Face à une recrudescence des risques de cybersécurité, l’authentification multifacteur (MFA) reste l’un des moyens les plus efficaces pour protéger les accès et pour prévenir des violations de données. Bien qu’elle connaisse une forte progression ces deux dernières années, la MFA n’est toujours pas généralisée. Pourquoi ? Parce que pour que l’adoption de la MFA décolle vraiment, les entreprises ont besoin de comprendre la valeur réelle de la MFA et comment bien la mettre en place.
Vers une démocratisation de la MFA
A travers le monde, la plupart des personnes ignorent la possibilité de mettre en place une double authentification (2FA), ou n’ont pas envie de la mettre en place pour plusieurs raisons courantes : une fausse croyance dans les mots de passe, une frustration, une confusion quant à son installation, ou simplement par fénéantise. A noter, que moins de 10% des comptes Google sont protégés par une double authentification, et seulement 12 % des américains utilisent un gestionnaire de mot de passe.
Cela a incité de nombreux géants de la technologie à repenser leur sécurité : Salesforce impose l’authentification multifacteur, Google va activer la 2FA à des millions d’utilisateurs, la filiale d’Amazon Ring oblige la 2FA pour ses clients.
Qu’en est-il en entreprise ?
Malheureusement une attitude similaire à celle évoquée plus haut, existe dans le monde du travail, les entreprises mettent du temps à adopter la MFA.
Elles continuent de croire aux mythes courants, considérant la MFA comme un outil réservé aux :
– Grandes organisations, ou
– Aux comptes les plus privilégiés : les comptes administrateurs en local de Windows, les comptes administrateurs du domaine, les comptes de Active Directory, et tous les autres qui ont des droits supérieurs à l’ensemble de l’environnement du réseau.
Pourtant la MFA est autant importante pour les petites que les grandes entreprises. Peu importe la taille de votre entreprise, vos données sont autant sensibles et doivent être protégées de manière identique.
La question de savoir si la MFA doit être réservée aux comptes les plus privilégiés mérite d’être examinée de plus près.
Etendre la protection au-delà des comptes privilégiés
Dans l’ancienne approche de la sécurité basée sur le périmètre, nous n’abordions pas la sécurité de l’utilisateur « moyen ». Mais grâce au passage massif au travail à distance et aux rapides transitions de certaines entreprises vers un environnement hybride comprenant le réseau de l’entreprise et le cloud, l’accent a changé.
Le principe du moindre privilège au cœur de la stratégie
Le principe du moindre privilège – le fait de limiter l’utilisateur aux simples données, applications et système dont il a besoin pour exercer son activité – existe depuis des années (Microsoft a écrit dessus dès 1999). Et puisque les attaques sont toujours plus importantes aujourd’hui, le principe du moindre privilège est d’autant plus pertinent pour la stratégie de sécurité de l’entreprise :
– Les comptes utilisateurs servent de levier aux attaques externes pour prendre le contrôle des terminaux, se déplacer dans le réseau pour finalement atteindre les données sensibles préalablement ciblées.
– Les initiés tirent parti de leur propre accès accordé ou d’autres comptes compromis pour exploiter les données et les applications à des fins malveillantes.
La protection MFA doit être étendue à l’ensemble des comptes
Pour les entreprises actuelles, la véritable valeur de la MFA réside dans la protection de l’ensemble des comptes ayant accès à des données sensibles, applications ou systèmes. Chaque utilisateur ayant des droits et des privilèges, tous les utilisateurs sont une sorte d’utilisateur privilégié.
Anticiper pour réussir le déploiement
La clé, c’est la préparation ! Mettre en place la MFA pour l’ensemble des utilisateurs demande forcément plus de temps que de le faire uniquement pour les comptes privilégiés. Peu importe la taille de votre entreprise, voici 6 points clés à se souvenir lors du déploiement de la MFA :
– La sécurisation des connexions améliore considérablement votre position de sécurité – Faites-en sorte que la MFA ne soit pas contrariante pour les départements informatiques – La MFA doit concilier sécurité et productivité des utilisateurs
– Eduquez et donnez à vos utilisateurs les moyens de soutenir la MFA
– La MFA n’est pas seulement pour les utilisateurs privilégiés
– Obtenir l’engagement et l’adhésion de la direction
Découvrir la vraie valeur de la MFA
Bien que les obligations des géants de la Tech encouragent les entreprises à adopter la MFA, une augmentation de sa mise en place requiert un réel changement dans le positionnement des entreprises quant à la sécurité. Plus elles comprendront l’importance d’appliquer le moindre privilège et de gérer les comptes privilégiés, plus elles comprendront l’avantage de sécuriser les connexions des utilisateurs. Les entreprises vont alors s’efforcer de trouver un juste équilibre entre les productivités de leurs employés et la sécurité de leur entreprise. Et dès qu’elles l’auront fait, préparez-vous à voir une explosion des demandes de MFA granulaires et personnalisables.