
Qu’est-ce que l’authentification multifactorielle (MFA) ?
Comment savoir si une personne est bien celle qu’elle prétend être ? En bref, c’est la question à laquelle l’authentification se propose de répondre.
Voici le problème : la vérification de l’identité est devenue extrêmement complexe. Les noms d’utilisateur et les mots de passe ne suffisent pas, c’est pourquoi de nombreuses entreprises se tournent vers l’authentification multifactorielle.
Vous n’utilisez pas encore l’authentification multifactorielle ? Vous voulez savoir comment protéger votre entreprise grâce à ce procédé ? Lisez la suite pour tout savoir sur l’authentification multifactorielle et pourquoi elle s’impose comme un élément essentiel de votre dispositif de cybersécurité.
Qu’est-ce que l’authentification multifactorielle ?
Selon le National Institute of Standards and Technology (NIST), l’authentification multifactorielle est une méthode qui nécessite plus d’un « facteur d’authentification » distinct pour utiliser un site web, une application ou un système.
Un facteur d’authentification est un identifiant de sécurité qui vérifie l’identité d’un utilisateur lorsqu’il tente d’accéder à une ressource particulière. Par exemple, lorsqu’une personne se connecte à un compte de messagerie, elle soumet généralement un nom d’utilisateur et un mot de passe. Ces éléments constituent une forme d’identification, indiquant que la demande d’accès provient d’une personne légitime et non d’un imposteur.
L’authentification multifactorielle vise à rendre ce processus plus sûr en exigeant au moins un facteur supplémentaire, d’où le nom « authentification multifactorielle ». Pourquoi ? En effet, lorsque des pirates compromettent des identifiants de connexion, ils peuvent obtenir un accès non autorisé à des ressources clés et à des informations sensibles.
Supposons que des cybercriminels piratent un compte appartenant à un utilisateur privilégié (par exemple, une personne autorisée à accéder à des systèmes informatiques critiques et à effectuer des activités que les utilisateurs ordinaires ne sont pas autorisés à faire). Ils peuvent exfiltrer des masses de données confidentielles, comme des numéros de sécurité sociale, des informations financières, etc. Une fuite de données peut entraîner le vol de l’identité d’un employé ou d’un client et avoir des répercussions importantes sur l’activité de l’entreprise, le coût s’élevant à 4,45 millions de dollars en moyenne.
C’est là que les solutions d’authentification multifactorielle entrent en jeu. Avec le bon système, les organisations peuvent protéger l’identité du personnel, des consommateurs et des citoyens grâce à des couches d’authentification forte.
Quelle est la différence entre l’authentification multifactorielle et l’authentification à deux facteurs (A2F) ?
L’AMF et l’A2F sont des concepts extrêmement proches, mais pas tout à fait identiques.
En termes simples, l’A2F est une méthode d’authentification qui requiert exactement deux identifiants, ni plus, ni moins. Il s’agit donc d’un sous-type d’AMF qui, elle, exige au minimum deux facteurs.
En théorie, l’AMF est généralement plus sûre que l’A2F, car elle peut englober autant de facteurs d’authentification que vous le souhaitez pour un cas d’utilisation spécifique. Chaque facteur supplémentaire rend l’accès non autorisé plus difficile, ce qui permet d’ajouter une couche de protection supplémentaire entre les pirates et les informations sensibles.
L’A2F reste pour autant une méthode sûre. Elle offre une bien meilleure sécurité que l’authentification à facteur unique, car les protections traditionnelles par mot de passe sont beaucoup trop vulnérables aux cybermenaces modernes.
Exemples d’authentification multifactorielle
Comment les organisations utilisent-elles les solutions d’AMF ? Voici deux des cas d’utilisation les plus courants :
- Accès à distance pour les employés : rien qu’aux États-Unis, un tiers des employés dont le poste est compatible avec le télétravail exercent régulièrement leur emploi à domicile. Pour s’adapter au travail hybride qui se développe dans le monde entier, les entreprises doivent fournir aux utilisateurs un accès à distance sécurisé aux ressources critiques. Les solutions d’AMF permettent de vérifier et de protéger les identités des travailleurs tout en tenant compte de la commodité de pouvoir travailler de n’importe où.
- Accès au système sur site : de même, les systèmes sur site, comme ceux des hôpitaux, doivent préserver les informations confidentielles. Avec la bonne solution d’AMF, les employés peuvent utiliser les badges de proximité en plus de leurs identifiants pour accéder rapidement et en toute sécurité aux bases de données des patients.
Comment fonctionne la MFA ?
Le processus dépend de la méthode d’AMF utilisée. Toutefois, indépendamment des spécificités, le processus fonctionne généralement de la manière suivante :
- Connexion : l’utilisateur saisit son nom d’utilisateur et son mot de passe.
- Demande d’authentification : si la connexion principale est réussie, le système demande un facteur supplémentaire.
- Vérification par AMF : l’utilisateur fournit le deuxième facteur, tel qu’un code à usage unique généré par une application d’authentification.
