Pourquoi le déploiement d’une solution d’Authentification Multi Facteurs est devenu indispensable ?

Déploiement MFA - Authentification Multi Facteur

Le déploiement d’une solution d’Authentification Multi Facteur (MFA) permet de vérifier l’identité d’un utilisateur qui souhaite accéder à une ressource informatique (application, compte cloud, accès réseau local) au sein d’une entreprise. Elle contribue à protéger l’identité et l’accès de vos utilisateurs en exigeant un ou plusieurs facteurs de d’authentification supplémentaires et diminue les chances de réussite d’une cyberattaque.

Comment déployer votre MFA dans votre organisation ? Quels sont les règles à respecter pour garantir la protection de vos utilisateurs ? Pourquoi privilégier la protection de l’utilisateur à celle de votre réseau local ? Ce sont les questions que nous allons poser dans cet article.

Les accès aux applications informatiques de plus en plus vulnérables

En quelques années, notre utilisation de l’informatique en entreprise a totalement changé, particulièrement ces derniers mois.
Nous sommes passé d’un univers centré sur des équipements locaux (serveur -AD-, Firewall, postes fixes), facilement contrôlable à une architecture orientée Cloud (hybride), privilégiant l’autonomie de l’utilisateur.
La crise sanitaire et le recours massif au télétravail n’a fait qu’accélérer cette tendance.
La transformation digitale tant espérée depuis des années ; avançant à pas comptés ; adoptée frileusement par une partie des utilisateurs, était censée être pilotée par le CEO, le DSI ou des professionnels (consultants extérieurs). Elle a finalement été décidé et acté par le Covid-19 en quelques mois !
Résultat : chaque utilisateur peut accéder de n’importe ou aux ressources de l’entreprise avec un simple log et un mot de passe ; par le biais de différents portails ; avec différents « devices » qui ne sont pas forcément fournis et maintenu par l’entreprise :
Messagerie, Drive, espace de travail collaboratif, CRM, logiciel de gestion commerciale, de comptabilité, etc…

Ces mots de passe sont censés être complexes et doivent être changé régulièrement. A part quelques « bonnes & bons élèves » personne ne s’astreint à cette discipline. Nous ne sommes pas censés les communiquer. Les hackeurs rivalisent d’ingéniosité pour engager des utilisateurs pas toujours correctement sensibilisés à leur communiquer directement : Hameçonnage, « phishing », réinitialisation du mot de passe, enregistrement des frappes

Accès Utilisateur - Sécurité Informatique

Le mot de passe ne suffit plus dans la protection des accès utilisateurs

Des sites internet se font piratés ou ne sont pas assez sécurisés et des millions de logs et de mots de passe se retrouvent disponibles sur le « Dark web ».

Les exemples sont légions, des centaines de milliers d’identifiants de compte Zoom sont en vente.
Dans ces deux derniers cas, la complexité du mot de passe ne sert à rien, les pirates les ont déjà en main et disposent même d’outils leur permettant de déduire les quelques changements de caractères que la plupart d’entre nous, appliquons sur nos mots de passe habituels pour en créer de soi-disant nouveaux.
Plus de 50% des utilisateurs réutilisent leurs mots de passe ou n’y apportent que des modifications mineures.

Il faut ajouter à cela que la migration vers le Cloud à pas forcé s’est souvent faite dans la précipitation et sans véritable cloisonnement des ressources.
Résultat : personne n’est à l’abri et des données sensibles de l’entreprises peuvent être irrémédiablement compromises ou supprimées.

Ce n’est pas qu’une question de moyens et de compétences, des grands comptes se sont fait piégés.
En termes de cybersécurité, les bonnes vieilles méthodes de protection déployées sur site ne sont plus suffisantes et la sensibilisation des utilisateurs ne suffit pas.
Le constat actuel : 81% des entreprises avouent ne pas gérer les vulnérabilités des ressources dans le Cloud.
Résultat : les « hackers » l’ont bien enregistré et l’année écoulée a vu le nombre d’attaques dans le Cloud augmenter de 640 %.
Alors nous pouvons parler d’audit, de test d’intrusion, de « pentest« , prévoir des réunions sans fin, écrire des beaux rapports et lancer une énième sensibilisation des utilisateurs sur l’importance d’avoir un mot de passe fort et unique…

Pourquoi mettre en place une Authentification Multi Facteur ?

Celle-ci bloque 99,9 % des attaques de compromission de compte.

Cette technologie est au centre du concept du « zéro trust« , qui va mettre l’identité de l’utilisateur au centre de la sécurité du réseau plutôt que de tout miser sur la sécurisation d’un réseau local.

Les principes du Zero trust :

  • Des dangers sont présents en permanence sur le réseau, à l’intérieur ou à l’extérieur.
  • Tous les flux doivent être authentifiés et autorisés.
  • Les logs doivent être analysés et les règles ne sont pas figées, mais évoluent en fonction des nouvelles sources de données.
Zero Trust - Modèle Sécurité

Quel est le principe de fonctionnement de l’Authentification Multi Facteurs ?

