Moderniser l'authentification en entreprise, une urgence de sécurité absolue

Le phishing est la principale cause des brèches de sécurité et a le meilleur taux de réussite de tous les vecteurs de menace. L'identité est la surface d'attaque privilégiée des cybercriminels, du fait d'une sécurisation parfois peu optimale dans certaines entreprises.

En 2020, de nombreuses organisations ont été contraintes d’adopter en quelques jours le télétravail du fait de la crise sanitaire. Elles ont alors tant bien que mal fait évoluer leur stratégie de sécurité pour inclure leurs employés désormais distants. Mais, bien souvent, ces solutions d’urgence n’ont pas été modifiées depuis et comportent toujours des failles. En parallèle, compte tenu de la sophistication croissante des cyberattaques, les solutions traditionnelles d’authentification ne sont plus suffisantes.

Adapter la stratégie de cybersécurité aux risques et à ses besoins

La prise de conscience des cyber-risques liés à l’identité croît actuellement au sein des organisations, notamment par l’observation des campagnes de cyberattaque visant des concurrents et de l’impact sur ces derniers (baisse d’activité, réputation ternie, voire la chute du cours de l’action en Bourse). C’est pourquoi la volonté de renforcer et moderniser la sécurité des accès provient désormais régulièrement du comité exécutif. Les résultats attendus sont divers, mais visent tous à faire face aux cybermenaces actuelles : renforcement de la sécurité, et en particulier blocage du phishing ; déploiement d’une solution unique à toutes les équipes, les couches de sécurité ayant eu tendance à se multiplier et à différer d’un employé à l’autre au fur et à mesure des années ; expérience utilisateur simplifiée, afin de garantir une adoption de tous, une rationalisation des budgets en optimisant les coûts ; et, enfin, une conformité avec la législation en vigueur, dont le RGPD.

Il est cependant difficile d’y voir clair pour les entreprises dans la multitude d’outils et de types de couches de sécurité disponibles actuellement sur le marché. Pour cette raison, elles doivent définir précisément leurs besoins, notamment le rapport risque/prix ou encore l’accompagnement technique dans toutes les régions où les organisations sont présentes, par exemple ; ainsi que les différents profils d’utilisateurs en fonction du niveau de sécurité attendu et du contexte d’usage. Les employés peuvent en effet alterner présence physique au bureau, nomadisme et télétravail au cours de leur carrière, et l’outil choisi doit se montrer compatible avec toutes les situations possibles.

La robustesse de l’objet, l’universalité de la solution technique et la simplicité d’usage et de gestion, font souvent des clés de sécurité physique les moyens idéaux pour protéger les identités. En effet, les équipes IT ne gèrent plus qu’un seul outil d’authentification, et les utilisateurs n’ont plus aucun mot de passe à retenir. Toutes les clés ne se valent cependant pas : la méthode 2FA (authentification à deux facteurs) de certaines se base en effet sur l’envoi de code via SMS. Or, les mobiles sont particulièrement visés par les attaques de phishing et man-in-the-middle ; et les SMS par des escroqueries de SIM Swap. Il est préférable d’opter pour des outils dotés de standards ouvertes, tels que WebAuthn et FIDO2. Ces normes font appel au chiffrement et ont fait leur preuve dans l’élimination de contrôle de comptes.

Etablir une stratégie claire et définie, indispensable au succès

Une fois la clé de sécurité physique choisie en fonction des besoins, il est temps d’élaborer la stratégie de déploiement. En amont de toute action, il est conseillé de faire une communication auprès de tous autour des objectifs du projet, ainsi que sa valeur pour l’entreprise, comme pour les utilisateurs. Puis, la phase pilote peut débuter. Son but est de capitaliser sur les retours d’expérience pour, par la suite, un déploiement massif souvent plus rapide et réussi. Pour ce faire, deux types d’utilisateurs doivent être visés : des profils IT mais aussi des employés non techniques. Le premier groupe soutiendra d’autant plus le projet de déploiement s’il est conquis, et le second témoignera à leurs collègues de la simplicité d’utilisation. Sécuriser ces premiers succès garantit un impact fort sur le reste des équipes, et favorise par conséquent l’adhésion d’un plus grand nombre ensuite.

La seconde phase consiste ensuite à élargir le déploiement aux profils les plus exposés, tels que les services RH ou financier. A l’inverse, si l’adoption de la clé de sécurité fait suite à une cyberattaque, à une mise en conformité urgente, ou s’effectue auprès d’une entreprise aux effectifs limités, il convient alors d’opter pour une approche big bang. Cela signifie que le déploiement est simultané pour l’ensemble des utilisateurs.

Evaluer les résultats

Tout au long des différentes phases, les retours d’utilisateurs ainsi que leur expérience sont à analyser. Les métriques de déploiement et le reporting associé sont en effet souvent sous-estimés, mais cruciaux pour assurer la réussite d’un projet. Ces indicateurs peuvent notamment inclure le nombre d’applications et d’utilisateurs concernés, le pourcentage d’actifs parmi ces derniers, et la part d’échecs d’authentification avant et après le déploiement. Une potentielle extension auprès des partenaires est aussi un point positif. En outre, ces chiffres rassureront le comité exécutif quant à l’efficacité et aux retours sur investissement de l’outil en place.

Alors que le télétravail et le nombre de cyberattaques s’accroit inlassablement, sécuriser l’identité des employés n’est plus une priorité mais une urgence absolue. Pour une adoption et une protection optimales, les entreprises doivent opter pour un outil facile à utiliser pour l’ensemble des collaborateurs et à gérer pour les équipes IT, pertinent pour tous les profils, aussi bien nomade, en télétravail et présentiel, et qui offre un retour sur investissement avéré. En effet, si les campagnes malveillantes gagnent en sophistication, la défense en face doit s’armer en conséquence.