- Troisième facteur facultatif : Une solution d’AMF peut invoquer davantage de demandes d’authentification si elle est configurée à cet effet.
- Authentification réussie : si tous les facteurs sont vérifiés, l’utilisateur a accès au système.
Ce processus ne prend généralement que quelques instants et n’a que peu d’impact sur l’expérience de l’utilisateur. En fin de compte, cela dépend du nombre de facteurs d’AMF dont vous avez besoin, qui se répartissent en trois catégories : connaissance, possession et inhérence.
1. Facteur de connaissance
Le facteur de connaissance fait référence à quelque chose que seul l’utilisateur connaît, comme un mot de passe ou un code PIN. Les systèmes d’AMF ont ajouté des facteurs de connaissance au fil du temps, l’exemple le plus courant étant la réponse à une question secrète (par exemple, le nom de jeune fille de votre mère, la mascotte de votre lycée, etc.).
Il s’agit toutefois du facteur d’AMF le plus faible, car il peut être facilement deviné. Par exemple, les pirates peuvent très facilement obtenir les réponses aux questions secrètes en parcourant les profils des réseaux sociaux, car elles sont souvent basées sur des informations personnelles. De même, elles sont susceptibles de faire l’objet d’attaques par hameçonnage.
2. Facteur de possession
Le facteur de possession fait référence à un élément que seul l’utilisateur peut avoir. Aujourd’hui, il existe plusieurs types avancés de vérification liée à la possession, tels que :
- Code à usage unique : délivré par courrier électronique ou par SMS.
- Notification push : alertes envoyées sur l’appareil mobile de l’utilisateur pour lui demander de confirmer sa demande d’accès, l’idée étant que seul le propriétaire dispose de l’appareil.
- Jeton matériel : clés FIDO2 et autres dispositifs physiques que les utilisateurs branchent sur un bureau. Ils contiennent des informations chiffrées qui authentifient l’identité de l’utilisateur.
- Carte GRID : les cartes papier imprimées à partir de fichiers PDF contiennent une grille de lignes et de colonnes composées de chiffres et de caractères. Les utilisateurs doivent fournir les informations correctes dans les cases correspondantes de la carte unique qu’ils possèdent.
3. Facteur inhérent
Le facteur inhérent comprend des informations qui sont propres à l’utilisateur. Par rapport aux deux autres facteurs, ce que l’on sait et ce que l’on a, il est plus facile d’associer le facteur inhérent à ce que l’on est. C’est pourquoi on parle également d’authentification biométrique, en s’appuyant sur des méthodes d’AMF telles que :
- Empreintes digitales
- Scan de la rétine
- Reconnaissance vocale
- Reconnaissance faciale
L’authentification biométrique étant par nature difficile à contourner, les facteurs inhérents comptent parmi les options les plus sûres disponibles.
Facteurs d’AMF supplémentaires
Outre les trois identifiants principaux, les solutions de pointe peuvent utiliser trois nouveaux facteurs d’AMF :
- Heure : ce facteur évalue la tentative d’accès par rapport aux temps d’utilisation prévus. Si une demande est faite en dehors des heures de bureau, la solution peut exiger un facteur supplémentaire.
- Lieu : les solutions d’AMF peuvent valider les demandes sur la base de la localisation géographique ou de l’adresse IP, afin de s’assurer qu’elles proviennent d’une position autorisée.
- Comportement : ce facteur analyse les habitudes de l’utilisateur, comme la dynamique de la frappe au clavier, afin de confirmer l’identité sur la base d’actions historiques ou habituelles.
Ensemble, ces facteurs renforcent l’AMF classique par des mécanismes de sécurité plus sophistiqués. Ces facteurs offrent aussi une méthode d’AMF adaptative, mais nous y reviendrons plus tard.
Vous voulez en savoir plus ? Téléchargez notre dernier livre électronique et découvrez la puissance d’Entrust Identity.
Pourquoi l’AMF est-elle importante ?
Les pirates informatiques ciblent les identités sans relâche. En 2023, plus de 8,2 milliards de dossiers ont été volés lors d’attaques basées sur les identifiants, dont 3,4 milliards lors d’une seule fuite de données. Bien entendu, les conséquences peuvent être dévastatrices : fraude, usurpation d’identité, violations de la conformité, pertes financières, atteinte à la réputation. La liste est longue.
Malheureusement, de nombreuses entreprises ne sont pas suffisamment préparées aux menaces ciblant l’identité. Selon une étude de 2023, 61 % des organisations ont déclaré que la sécurisation de l’identité numérique était une priorité absolue. Pourtant, seules 49 % d’entre elles ont mis en œuvre une AMF complète. Avec une solution d’AMF efficace, elles auraient réduit le risque de piratage de 99 %.
AMF et Zero Trust
En effet, l’AMF est une réponse adéquate aux cybermenaces anciennes et actuelles, mais elle est également essentielle à la cyberrésilience future. En d’autres termes, il s’agit d’un élément indispensable à la sécurité Zero Trust.
