Qu'est-ce que l'authentification multifacteur (MFA) ?
L'authentification multifacteur ou à plusieurs facteurs (MFA) est un système de sécurité multiniveau qui accorde aux utilisateurs l'accès à un réseau, à un système ou à une application uniquement après qu'ils ont confirmé leur identité au moyen d'un ou plusieurs identifiants ou facteurs d'authentification supplémentaires. Cette confirmation de l'identité repose généralement sur la combinaison d'un nom d'utilisateur et d'un mot de passe, plus un autre facteur, tel qu'un code de vérification ou un mot de passe à usage unique envoyé par SMS ou par e-mail, un jeton de sécurité fourni par une application d'authentification ou un identifiant biométrique.
En exigeant plusieurs facteurs d'authentification, les entreprises peuvent renforcer considérablement leur niveau de sécurité. En effet, même si le premier facteur d'authentification est compromis ou désactivé, l'accès n'est accordé que si l'utilisateur est en possession d'un facteur d'authentification secondaire.
Authentification multifacteur (MFA) ou à deux facteurs (2FA)
Les deux termes sont parfois employés l'un pour l'autre. D'un point de vue technique, la 2FA est un type d'authentification multifacteur qui limite l'authentification de l'utilisateur à deux identifiants, tandis que la MFA exige au moins deux formes d'authentification.
Par défaut, la plupart des systèmes MFA adoptent le modèle 2FA, même si certaines entreprises peuvent exiger des méthodes d'authentification supplémentaires, en particulier lorsque l'utilisateur tente de se connecter au réseau ou d'accéder aux ressources depuis un emplacement inhabituel ou suspect.
Importance de l'authentification multifacteur
Selon une analyse de l'équipe CrowdStrike OverWatch™, 80 % des compromissions sont liées aux identités. Les attaques liées aux identités sont extrêmement difficiles à détecter à l'aide des outils et des mesures de sécurité traditionnels, car ces solutions ne sont généralement pas conçues pour surveiller les activités des utilisateurs approuvés, ni pour détecter la compromission des identifiants d'un utilisateur autorisé.
La MFA est considérée comme un composant essentiel d'un cadre robuste de gestion des identités et des accès (IAM). La MFA est donc essentiellement un outil d'accès et non une solution de sécurité.
En d'autres termes, si la MFA peut bloquer l'accès des utilisateurs qui ne peuvent pas confirmer leur identité, elle est en revanche incapable de faire la différence entre la requête d'un utilisateur légitime et un cyberadversaire usurpant l'identité du précédent. De plus, dès que l'utilisateur a été autorisé à accéder au réseau, à l'application, à l'endpoint ou au système, la solution MFA n'est pas en mesure de détecter ou de prévenir en temps réel les attaques liées aux identités.
Dès lors, les entreprises devraient considérer la MFA comme un des composants du cadre IAM étendu et comme un lien parmi d'autres au sein de l'architecture et de la stratégie de cybersécurité plus larges.
Fonctionnement de l'authentification multifacteur
La MFA exige un ou plusieurs facteurs de vérification en plus de l'ID utilisateur et du mot de passe classiques. La plupart des facteurs d'authentification peuvent être classés dans l'un des groupes suivants :
1. Un élément que vous connaissez
Il peut s'agir de n'importe quel identifiant basé sur une connaissance quelconque. C'est la forme la plus simple et la plus courante de vérification. Cette catégorie inclut les codes PIN et les mots de passe créés par l'utilisateur, ainsi que les réponses à des questions de sécurité.
2. Un élément que vous détenez
Cet identifiant basé sur la possession exige que l'utilisateur génère ou reçoive une ressource telle qu'un certificat ou un jeton de sécurité. Pour ce faire, il est possible d'utiliser une application d'authentification telle que Google Authenticator ou Microsoft Authenticator, ou encore un mot de passe à usage unique et à durée de vie limitée envoyé par SMS, par e-mail ou au moyen d'un lien sécurisé.
3. Une caractéristique personnelle
Il s'agit du facteur de vérification le plus difficile à reproduire. Il inclut les identifiants biométriques basés sur des caractéristiques physiologiques, comme les empreintes digitales, la reconnaissance faciale ou l'analyse de l'iris, ou des caractéristiques comportementales, telles que la dynamique de frappe.
Méthodes courantes d'authentification multifacteur
Si de nombreux utilisateurs connaissent bien les solutions MFA basées sur un mot de passe à usage unique ou un indicateur biométrique, il existe d'autres types d'authentification multifacteur, qui utilisent tous une méthode de vérification différente. Voici quelques-unes des méthodes d'authentification les plus courantes et leur fonctionnement :
Mot de passe à usage unique (OTP, One-time Password)
Le facteur MFA le plus courant est le mot de passe à usage unique. Il s'agit de codes numériques envoyés par e-mail, par SMS ou via une application mobile, telle que Google Authenticator, Microsoft Authenticator ou Salesforce Authenticator. Ces mots de passe sont régénérés après un délai déterminé ou chaque fois qu'une nouvelle demande d'authentification est envoyée. Le code est basé sur une valeur initiale attribuée à l'utilisateur lors de son premier enregistrement et sur un facteur temporel supplémentaire.
