Sécuriser les systèmes d’informations des organisations sans dégrader l’expérience utilisateurs est un véritable défi dans un contexte d’augmentation des menaces. L’authentification multifactorielle est une solution efficace, à condition de disposer des bons outils pour en garantir l’opérabilité et l’efficience.
Identifiants et mots de passe : le maillon faible de la cyber sécurité
Le vol d’identifiants est la technique la plus répandue et la plus simple pour s’emparer d’informations sensibles, ou s’introduire frauduleusement dans les systèmes d’information des organisations privées ou publiques.
Le phishing ou encore le social engineering compte parmi les techniques les plus répandues pour voler les couples login-mots de passe des usagers. Sans compter qu’une grande majorité d’entre eux utilisent des mots de passe trop simples, identiques sur plusieurs applications ou services numériques, affichés sur un pense-bête, enregistrés dans leur navigateur, etc.
Et les chiffres sont édifiants : au premier semestre 2023, le phishing a augmenté de plus de 54 % par rapport au deuxième semestre 2022 (742,9 millions contre 482,2 millions) selon Vade. Tandis que 30 000 sites sont piratés quotidiennement à l’échelle mondiale. Quant aux motivations des violations en ligne, elles sont d’ordre financier à 71 %, avec un coût moyen le plus élevé dans le secteur de la santé de 9,23 millions de dollars. (source : article paru sur lebigdata.fr).
Vers une généralisation de l’authentification multifactorielle
Face à l’augmentation des menaces et des conséquences potentielles sur l’ensemble de l’économie ou de la sécurité par effet domino, le cadre législatif et normatif se renforce progressivement, incitant les organisations à généraliser l’authentification multifactorielle :
- DSP2 : depuis 2018, la directive européenne exige des commerçants et prestataires de services de paiement un renforcement de la sécurité des paiements en ligne.
- NIS2 : renforcement de la résilience des infrastructures IT des opérateurs de services essentiels (OSE). Ce qui passe par une meilleure protection des systèmes, notamment par une sécurisation accrue des comptes utilisateurs.
- Règles et recommandations de l’ANSSI, dont le référentiel général de sécurité (RGS) qui vise à renforcer la sécurité des administrations et des services publics.
Dans ce contexte réglementaire renforcé mais également face à l’augmentation des menaces, un nombre croissant d’entreprises adopte une approche Zero Trust. Laquelle commence nécessairement par une démarche d’authentification systématique des serveurs internes (par certificat) et du chiffrement des flux internes (via protocole TLS, et donc par l’utilisation et le déploiement de certificats X509).
Et se poursuit par la mise en œuvre de l’authentification multi-facteurs (MFA, ou authentification forte) pour les utilisateurs, afin de sécuriser les accès aux applications et au système d’information en général, notamment depuis l’extérieur (collaborateurs en mobilité ou en télétravail). Dans ce cas, un VPN est généralement mis en place, ce qui implique une authentification de l’utilisateur sur le VPN, le plus souvent par certificat.
Cette MFA, tous les usagers d’Internet la connaissent : un code envoyé par SMS ou par mail, voire l’utilisation de la biométrie. Mais dans le milieu professionnel, il n’est pas forcément possible d’utiliser le téléphone personnel des collaborateurs, et certains syndicats s’y opposent d’ailleurs. Et quand bien même : toutes les authentifications multi-facteurs (MFA) ne se valent pas. Certes plus sûres que le couple login-mot de passe traditionnel, les méthodes de mots de passe à usage unique par SMS ou mail, ou via des applications d’authentification, ne sont pas imperméables au phishing.
Dès lors, la meilleure sécurisation des « secrets » côté utilisateurs est l’utilisation d’un hardware (token) dédié, protégé et amovible : clés USB sécurisées, cartes à puce, etc. Parmi les solutions les plus utilisées : Yubico, CFNet (technologie Thales), sur la base de protocoles FIDO U2F, FIDO 2 ou encore PIV. Concrètement, dans le cas du protocole PIV, le token contient un secret cryptographique et un certificat numérique délivré par une autorité (interne ou publique) qui permet de faire le lien entre l’identité numérique du porteur et le secret qu’il possède (type code PIN) et constitue le second facteur d’authentification. À noter que le token peut aussi porter des certificats de chiffrement ou de signature.
L’authentification forte doit être couplée à une stricte gestion des identités
Si l’authentification forte apporte un certain nombre de garanties complémentaires quant aux identités des utilisateurs du système d’information, y compris depuis l’externe, elle ne constitue en rien une solution miracle. Elle implique notamment une organisation et une gestion drastique :
- Un strict suivi des entrées et sorties des collaborateurs permet de ne pas laisser dans la nature des clés capables d’entrer dans le système d’information.
- Un inventaire des clés autorisées, de leur affectation et de leur état doit être disponible et supervisé. Ce qui permet :
o de gérer l’oubli exceptionnel de la clé par un collaborateur (sans perte et donc sans suspendre temporairement l’accès) ;
o de révoquer immédiatement l’accès en cas de perte ou de vol de la clé, comme le propose par exemple Yubico.
En complément, l’organisation doit être en mesure de gérer les codes d’administration et les politiques de sécurité des codes PIN :
- Imposer des politiques de codes PIN pour éviter les codes par défaut, trop simple ou triviaux.
- Changer et garder en central dans une autorité de séquestre les codes d’administration pour pouvoir faire une remise à zéro de la clé, ou changer le code PIN en cas d’oubli. Et là aussi, ne pas laisser les codes par défaut.
En d’autres termes, le seul déploiement de l’authentification multifactorielle ne suffit pas. Les solutions de gestion des tokens (couplées à une gestion rigoureuse des certificats dans le cas d’une utilisation du protocole PIV) sont essentielles pour une démarche de sécurisation pleine et entière, notamment dans le cadre de l’utilisation de clés USB sécurisées. Avec un double objectif : rendre les utilisateurs autonomes et garantir une supervision et une gestion centralisées.
Découvrez nos solutions BerryTMS, de gestion des clés de sécurité, et BerryCert, de gestion des certificats numériques, conçues pour travailler de concert et vous apporter le meilleur niveau de sécurité et une expérience utilisateurs optimales dans la configuration à distance, la génération locale de secrets cryptographiques et le self-provisioning des certificats numériques.