Zero Trust est un cadre de sécurité moderne qui met l’accent sur une authentification forte, non pas une seule fois, mais en continu tout au long d’une session. Avec un système d’AMF robuste, intégré à une plateforme de gestion des identités et des accès (GIA), les entreprises peuvent mettre en œuvre l’un des trois piliers de ce cadre d’un seul coup. Le résultat ? Vous réduisez ainsi votre exposition aux accès non autorisés et aux attaques basées sur l’identité.
Avantages et défis de l’AMF
Pourquoi s’embarrasser avec l’authentification multifactorielle ? Tout d’abord, elle présente de nombreux avantages :
- Sécurité des données renforcée : L’authentification multifactorielle protège contre la fatigue du mot de passe, les attaques par hameçonnage et d’autres menaces basées sur les identifiants, réduisant ainsi le risque de prise de contrôle des comptes.
- Une conformité améliorée : Il aide également les organisations à répondre à diverses exigences réglementaires et normes industrielles. En utilisant l’authentification multifactorielle, les organisations peuvent démontrer leur engagement à protéger les données.
- Confiance accrue : Lorsque les clients savent qu’une organisation emploie des mesures de sécurité robustes telles que l’AMF, ils ont davantage confiance dans la sécurité de leurs données personnelles et financières.
- Coûts réduits : En mettant en place une AMF, les organisations se prémunissent contre les dépenses substantielles liées à la réponse aux incidents, aux frais juridiques, aux amendes réglementaires et à l’atteinte à la réputation. Elle contribue également à limiter les réinitialisations de mots de passe et d’autres coûts liés à l’assistance, car les utilisateurs sont moins susceptibles de voir leur compte compromis.
Toutefois, il convient de noter que l’AMF pose certaines problématiques. Voici quelques exemples :
- Inconvénients : D’autres facteurs peuvent conduire à une mauvaise expérience utilisateur, ce qui est source de frustration pour les employés et les clients.
- Vulnérabilités potentielles : L’AMF est un excellent mécanisme de sécurité, mais il n’est pas à l’abri d’une attaque. Certains vecteurs de menace, comme le bombardement d’invites ou l’échange de carte SIM, prouvent que les organisations ont réellement besoin d’une plateforme GIA complète en plus de l’authentification multifactorielle.
Qu’est-ce que l’authentification adaptative ?
L’authentification adaptative, également connue sous le nom d’AMF adaptative ou d’authentification basée sur le risque, est un type de vérification progressive.Elle consiste à analyser les informations contextuelles pour déterminer le niveau de risque du profil de l’utilisateur qui demande l’accès à une ressource, en augmentant ou en réduisant les exigences de sécurité en conséquence.
Plus simplement, l’AMF adaptative exige des facteurs supplémentaires la demande est plus susceptible d’être illégitime. Plus le risque est grand, plus les vérifications seront importantes.
Par exemple, l’authentification adaptative évalue les éléments suivants :
- Nombre de tentatives de connexion échouées
- Adresse IP source ou emplacement géographique
- Réputation des périphériques
- Jour et heure de la tentative
- Système d’exploitation
- Rôle de l’utilisateur
Si la demande d’accès est suspecte, l’utilisateur peut être invité à confirmer son identité à l’aide d’un code à usage unique ou d’une notification push. De même, si tout est normal, l’utilisateur disposera d’un accès simple et donc d’une expérience fluide.
Meilleures pratiques pour la mise en œuvre de l’authentification multifactorielle
Vous vous inquiétez pour la mise en œuvre de votre solution d’authentification multifactorielle ? Recherchez un système GIA robuste qui inclut non seulement l’authentification adaptative, mais aussi des moyens d’augmenter ses capacités. Voici quelques mesures de sécurité supplémentaires à prendre en compte :
- L’authentification unique permet aux utilisateurs d’accéder à plusieurs applications à l’aide d’un seul jeu d’identifiants de connexion. Dans le cadre d’un portefeuille GIA, l’authentification unique atténue le risque d’une mauvaise expérience utilisateur tout en tirant parti de la sécurité de l’AMF adaptative.
- L’authentification sans mot de passe réduit le risque d’une mauvaise hygiène des mots de passe. Il s’agit d’utiliser à la place l’authentification biométrique et des méthodes basées sur les identifiants, comme les certificats numériques, pour valider les identités.
- L’authentification par notification push est un type d’authentification sans mot de passe qui envoie une notification push sur l’appareil mobile de l’utilisateur. Ce dernier peut ainsi balayer l’écran ou toucher un bouton pour approuver des transactions, accéder à des applications ou se connecter à des applications d’entreprise.
Entrust Identity : une authentification multifactorielle d’une grande fiabilité
Entrust Identity est notre portefeuille de fonctionnalités de gestion des identités et des accès. Avec une seule plateforme GIA, vous bénéficiez d’une suite complète d’outils d’authentification multifactorielle et de facteurs d’authentification pour protéger votre personnel, vos consommateurs ou vos citoyens contre les menaces actuelles en constante évolution.
De l’AMF adaptative à l’authentification sans mot de passe et plus encore, nous avons toutes les mesures de sécurité dont vous avez besoin pour vous protéger efficacement.
