Comprendre les facteurs d’authentification pour éviter les erreurs

Face à la multiplication et à la sophistication croissante des menaces, les avantages de l’authentification multifacteur (MFA) sont aujourd’hui unanimement reconnus, d’où son adoption croissante, tant pour les applications grand public qu’au sein des entreprises. C’est une excellente nouvelle en termes de sécurité. Il est en effet acquis que les mots de passe ne permettent pas à eux seuls de protéger les données, et que l’utilisation d’au moins un deuxième facteur est indispensable. Notre enquête Businesses at Work annuelle montre que près de 70 % des clients d’Okta proposent au moins trois facteurs à leurs utilisateurs (contre 62 % l’an passé). En revanche, nous avons aussi constaté que les entreprises ont encore des progrès à faire dans le choix des facteurs utilisés pour protéger leurs applications et leurs données.

Une solution MFA efficace offre un juste équilibre entre ergonomie, rentabilité et sécurité. Certains facteurs sont relativement simples à utiliser, mais parfois au détriment de la sécurité. Il est préférable de tenir compte du niveau d’assurance de chaque facteur : si un utilisateur fait usage de ce facteur, quelle est la probabilité qu’il soit celui qu’il prétend être ? La gamme de facteurs va des éléments offrant peu d’assurance (questions de sécurité et mots de passe) à ceux offrant une assurance maximale (données biométriques et jetons physiques), avec des niveaux intermédiaires (notifications push et mots de passe à usage unique).

Selon nos données, la plupart de nos clients utilisent encore des facteurs à faible assurance, comme les SMS et les questions de sécurité. Ces dernières sont d’ailleurs le facteur le plus répandu parmi nos clients, et celui qui connaît la progression la plus forte : 38 % des utilisateurs de la solution MFA se servent actuellement de questions de sécurité, contre 30 % l’an passé. Or, les réponses aux questions de sécurité sont souvent faciles à trouver dans des documents publics (le nom de jeune fille de la mère d’une personne, par exemple ;voir l’étude de Google à ce sujet). L’utilisation de SMS comme seul facteur secondaire présente également des risques. Du reste, pour les entreprises en conformité avec des réglementations telles que le DFARS, les directives du NIST n’autorisent plus l’authentification à deux facteurs avec SMS en raison du risque d’interception des codes.

Cela ne signifie pas pour autant que ces éléments sont à déconseiller dans une solution MFA, mais que les facteurs doivent être adaptés au niveau de risque.

Découvrez comment Okta redéfinit la sécurité en donnant la priorité à l’identité.

Comment savoir quel facteur choisir ?

Auparavant, l'équilibre entre sécurité et ergonomie était particulièrement compliqué à trouver : plus les réglementations sur la sécurité étaient strictes, plus la tâche des équipes était lourde. Les utilisateurs prenaient alors des raccourcis et contournaient les règles — faisant ainsi courir des risques à leur entreprise sans le vouloir. Pour protéger les données stratégiques d’une entreprise tout en offrant une expérience fluide aux équipes, l’authentification multifacteur adaptative utilise des facteurs différents en fonction du niveau de risque de chaque demande. Elle analyse la demande d’accès de l’utilisateur (réseau, lieu, terminal utilisé et informations recherchées) pour déterminer quels autres facteurs sont nécessaires.

Par exemple, un collaborateur qui chercherait à accéder à une application de partage de fichiers alors qu’il se trouve au bureau n’aurait probablement pas besoin de second facteur (surtout s’il se sert d’un terminal géré) ; à l'inverse, ce même utilisateur demandant le même accès à distance nécessiterait une authentification renforcée. Si cette application contenait des informations plus sensibles, comme celles accessibles aux utilisateurs système privilégiés, une demande provenant d’un endroit inattendu ou émise à un moment inhabituel nécessiterait un second facteur offrant un niveau d’assurance bien plus élevé, quand elle ne serait pas tout simplement refusée.

Découvrez ce modèle en pratique : il permet à l’un de nos clients, Funding Circle, de sécuriser d’importantes informations financières.

L’étape suivante : instaurer des politiques MFA plus sophistiquées

Si l’implémentation d’une solution d’authentification multifacteur adaptative résout bon nombre des problèmes posés par les facteurs à faible assurance, la définition de politiques adaptées à votre entreprise garantit la réussite du projet. Pour commencer, demandez aux utilisateurs de ne sélectionner que les facteurs MFA les plus sûrs et éliminez les questions de sécurité et les SMS des options proposées pour les demandes d’accès à haut risque. Avec votre équipe IT, établissez des politiques de gestion des terminaux et d'usage d'appareils personnels dans la sphère professionnelle, pour vérifier attentivement si les demandes d’accès provenant de terminaux non gérés nécessitent une authentification renforcée. Exigez systématiquement une authentification multifacteur lorsqu’un utilisateur tente de masquer son adresse IP au moyen d’un proxy.

Enfin, généralisez l’utilisation de facteurs offrant davantage de sécurité, comme les mots de passe à usage unique et les jetons logiciels ou physiques, voire la biométrie. En adoptant la combinaison idéale de politiques d’authentification multifacteur adaptative, vous n’aurez plus à choisir entre sécurité et ergonomie.

Vous aimeriez en savoir plus sur l’authentification multifacteur adaptative ?

• Lisez notre livre blanc sur les sept éléments à prendre en compte avant d'adopter l’authentification multifacteur
• Regardez notre vidéo de démo sur l’authentification multifacteur adaptative
• Ou lancez-vous et testez gratuitement notre solution pendant 30 jours !