Cet article a été traduit automatiquement.
L'authentification d'un utilisateur avant de lui permettre d'accéder à une application sécurisée est une mesure de sécurité cruciale pour protéger les actifs numériques de votre organisation. La combinaison du nom d'utilisateur et du mot de passe a longtemps été le mécanisme conventionnel utilisé pour authentifier l'utilisateur et prouver son identité, mais la sécurité du mot de passe est intrinsèquement défectueuse. Les mauvaises pratiques en matière d'hygiène des mots de passe, telles que la réutilisation du même mot de passe pour plusieurs applications ou le choix d'un mot de passe simple et facile à deviner, mettent les opérations en danger. Pour contrer cette menace, vous pouvez vous tourner vers des formulaires d'authentification avancés.
L'authentification à deux facteurs (2FA) est un niveau de sécurité supplémentaire qui exige que l'utilisateur soumette un facteur d'authentification supplémentaire en plus de son nom d'utilisateur et de son mot de passe. Ce deuxième facteur d'authentification est généralement un élément dont dispose l'utilisateur (carte à puce ou matériel token) ou un élément qui lui est propre (empreinte digitale ou balayage de l'iris). Cette approche d'authentification multicouche et de défense en profondeur atténue le risque d'attaques automatisées qui affectent les solutions d'authentification par mot de passe unique.
À ce jour, l'utilisation de 2FA pour protéger les systèmes n'est pas obligatoire pour tous les secteurs d'activité. Cependant, le 2FA est une mesure nécessaire pour se conformer à des restrictions particulières en matière de mots de passe dans des secteurs tels que la finance, la santé, la défense, l'application de la loi et le gouvernement, entre autres.
Finance
Le secteur financier utilise depuis longtemps les technologies 2FA. En fait, chaque fois que vous utilisez un guichet automatique, vous utilisez 2FA - vous avez besoin à la fois de votre code PIN (quelque chose que vous connaissez) et de votre carte de guichet automatique (quelque chose que vous possédez) pour accéder à votre compte bancaire. Alors que de plus en plus de services financiers sont en ligne, les organisations financières ont besoin de cette couche supplémentaire de sécurité pour protéger leurs clients et leurs actifs.
Toute organisation qui traite et stocke des informations relatives aux paiements par carte doit également se conformer à la norme PCI-DSS. Cela signifie qu'ils devront peut-être aller plus loin, en fournissant plus de deux facteurs d'authentification pour garantir leur sécurité. Depuis la version 3.2 de la norme PCI-DSS, ces organisations doivent également modifier les identifiants par défaut fournis par les fournisseurs et les comptes nommés pour chaque utilisateur ayant accès aux informations relatives aux titulaires de cartes.
La loi Sarbanes-Oxley (SOX) de 2002 est un autre exemple de la mise en pratique de l'EFV dans l'industrie financière. La loi SOX n'indique pas explicitement que le 2FA est une exigence de conformité, mais l'IT demande des contrôles internes stricts sur les informations financières. De même, la loi Gramm-Leach-Billey (GLBA) ne dicte pas non plus de mot de passe politique, mais exige des entreprises qu'elles créent et suivent des mesures appropriées pour protéger les informations financières de leurs clients. Les solutions d'authentification par mot de passe unique ne sont pas suffisamment sûres pour se conformer aux contrôles internes stricts exigés par la loi SOX et aux garanties exigées par la loi GLBA. Bien que ces politiques ne mentionnent pas explicitement l'informatique, il est judicieux de mettre en œuvre le 2FA. Avec plus d'un milliard de textes disponibles en ligne à la suite de diverses brèches de données, aucune organisation ne devrait se considérer comme totalement à l'abri d'une brèche de données, mais le 2FA - oumieux encore, l'authentification multifacteur- peut atténuer le risque.
Santé
Le Health Insurance Portability and Accountability Act (HIPAA) a été créé pour protéger la confidentialité des informations relatives à la santé d'un individu. En vertu de la loi HIPAA, les organismes de santé doivent mettre en place des mesures pour assurer la sécurité des mots de passe. Cela n'impose pas l'implémentation du 2FA, mais oblige les organisations à se pencher sur les pratiques de sécurité liées au mot de passe. Comme dans le secteur financier, 2FA peut garantir que les organisations de santé disposent d'un niveau élevé de sécurité des mots de passe et sont conformes aux réglementations du secteur.
Défense
L'armée américaine utilise l'authentification 2FA via la carte d'accès commune (CAC) délivrée au personnel en service actif, aux réservistes sélectionnés, aux employés civils du ministère de la défense et aux prestataires éligibles. Cette carte permet aux utilisateurs militaires d'accéder physiquement aux bâtiments et aux espaces contrôlés, ainsi qu'aux réseaux et systèmes informatiques du ministère de la Défense.
Application de la loi
Les forces de l'ordre américaines qui utilisent la division Criminal Justice Information Services (CJIS) du FBI ont besoin d'une authentification multifacteur pour accéder au National Crime Information Center (NCIC). Si les agents des forces de l'ordre américaines accèdent à l'INCC via un terminal mobile, un appareil portable ou à partir d'un lieu non sécurisé, ils ont besoin de 2FA. Cette exigence démontre une fois de plus l'application concrète de l'authentification à deux facteurs dans les cas où les systèmes d'authentification à un seul facteur ne peuvent pas fournir le niveau de sécurité nécessaire pour préserver la sécurité des données vitales.
Gouvernement des États-Unis
Depuis plusieurs années, le 2FA est obligatoire pour accéder aux sites web gouvernementaux. Ce plan d'action a également chargé les National Cyber Security Alliances (NCSA), un partenariat public-privé à but non lucratif, de s'associer aux principaux fournisseurs de technologies tels que Google, Facebook et Microsoft pour promouvoir l'utilisation du 2FA. Ces initiatives mises en place par le gouvernement américain démontrent que le 2FA est une véritable solution pour atténuer les risques inhérents aux systèmes d'authentification par mot de passe unique.
L'exigence globale d'une authentification à deux facteurs
Même si une organisation n'est pas obligée de respecter les conditions énoncées dans les règlements ou les exigences judiciaires et gouvernementales évoquées, l'interface utilisateur 2FA reste très utile. Les attaques automatisées par mot de passe, telles que credential stuffing et la pulvérisation de mot de passe, tirent parti des mauvaises pratiques en matière de mot de passe. La mise en œuvre d'une solution 2FA peut aider toute organisation à renforcer la sécurité de ses systèmes, de ses données et de ses informations clients. Dans un monde en ligne où les tbd sont le seul mécanisme de défense protégeant les systèmes contre les accès non autorisés, le 2FA n'est plus une "bonne chose" mais une véritable nécessité.
Okta offre de multiples options 2FA grâce à des solutions informatiques adaptatives d'authentification multifacteur (AMFA). Non seulement les organisations peuvent choisir parmi une variété de facteurs tels que les One Time Pins et la biométrie pour sécuriser leurs systèmes, mais la sensibilisation tbd de l'AMFA fournit une couche supplémentaire de sécurité car les TI prennent en compte des facteurs tels que le terminal et l'emplacement de l'utilisateur avant d'accorder l'accès.
