La protection des utilisateurs est-elle l’avenir de la MFA ?

0

Face à une recrudescence des risques de cybersécurité, l’authentification multifacteur (MFA) reste l’un  des moyens les plus efficaces pour protéger les accès et pour prévenir des violations de données. Bien  qu’elle connaisse une forte progression ces deux dernières années, la MFA n’est toujours pas  généralisée. Pourquoi ? Parce que pour que l’adoption de la MFA décolle vraiment, les entreprises ont  besoin de comprendre la valeur réelle de la MFA et comment bien la mettre en place. 

Vers une démocratisation de la MFA  

A travers le monde, la plupart des personnes ignorent la possibilité de mettre en place une double authentification (2FA), ou n’ont pas envie de la mettre en place pour plusieurs raisons courantes : une  fausse croyance dans les mots de passe, une frustration, une confusion quant à son installation, ou  simplement par fénéantise. A noter, que moins de 10% des comptes Google sont protégés par une  double authentification, et seulement 12 % des américains utilisent un gestionnaire de mot de passe.  

Cela a incité de nombreux géants de la technologie à repenser leur sécurité : Salesforce impose l’authentification multifacteur, Google va activer la 2FA à des millions d’utilisateurs, la filiale d’Amazon  Ring oblige la 2FA pour ses clients. 

Qu’en est-il en entreprise ? 

Malheureusement une attitude similaire à celle évoquée plus haut, existe dans le monde du travail, les  entreprises mettent du temps à adopter la MFA. 

Elles continuent de croire aux mythes courants, considérant la MFA comme un outil réservé aux :  

– Grandes organisations, ou  

– Aux comptes les plus privilégiés : les comptes administrateurs en local de Windows, les comptes  administrateurs du domaine, les comptes de Active Directory, et tous les autres qui ont des  droits supérieurs à l’ensemble de l’environnement du réseau.  

Pourtant la MFA est autant importante pour les petites que les grandes entreprises. Peu importe la taille  de votre entreprise, vos données sont autant sensibles et doivent être protégées de manière identique.  

La question de savoir si la MFA doit être réservée aux comptes les plus privilégiés mérite d’être  examinée de plus près. 

Etendre la protection au-delà des comptes privilégiés  

Dans l’ancienne approche de la sécurité basée sur le périmètre, nous n’abordions pas la sécurité de  l’utilisateur « moyen ». Mais grâce au passage massif au travail à distance et aux rapides transitions de  certaines entreprises vers un environnement hybride comprenant le réseau de l’entreprise et le cloud,  l’accent a changé. 

Le principe du moindre privilège au cœur de la stratégie 

Le principe du moindre privilège – le fait de limiter l’utilisateur aux simples données, applications et  système dont il a besoin pour exercer son activité – existe depuis des années (Microsoft a écrit dessus  dès 1999). Et puisque les attaques sont toujours plus importantes aujourd’hui, le principe du moindre  privilège est d’autant plus pertinent pour la stratégie de sécurité de l’entreprise :  

– Les comptes utilisateurs servent de levier aux attaques externes pour prendre le contrôle des  terminaux, se déplacer dans le réseau pour finalement atteindre les données sensibles  préalablement ciblées.  

– Les initiés tirent parti de leur propre accès accordé ou d’autres comptes compromis pour  exploiter les données et les applications à des fins malveillantes. 

La protection MFA doit être étendue à l’ensemble des comptes 

Pour les entreprises actuelles, la véritable valeur de la MFA réside dans la protection de l’ensemble des  comptes ayant accès à des données sensibles, applications ou systèmes. Chaque utilisateur ayant des  droits et des privilèges, tous les utilisateurs sont une sorte d’utilisateur privilégié.  

Anticiper pour réussir le déploiement 

La clé, c’est la préparation ! Mettre en place la MFA pour l’ensemble des utilisateurs demande  forcément plus de temps que de le faire uniquement pour les comptes privilégiés. Peu importe la taille  de votre entreprise, voici 6 points clés à se souvenir lors du déploiement de la MFA :  

– La sécurisation des connexions améliore considérablement votre position de sécurité – Faites-en sorte que la MFA ne soit pas contrariante pour les départements informatiques – La MFA doit concilier sécurité et productivité des utilisateurs 

– Eduquez et donnez à vos utilisateurs les moyens de soutenir la MFA 

– La MFA n’est pas seulement pour les utilisateurs privilégiés 

– Obtenir l’engagement et l’adhésion de la direction 

Découvrir la vraie valeur de la MFA 

Bien que les obligations des géants de la Tech encouragent les entreprises à adopter la MFA, une augmentation de sa mise en place requiert un réel changement dans le positionnement des entreprises quant à la sécurité. Plus elles comprendront l’importance d’appliquer le moindre privilège et de gérer les  comptes privilégiés, plus elles comprendront l’avantage de sécuriser les connexions des utilisateurs. Les  entreprises vont alors s’efforcer de trouver un juste équilibre entre les productivités de leurs employés  et la sécurité de leur entreprise. Et dès qu’elles l’auront fait, préparez-vous à voir une explosion des  demandes de MFA granulaires et personnalisables.

About Author

François Amigorena

PDG de IS Decisions

Leave A Reply