MFA : vérifier son efficience en 7 points

Alors que le mois d'octobre est dédié à la sensibilisation à la cybersécurité, cette année devrait se focaliser sur les comportements autour de l'identité compte tenu des cyberattaques.

Selon une étude récente de Yubico, 49 % des entreprises sondées ont déployé l’authentification à double facteur (2FA) et l’authentification à facteurs multiples (MFA) suite à la pandémie et l’adoption du télétravail. Or, les attaquants ont redoublé d’effort afin de parvenir à inciter les utilisateurs à renoncer à leur second facteur d'authentification et, dans certains cas, à contourner complètement les mécanismes de MFA.  

Dans leur arsenal, les attaquants utilisent désormais diverses techniques d'hameçonnage numérique et vocal pour voler des identifiants. Ils envoient ensuite des demandes répétées de MFA sur l'appareil mobile de leurs cibles pour tromper les employés ou les partenaires. La formation des employés est certes une étape préventive importante, mais il essentiel d'examiner attentivement où et comment la MFA est déployée pour s’assurer de son efficacité.

  • L’authentification unique normalisée (SSO) - Puisque les identifiants sont intrinsèquement vulnérables à la compromission, il convient d’y recourir le moins possible. En combinant la MFA avec le SSO, l’expérience utilisateur est simplifiée grâce à une baisse des demandes de connexion et à des mots de passe remplacés par des méthodes plus intuitives ; comme les certificats numériques ou la biométrie. Dans la mesure du possible, les outils SSO à privilégier sont ceux qui prennent en charge des protocoles standards, tels que SAML ou OpenID Connect.
  • Les enregistrements MFA – Lorsque les utilisateurs s’identifient, les équipes IT doivent être à même de vérifier qu’ils sont bien ceux qu'ils prétendent être. Si ce n’est pas le cas, les attaquants pourraient voler des mots de passe et essayer d'enregistrer leurs propres appareils comme facteurs d'authentification. Pour réduire un tel risque, un processus hors réseau (comme un appel téléphonique) est une option envisageable pour vérifier si une demande d'enregistrement a été faite par l’utilisateur légitime. De plus, il convient de n'autoriser l'enregistrement que d'un seul appareil par utilisateur et d’exiger une pièce d'identité physique valide (le passeport par exemple) pour valider la demande d’enregistrement.
  • Limiter les requêtes de MFA - Lorsque les utilisateurs sont bombardés de demandes, ils peuvent finir par répondre sans réfléchir ou par exaspération. Fixer des seuils pour le nombre de requêtes MFA qu'un employé peut recevoir dans un certain laps de temps aide à lutter contre la fatigue des utilisateurs et compliquer la tâche des cybercriminels. 
  • La gestion des accès à privilèges (PAM) - Cet aspect est essentiel pour la protection des ressources sensibles.  Avec cette approche, les identifiants permettant d’accéder à un serveur sensible, par exemple, sont stockés dans une chambre forte centralisée. La MFA est alors nécessaire pour y extraire les informations d'identification pour le serveur. Des contrôles intelligents des privilèges isolent en outre les sessions privilégiées, afin que les identifiants ne soient pas exposés, et surveillent ces derniers quel que soit le canal.
  • L’IA pour équilibrer sécurité et productivité – L’erreur est humaine et les équipes IT ne peuvent pas surveiller tout et tout le temps. S'appuyer sur l'Intelligence Artificielle et le machine learning permet par conséquent d'évaluer chaque demande d'accès automatiquement, en fonction de l'historique des comportements des utilisateurs, des appareils et du réseau en temps réel. Si le contexte semble inhabituel, le système peut adapter les contrôles ; par exemple, demander une nouvelle authentification ou ajuster le niveau d'accès. Détecter les activités à risque plus tôt dans le cycle de vie de l'attaque permet de contenir bien mieux les potentiels dommages. L'IA aide donc à améliorer l’expérience utilisateur en ne mettant en place des verrous que lorsque cela est absolument nécessaire, sur la base d'un score de risque. Selon nos recherches, 90 % des organisations qui utilisent l'automatisation contextuelle observent de plus une réduction de la charge de travail et des coûts informatiques.
  • Enregistrer et surveiller l'activité des utilisateurs dans les applications Web – Toujours d’après une de nos études, 80% des organisations font état d'une mauvaise utilisation ou d'un accès abusif des employés aux applications professionnelles, mais près de la moitié (48 %) n'ont qu'une capacité limitée à visualiser les journaux des utilisateurs et à auditer leur activité. Il est de ce fait difficile de comprendre et de contrôler la façon dont les employés et les partenaires utilisent les applications Web et manipulent les données confidentielles. Il convient donc de prendre des mesures pour configurer le système afin d'enregistrer les actions des utilisateurs dans les applications protégées ainsi que de créer des pistes d'audit complètes et consultables. En outre, les utilisateurs devraient s’authentifier à nouveau lors des sessions à haut risque (par le biais d'un code QR, par exemple). Les organisations pourraient également mettre en place des contrôles qui empêchent les utilisateurs de copier des données ou de télécharger des fichiers.
  • Des contrôles de défense en profondeur - Même les systèmes MFA les mieux configurés ne sont pas infaillibles. C'est pourquoi la superposition de contrôles et de pratiques de sécurité des identités - comme l'application systématique du principe du moindre privilège et la suppression de l'accès permanent aux infrastructures sensibles et au cloud - est si importante. Si un système tombe en panne, un autre est prêt à bloquer les attaques et à mettre les actifs sensibles hors d'atteinte.

Ces sept points n’ont pas vocation à être exhaustifs mais à initier la réflexion sur la manière dont une stratégie unifiée de sécurité des identités - centrée sur des contrôles intelligents des privilèges - peut aider les entreprises à mieux se défendre contre les cyberattaques, à satisfaire aux exigences d'audit et de conformité, à favoriser l'activité numérique et à améliorer l'efficacité opérationnelle.