Biométrie et analyse comportementale
Une autre technique MFA assez répandue mesure des caractéristiques biométriques innées, telles que les empreintes digitales, les traits du visage, la rétine ou l'iris, ou encore l'identité vocale pour confirmer l'identité de l'utilisateur. Si cette technique était considérée au départ comme un facteur d'authentification ultrafiable, l'intérêt pour celle-ci a diminué lorsqu'il est apparu que l'impression 3D et les empreintes générées par intelligence artificielle pouvaient contourner ces techniques.
Dans une moindre mesure, certaines entreprises peuvent également utiliser la biométrie comportementale pour confirmer l'identité d'un utilisateur. Cette méthode tire parti de comportements identifiables et mesurables d'un individu pour vérifier son identité. Par exemple, la dynamique de frappe, autrement dit l'analyse de la vitesse, du rythme et de la pression lors de la frappe, peut être utilisée pour confirmer l'identité de l'utilisateur.
Kits de développement (SDK) de jetons logiciels
Cette méthode de vérification utilise des opérations cryptographiques, telles que des signatures numériques incorporées dans des applications mobiles, pour authentifier l'utilisateur et le terminal. Les SDK de jetons logiciels offrent une expérience utilisateur fluide dans la mesure où l'utilisateur ne doit pas basculer entre les applications ni utiliser de dispositif matériel.
Jetons OTP matériels
Couramment utilisés dans le secteur bancaire, les jetons OTP matériels sont des dispositifs qui génèrent des codes à usage unique via une clé cryptographique stockée dans le terminal et sur le serveur. Lors de l'ouverture d'une session, le système authentifie l'utilisateur en vérifiant que la clé du terminal et celle du serveur correspondent.
Cartes à puce et jetons matériels cryptographiques
Les cartes à puce et les jetons matériels cryptographiques sont des dispositifs physiques capables d'effectuer des opérations cryptographiques telles que le déchiffrement et la signature, les clés internes étant conservées physiquement et de manière sécurisée à l'intérieur d'une enclave totalement isolée. Ils peuvent être utilisés à des fins de connexion à un ordinateur (par exemple, via la connexion par carte à puce de Windows) et de vérification basée sur les signatures numériques dans le cadre de l'autorisation de transactions. Les cartes à puce peuvent être sans contact ou nécessiter un lecteur dédié, tandis que les jetons matériels cryptographiques requièrent une connexion USB.
Avantages de l'authentification multifacteur
La MFA offre de nombreux avantages aux entreprises, notamment :
1. Sécurité renforcée
Même si elle n'est pas un outil de sécurité au sens technique du terme, la MFA constitue une ligne de défense importante pour les entreprises, étant donné qu'elle n'octroie l'accès aux systèmes et réseaux qu'aux utilisateurs dûment authentifiés.
Le fait d'imposer l'utilisation d'un ou plusieurs facteurs MFA via un mot de passe à usage unique, un indicateur biométrique ou une clé matérielle complique singulièrement la tâche des cyberpirates et autres cybercriminels qui tentent d'accéder au système sous le couvert de l'identité d'un utilisateur légitime. Cela signifie, d'une part, que les cybercriminels doivent trouver une autre voie d'accès et, d'autre part, que les mesures de sécurité classiques ont de bien meilleures chances de pouvoir détecter et bloquer de telles activités.
2. Accès fluide pour les collaborateurs en télétravail
La généralisation du travail à distance ou hybride a considérablement augmenté l'exposition des entreprises aux cyberattaques et aux compromissions dès lors que les collaborateurs accèdent aux applications, aux documents et aux données d'entreprise depuis des réseaux et des terminaux personnels. Parallèlement, la nécessité de se connecter à de multiples comptes au cours d'une même session de travail a entraîné une lassitude des collaborateurs face à la lourdeur du processus.
Lorsqu'elle est associée à des techniques de connexion avancées telles que l'authentification unique (SSO), la MFA ajoute un niveau de sécurité supplémentaire et simplifie le processus de connexion des utilisateurs légitimes. Dès le moment où l'identité de l'utilisateur est confirmée par l'authentification unique, le système le connecte automatiquement, de sorte que l'utilisateur a accès à l'application ou au document sans devoir s'authentifier individuellement dans chaque application.
3. Amélioration de la conformité réglementaire
Les données d'entreprise et la sécurité des identités revêtent une importance accrue pour les entreprises actives dans des secteurs à haut risque comme la santé, l'enseignement, la recherche médicale, la finance et la défense. Les services informatiques de la plupart des entreprises sont convaincus de respecter les normes de cybersécurité les plus élevées, alors que de nombreuses études prouvent le contraire.
L'authentification multifacteur est souvent obligatoire pour rester en conformité avec les réglementations sectorielles. Par exemple, la norme PCI DSS (Payment Card Industry Data Security Standard), destinée aux entreprises du secteur des cartes de crédit, exige l'implémentation de la MFA pour empêcher l'accès des utilisateurs non autorisés aux systèmes. Même lorsque des mises à jour des applications engendrent une instabilité du système, la conformité MFA garantit que les systèmes restent impénétrables dans 99 % des cas.
Défis posés par l'authentification multifacteur
À l'instar de n'importe quelle solution technologique, l'implémentation et le fonctionnement de la MFA peuvent être problématiques pour l'entreprise. À titre d'exemple :
- Si un collaborateur perd un téléphone mobile ou un autre terminal personnel faisant partie de la stratégie de défense multiniveau, cela peut affecter temporairement son accès au système et, par extension, sa productivité.
- Les données biométriques utilisées par les algorithmes MFA exigent une saisie initiale correcte et précise. Il est possible que le système génère des faux positifs ou négatifs si la saisie d'origine n'a pas été correctement effectuée.
- La vérification MFA peut être temporairement indisponible si une entreprise connaît une panne réseau ou Internet.
FRICTIONLESS ZERO TRUST ''NEVER TRUST, ALWAYS VERIFY''
La méthode de protection habituelle consistant à « faire confiance, mais vérifier quand même », qui permettait aux utilisateurs et aux terminaux approuvés d'accéder automatiquement au réseau, expose les entreprises à un large éventail de menaces de sécurité. Découvrez pourquoi une telle approche est obsolète et cinq bonnes pratiques pour l'implémentation d'un modèle Zero Trust fluide.
<b>Télécharger l'infographie</b>L'avenir de l'authentification multifacteur
La MFA est loin d'être une solution de sécurité infaillible. Si les cybercriminels ne ménagent pas leurs efforts pour développer de nouvelles techniques destinées à compromettre les réseaux, ils s'efforcent aussi de trouver de nouvelles méthodes pour contourner les mesures de sécurité MFA, intercepter les jetons ou falsifier des identifiants secondaires. Pour protéger les entreprises contre ces vulnérabilités potentielles et les menaces en constante évolution, les techniques MFA doivent être constamment actualisées et renforcées par d'autres outils et solutions de sécurité.
En plus d'implémenter la MFA, les entreprises doivent envisager de renforcer leur niveau de sécurité en mettant en œuvre les bonnes pratiques suivantes, conçues pour limiter l'accès réseau et les privilèges des comptes, de même que limiter les déplacements du cyberpirate en cas de compromission :
- Principe du moindre privilège : le principe du moindre privilège (POLP) est un concept et une pratique de sécurité informatique qui consiste à octroyer aux utilisateurs des droits d'accès limités en fonction des tâches qu'ils doivent réaliser dans le cadre de leur travail. En vertu de ce principe, seuls les utilisateurs autorisés dont l'identité a été vérifiée disposent des autorisations nécessaires pour effectuer des tâches dans certains systèmes et applications ou accéder à certaines données ou ressources. Le principe du moindre privilège est généralement considéré comme l'une des pratiques les plus efficaces pour renforcer le niveau de cybersécurité de l'entreprise, dans la mesure où il permet à celle-ci de contrôler et de surveiller l'accès au réseau et aux données.
- Zero Trust : le Zero Trust est un cadre de sécurité qui exige que tous les utilisateurs (internes ou externes au réseau de l'entreprise) soient continuellement authentifiés, autorisés et validés avant de se voir accorder l'accès aux données et aux applications. Il combine plusieurs technologies avancées, telles que l'authentification multifacteur basée sur le risque, la protection de l'identité, la sécurité des endpoints de nouvelle génération et une protection robuste des workloads cloud pour vérifier l'identité des utilisateurs et des systèmes, prendre en compte le moment précis de l'accès et gérer la sécurité du système. Le cadre Zero Trust prévoit aussi le chiffrement des données, la sécurisation de la messagerie et la vérification de l'hygiène des ressources et des endpoints avant qu'ils se connectent aux applications.
- Gestion des accès privilégiés (PAM) : la gestion des accès privilégiés (PAM) est une stratégie de sécurité qui vise à préserver la sécurité des identifiants des comptes administrateur à privilèges.
- Segmentation selon l'identité : la segmentation selon l'identité est une méthode destinée à limiter l'accès des utilisateurs aux applications et aux ressources en fonction des identités.
- Hygiène IT : un outil d'hygiène IT offre une visibilité sur l'utilisation des identifiants dans l'entreprise afin de détecter des activités administratives potentiellement malveillantes. La fonction de surveillance des comptes permet aux équipes de sécurité de vérifier la présence de comptes créés par des cyberattaquants pour conserver leur accès. Elle veille également au changement régulier des mots de passe, ce qui limite l'utilisation d'identifiants volés dans le temps.