Pour qu’une authentification soit dite forte, il faut que les identifiants d’un utilisateur proviennent d’au moins deux parmi trois catégories de facteurs.

MFA - Multiple Facteur d'Authentification

Dans la grande majorité des cas :

Facteur 1 – correspond à un élément que l’utilisateur est le seul à connaitre : mot de passe, phrase, nom de son chien…

L’utilisateur va classiquement saisir son log et son mot de passe pour accéder à sa ressource.

Facteur 2 – correspond à ce que l’utilisateur a en sa possession : smartphone, Token matériel.

L’utilisateur va recevoir une demande d’authentification qu’il devra valider dans un certain laps de temps.

2 facteurs suffisent pour qualifier une Authentification Multi Facteur.

Facteur 3 – Il est possible d’ajouter un troisième facteur lié directement à l’utilisateur : facteur de biométrie (empreinte digitale, rétine, voix ou visage).

L’utilisateur devra en plus de la validation de l’authentification procéder à l’identification d’une des caractéristiques propres à sa personne.

Il est fort probable que la combinaison des facteurs 2 et 3 se généralise à l’avenir au détriment du facteur 1, de façon à supprimer l’utilisation de mot de passe.

5 conseils avant de déployer une solution d’Authentification Multi Facteurs

Déployer une solution de MFA est assez simple, mais il est conseillé de :

1. Sensibiliser les utilisateurs en amont de la mise en place de votre solution de MFA.

Tout changement dans les habitudes de travail peut induire un stress qui peut mener au rejet ou pour le moins à la résistance dans l’adoption d’une nouvelle solution.
Trop souvent une augmentation de la cybersécurité est ressentie comme une privation de liberté ou une contrainte par l’utilisateur. Donc n’hésitez pas à communiquer sur les enjeux liés à ce déploiement.

2. Faire un état des lieux du matériel à disposition de vos utilisateurs.

Si par exemple vos utilisateurs doivent s’identifier avec un smartphone, mais que ces derniers ne sont pas fournis par l’entreprise, il est possible que certains refusent fort justement d’utiliser leur smartphone personnel pour s’identifier.
Dans ce cas il faut privilégier l’équipement de « token » physique.

3. Évaluer le périmètre d’utilisation du MFA dans votre entreprise.

Il convient de bien lister et analyser les ressources de l’entreprise, leur niveau de sensibilité, le cloisonnement de ces ressources avant de définir du besoin ou pas d’une authentification forte.

Pour certaines entreprises, qui utilisent principalement un environnement Microsoft 365 (Messagerie Outlook, One Drive et SharePoint), le MFA gratuit inclus dans Microsoft 365 suffira alors largement.

Pour d’autres, optimiser la cybersécurité impliquera de protéger la session utilisateur, l’accès de leur CRM, leur logiciel de comptabilité ou des outils métier spécifiques.
Dans ce il sera nécessaire de s’équiper d’une solution dédiée.
Apo’g a sélectionné l’offre Authpoint de Watchguard qui permet à moindre coût (2 €HT par mois et par utilisateur) de bénéficier de toutes ces possibilités et qui est ultra intuitive pour l’utilisateur.

4. Prévoir une procédure si l’utilisateur ne peut accéder au « device » servant à la double authentification.

Si l’utilisateur n’a pas sous la main le smartphone permettant de valider son authentification, il ne pourra pas accéder à ses ressources.

Les causes peuvent être multiples : oubli, panne, perte, vol. Le résultat en revanche sera le même : un utilisateur stressé qui ne va surement pas attendre calmement 1 journée.

Il faut anticiper ce type d’urgence et il convient donc de privilégier un accès rapide à un support pour cet utilisateur et de déclencher une série d’actions :

  • Suppression des sessions en cours et nouvelle authentification de l’utilisateur.
  • Dissociation du terminal et des droits d’accès correspondant.
  • Idéalement, supprimer à distance les informations contenus dans le smartphone.

Vérifier que la sécurité de votre infrastructure n’est pas compromise et enfin mettre au plus vite à disposition de l’utilisateur un équipement de remplacement.

5. Accompagner les utilisateurs lors du déploiement et mettre à disposition du support sur la première semaine d’utilisation.

Lors du déploiement de la solution de MFA, il conviendra de bien s’organiser et de prévoir un bon planning de déploiement avec les utilisateurs.
Une grande partie se fait à distance, mais il faudra à un moment prendre la main sur le terminal de vos utilisateurs et idéalement les accompagner dans leur première authentification.

Sans ces précautions cela peut entrainer :

  • Une mauvaise compréhension de l’utilisation du MFA par l’utilisateur
  • Un retard dans le déploiement et donc des failles dans la cybersécurité
  • L’impossibilité pour certains utilisateurs à se connecter aux ressources.

Donc prévoyez bien en amont votre plan de bataille et assurez vous que les créneaux soient respectés et les utilisateurs disponibles.

Découvrez comment simplifier la mise en place de la double authentification avec WatchGuard, l’outil MFA préféré des équipes IT.

Vous souhaitez en savoir plus ?

Nous contacter : 0140649393