Les mauvaises pratiques sont encore très nombreuses en cybersécurité, que cela soit dans l’espace privé ou au travail avec, selon nos recherches, 48 % des professionnels de l’informatique français qui réutilisent les mêmes mots de passe. Un chiffre qui confirme que les entreprises ne bénéficient toujours pas d’une gestion optimale des mots de passe et de l’authentification. Beaucoup d’entreprises s’évertuent en effet à renforcer leurs procédures de cybersécurité, mais il s’agit de bien connaitre ses besoins et de pouvoir évaluer l’outil adéquat.
62 % des français interrogés estiment que leur organisation ne prend pas les mesures nécessaires pour protéger les informations sur leurs téléphones portables. Cela comprend notamment l’absence d’utilisation de l’authentification à deux facteurs (2FA), qui offre pourtant une protection accrue tout en étant facile d’utilisation. De nombreux outils 2FA sont disponibles pour les entreprises, mais les méthodes peuvent varier. Des SMS aux applications d'authentification mobile, en passant par les solutions matérielles telles que les clés de sécurité FIDO, il existe différents niveaux d'efficacité, de sécurité et de flexibilité. C’est pourquoi avant tout déploiement de ce type, une organisation doit définir ses besoins et la manière de répondre au mieux à cinq critères majeurs : la sécurité, l’ergonomie, la portabilité, la fonctionnalité et la durabilité.
La sécurité – Le niveau de protection offert par la méthode 2FA choisie constitue la principale considération. La plupart de ces techniques d’authentification forte sont ainsi basées sur mobiles. Or ces derniers sont particulièrement visés par des attaques de phishing et man-in-the-middle ; et les SMS par des escroqueries de SIM Swap, avec pour conséquence des millions d’euros volés aux utilisateurs à travers le monde. Compte tenu du recours massif au télétravail ces derniers mois et de l'augmentation des attaques de phishing liées au COVID-19, il est fortement recommandé d'envisager des outils d'authentification basés sur des standards ouverts, tels que WebAuthn et FIDO2. Ces normes sont basées sur la cryptographie à clé publique et ont fait leurs preuves pour éliminer les prises de contrôle de comptes.
L’ergonomie – Les employés trouvent bien souvent des solutions de rechange s’ils considèrent que les outils mis à leur disposition ne leur permettent pas de mener à bien leur missions de manière optimale. C’est la raison pour laquelle il est essentiel que les entreprises proposent des outils 2FA faciles à installer et à utiliser ; critère d’autant plus important pour les organisations multisites, ou dont le personnel télétravaille fréquemment, car le support IT est alors souvent plus difficile à contacter. Une autre considération majeure est la facilité avec laquelle les administrateurs pourront mettre en œuvre l’outil d’authentification supplémentaire ; afin qu’il soit simple à déployer et à gérer, avec la possibilité de pré-enregistrer les utilisateurs et de supprimer l’accès à ceux qui quittent l’organisation.
La portabilité – La compatibilité est un aspect important, dans la mesure où les employés utilisent aujourd’hui plusieurs terminaux : ordinateurs de bureau, PC portables et téléphones. Ils ont également accès à un large éventail de réseaux, de comptes professionnels et d’applications. Afin d’optimiser la commodité, et donc le recours au système d’authentification et son adoption, les utilisateurs doivent pouvoir s'authentifier sur tous les appareils et services, et dans diverses circonstances.
Par exemple, les téléphones et les ordinateurs peuvent être perdus, volés ou remplacés, ce qui rend difficile le recours à des méthodes d'authentification mobile qui reposent seulement sur un seul appareil. Si ce dernier est égaré ou cassé, les utilisateurs devront passer par des processus de récupération de compte lourds, juste pour accéder à leurs informations importantes. Sans oublier que les téléphones portables ne sont pas autorisés dans certains environnements, comme les hôpitaux, les centres d'appels ou les laboratoires de recherche.
La fonctionnalité – La méthode 2FA choisie doit être adaptée à toutes les applications qu’elle protègera, être prête à l’emploi et ne pas nécessiter l’installation d’un logiciel, car c’est un obstacle supplémentaire à son utilisation et à sa maintenance. Il s’agit en effet d’un cyber-risque supplémentaire, car de nombreux utilisateurs font rarement, voire jamais, les mises à jour logiciels disponibles.
La durabilité – La résilience est aussi un critère majeur pour certaines organisations : les employés en première ligne - notamment dans des secteurs tels que la vente au détail, la fabrication, les soins de santé ou les services publics - peuvent être exposés à des environnements plus difficiles que la plupart des autres actifs. La résistance à l'eau et aux chocs, une durée de vie prolongée de la batterie ou encore un fonctionnement hors ligne peuvent devenir des facteurs déterminants pour la sélection d’un outil 2FA. Pour la plupart des utilisateurs, même l'usure quotidienne peut avoir des conséquences sur les téléphones ou les tokens physiques fonctionnant sur batterie, car les chutes et les accidents sont récurrents.
Une authentification forte et efficace permet aux entreprises de lutter contre les cybermenaces. Elle contribue également à atténuer les problèmes liés aux mauvaises pratiques de sécurité ; comme la dépendance à des identifiants statiques et faibles, tels que les mots de passe. Il est donc important de choisir la méthode 2FA la plus appropriée à ses besoins et à ses employés afin que sa mise en œuvre au sein des organisations fonctionne, et que les entreprises tirent parti des avantages durables de leur déploiement.
Par Laurent Nezot, Sales Director France chez Yubico