefeuille des fonds d’investissement.
5 octobre 2023
Did you ever imagine that you or your colleagues could be a serious threat to your company? Discover our study: Insider Threat !
29 septembre 2023
Découvrez la solution SASE de Zscaler avec Benoit Vérove, Partner et Lead Security Integration chez Almond et Reda Nedjar, Principal Sales Engineer chez Zscaler au travers d'une démonstration technique au cœur de l'outil Zscaler Zero Trust Exchange™!
16 juin 2023
Le SASE en 7 min chrono : décrypter le SASE, sa fonction et ses usages. Pour y voir plus clair, nous vous proposons d’entrer en immersion dans les plateformes SASE des experts du secteur. Découvrons ensemble, la solution SASE proposée par Cato Networks. Joseph Fernando, SE Manager South EMEA, chez Cato Networks réalise une démonstration technique de la solution Cato SASE Cloud, au côté de Benoit Vérove, Partner et Lead Security Integration chez Almond.
12 juin 2023
Comme chaque année, SWIFT met à jour son standard CSCF et apporte son lot de nouveautés. Nous vous proposons ici quelques clés de lecture associées aux changements fondamentaux apportés par le CSCF v2023
5 juin 2023
Depuis 2021, tous les clients SWIFT se trouvent dans l’obligation de réaliser une évaluation de conformité dans le cadre du Customer Security Program (CSP) de SWIFT.
2 juin 2023
Décryptez la technologie SASE, au travers d'une démonstration technique de la solution Harmony Connect proposée par Check Point.
2 juin 2023
Le 24 mai 2023, le gouvernement Américain a publiquement attribué à la Chine une série d’attaques ciblant des infrastructures critiques situées aux États-Unis ainsi que sur l’île de Guam.

Jour 1 : Qu'est-ce que la DORA?

  • Réponse 1 : Une jeune exploratrice bilingue
  • Réponse 2 : Un protocole de communication décrit dans le RFC 9364
  • Réponse 3 : Une organisation internationale de régulation de la cybersécurité
  • Réponse 4 : Une règlementation concernant les « entités financières »

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !