Le nombre de comptes d’utilisateurs en ligne par personne n’a jamais \u00e9t\u00e9 aussi grand, et tous ces comptes augmentent consid\u00e9rablement les risques de comptes compromis.<\/p>\n\n\n\n
Malheureusement, m\u00eame si ces comptes sont personnels, ils repr\u00e9sentent un risque pour votre entreprise en raison de la r\u00e9utilisation de mots de passe. Ce risque d\u00e9coule des difficult\u00e9s rencontr\u00e9es par l’utilisateur final moyen lorsqu’il doit cr\u00e9er des mots de passe multiples, uniques et complexes pour ses (probablement) centaines de comptes personnels et professionnels en ligne. En bref, chacun de ces comptes en ligne peut poser des probl\u00e8mes de s\u00e9curit\u00e9 importants aux administrateurs informatiques.<\/p>\n\n\n\n
Il existe toutefois des moyens de prot\u00e9ger les comptes contre les mots de passe faibles, r\u00e9utilis\u00e9s ou g\u00e9r\u00e9s de mani\u00e8re irresponsable, et une de ces m\u00e9thodes a gagn\u00e9 une popularit\u00e9 consid\u00e9rable avec les comptes B2B et B2C : l’authentification multifactorielle<\/strong><\/a> (MFA, ou multi-factor authentication), \u00e9galement connue sous le nom d’authentification \u00e0 deux facteurs \/ 2FA.<\/p>\n\n\n\n Cette solution simple prot\u00e8ge les ressources en ligne mieux que le plus complexe des mots de passe. Mais qu’est-ce que l’authentification multifactorielle exactement ? Et comment fonctionne-t-elle, tant du point de vue de l’administrateur informatique que de l’utilisateur final ?<\/p>\n\n\n\n Apr\u00e8s avoir lu cette s\u00e9rie de trois articles, vous comprendrez ce qu’est l’authentification multifactorielle, pourquoi elle est n\u00e9cessaire, comment elle fonctionne et comment la mettre en \u0153uvre pour toute combinaison d’employ\u00e9s sur site ou en t\u00e9l\u00e9travail.<\/p>\n\n\n\n Souvent appel\u00e9e authentification \u00e0 deux facteurs (ou 2FA)<\/em>, l’authentification multifactorielle est un outil essentiel et vital dans la lutte contre le vol d’identit\u00e9 et l’acc\u00e8s non autoris\u00e9 aux ressources de l’entreprise.<\/p>\n\n\n\n L’authentification multifactorielle (ou MFA en abr\u00e9g\u00e9) ajoute un deuxi\u00e8me ou troisi\u00e8me facteur (ou plus) au processus de connexion aux ressources de l’entreprise (applications, services, serveurs, etc.).<\/p>\n\n\n\n Les facteurs les plus courants pour valider l’identit\u00e9 d’une personne sont les suivants :<\/p>\n\n\n\n Anciennement, le facteur d’identification des utilisateurs en ligne le plus courant \u00e9tait le mot de passe. La s\u00e9curit\u00e9 en ligne \u00e9tant devenue beaucoup plus critique, les experts en informatique pr\u00e9conisent depuis longtemps le renforcement de ce facteur unique et l’ajout de plusieurs autres facteurs permettant l’identification des personnes.<\/p>\n\n\n\n En plus d’utiliser leur mot de passe (qui est le facteur d’authentification le plus populaire, souvent consid\u00e9r\u00e9 comme \u00ab ce que vous savez \u00bb), les utilisateurs doivent maintenant fournir une autre source d’information afin de valider leur identit\u00e9 ; cela constitue souvent \u00ab ce que vous avez \u00bb ou \u00ab ce que vous \u00eates \u00bb, car ces deux facteurs sont extr\u00eamement difficiles \u00e0 usurper ou \u00e0 acc\u00e9der \u00e0 distance, ce dont les pirates criminels ont souvent besoin.<\/p>\n\n\n\n Par exemple, une approche MFA courante g\u00e9n\u00e8re un code \u00e0 partir d’un smartphone via une application telle que Google Authenticator (c’est-\u00e0-dire quelque chose que vous avez). Le code est un num\u00e9ro g\u00e9n\u00e9r\u00e9 de mani\u00e8re al\u00e9atoire li\u00e9 au syst\u00e8me ou \u00e0 l’application auquel l’utilisateur se connecte.<\/p>\n\n\n\n Une autre m\u00e9thode similaire est appel\u00e9e \u00ab push \u00bb. Au lieu de saisir un code \u00e0 partir du smartphone, l’utilisateur appuie simplement sur un bouton pour confirmer la v\u00e9rification du second facteur.<\/p>\n\n\n\n Il existe un certain nombre de techniques diff\u00e9rentes pour g\u00e9n\u00e9rer un \u00ab second facteur \u00bb et elles sont abord\u00e9es plus loin dans cette s\u00e9rie. Il est int\u00e9ressant de noter que bon nombre de ces seconds facteurs font pr\u00e9sentement l’objet d’une \u00e9tude visant \u00e0 en faire des facteurs de premier ordre afin de cr\u00e9er une exp\u00e9rience sans mot de passe pour les utilisateurs finaux.<\/p>\n\n\n\n Le premier concept de syst\u00e8me d’authentification factorielle remonte aux \u00c9gyptiens, qui utilisaient un verrou \u00e0 goupilles en bois interdisant ainsi l’acc\u00e8s \u00e0 des structures sp\u00e9cifiques. Lorsque la cl\u00e9 \u00e9tait ins\u00e9r\u00e9e, des goupilles cach\u00e9es \u00e0 l’int\u00e9rieur du dispositif se soulevaient, entra\u00eenant son d\u00e9placement. Ce syst\u00e8me est tr\u00e8s similaire \u00e0 l’it\u00e9ration actuelle de la serrure et de la cl\u00e9, sauf qu’il est maintenant fabriqu\u00e9 avec des m\u00e9taux assurant ainsi sa durabilit\u00e9.<\/p>\n\n\n\n En 1985, Kenneth Weiss, qui a fond\u00e9 Security Dynamics en 1984, a invent\u00e9 et brevet\u00e9 \u00ab un appareil pour la g\u00e9n\u00e9ration et la comparaison \u00e9lectroniques de codes non pr\u00e9visibles \u00bb. Son invention est \u00e0 l’origine du premier concept de ce qui sera connu sous le nom d’authentification multifactorielle.<\/p>\n\n\n\n Pr\u00e8s de dix ans plus tard, il est \u00e0 l’origine de l’achat de RSA Security, qui \u00e9tait alors une petite soci\u00e9t\u00e9 de cryptage travaillant dans le secteur en plein essor du commerce \u00e9lectronique. Le produit SecureID, bas\u00e9 sur l’algorithme de cryptage RSA d\u00e9velopp\u00e9 par les fondateurs de RSA Security, est devenu l’un des premiers produits d’authentification multifactorielle destin\u00e9s aux entreprises et a domin\u00e9 le march\u00e9 pendant plusieurs ann\u00e9es.<\/p>\n\n\n\n Si les codes, porte-cl\u00e9s et autres appareils MFA existent toujours, les smartphones permettent maintenant aux utilisateurs de s’authentifier depuis pratiquement n’importe o\u00f9, de s\u00e9curiser leurs comptes et de s’y connecter plus facilement.<\/p>\n\n\n\n Alors que les organisations utilisaient initialement l’authentification multifactorielle pour les transactions financi\u00e8res ou d’autres situations hautement s\u00e9curis\u00e9es, elles ont commenc\u00e9 \u00e0 faire appel \u00e0 l’authentification multifactorielle pour les identit\u00e9s des utilisateurs, qu’ils soient clients ou employ\u00e9s, ind\u00e9pendamment de l’objectif de l’application en question, afin de pr\u00e9server la s\u00e9curit\u00e9 des informations importantes.<\/p>\n\n\n\n L’\u00e9volution de l’authentification multifactorielle a permis aux administrateurs informatiques de garder les donn\u00e9es sensibles \u00e0 l’abri de la menace croissante des pirates tout en devenant un \u00e9l\u00e9ment naturel du processus de connexion pour les utilisateurs finaux.<\/p>\n\n\n\n Lorsque vous n’avez qu’un seul ensemble d’informations d’identification jouant le r\u00f4le d’authentifiant, il est facile pour un pirate de voler ou manipuler les donn\u00e9es de l’entreprise<\/a> puisqu’il n’a besoin que d’un seul ensemble compromis. Cela est particuli\u00e8rement vrai si le compte en question est un compte cl\u00e9 tel que votre compte de messagerie qui sous-tend plusieurs autres comptes.<\/p>\n\n\n\n Les mots de passe individuels ne sont tout simplement pas assez forts \u00e0 eux seuls pour prot\u00e9ger les donn\u00e9es de votre entreprise et ne devraient jamais \u00eatre employ\u00e9s seuls pour vos comptes les plus critiques tels que la messagerie, les services bancaires, etc. Voici quelques statistiques expliquant pourquoi l’authentification multifactorielle est si vitale pour prot\u00e9ger les ressources de l’entreprise :<\/p>\n\n\n\n Ultimement, les services informatiques disposent de deux options pouvant r\u00e9soudre ce probl\u00e8me. Premi\u00e8rement, vous pouvez former vos utilisateurs afin qu’ils utilisent des mots de passe uniques sur chaque site et que ces mots de passe soient relativement longs (et \u00e9ventuellement complexes). Cependant, la mise en \u0153uvre de cette strat\u00e9gie est difficile et implique l’octroi d’une grande confiance \u00e0 vos utilisateurs.<\/p>\n\n\n\n De nombreux utilisateurs s’y conformeront, mais certains ne le feront pas, et ceux qui ne le feront pas deviendront le maillon faible du r\u00e9seau informatique de votre organisation.<\/p>\n\n\n\n Une bonne hygi\u00e8ne des mots de passe est un \u00e9l\u00e9ment essentiel de la formation \u00e0 la s\u00e9curit\u00e9, mais de nombreux administrateurs informatiques ne peuvent pas se fier uniquement \u00e0 leurs utilisateurs.<\/p>\n\n\n\n Et, pour \u00eatre honn\u00eate, m\u00eame si vos utilisateurs finaux font tout ce qu’il faut, une faille sur un site tiers cl\u00e9 peut encore compromettre vos mots de passe – sans que vos utilisateurs finaux en soient responsables.<\/p>\n\n\n\nQu’est-ce que l’authentification multifactorielle ?<\/h2>\n\n\n\n
\n
Histoire de l’authentification multifactorielle<\/h2>\n\n\n\n
Pourquoi l’authentification multifactorielle est-elle n\u00e9cessaire ?<\/h2>\n\n\n\n
Faiblesses inh\u00e9rentes \u00e0 l’utilisation des mots de passe<\/h2>\n\n\n\n
\n
Comment l’MFA renforce la s\u00e9curit\u00e9 des mots de passe<\/h2>\n\n\n\n