L’Authentification Multi-Facteur (MFA) : Le rempart indispensable de la cybersécurité

Qu’est-ce que le MFA ?

Pendant des années, la sécurité de nos comptes a reposé sur un seul pilier : un mot de passe. Mais aujourd’hui, avec les techniques de force brute, le phishing (hameçonnage) et les dernières fuites de données sur le réseau, un mot de passe unique ne suffit plus à protéger un accès. C’est là qu’intervient la MFA (Multi-Factor Authentication).

La MFA est une méthode de sécurité qui demande à l’utilisateur de fournir au moins deux preuves différentes de son identité pour pouvoir accéder à un système. Elle se base sur la combinaison de plusieurs facteurs issus de trois grandes familles :

  • Ce que je sais : Un mot de passe, un code PIN, une question de sécurité.
  • Ce que j’ai : Un téléphone smartphone (pour recevoir un SMS ou une notification), une clé USB de sécurité.
  • Ce que je suis : Une donnée biométrique (l’empreinte digitale, la reconnaissance faciale ou rétinienne).

Pourquoi est-elle indispensable aujourd’hui ?

De nos jours, les pirates informatiques possèdent des outils automatisés capables de tester des millions de mots de passe en quelques minutes seulement. De plus, de nombreux utilisateurs réutilisent le même mot de passe sur plusieurs sites différents (le même pour la messagerie de l’entreprise et pour un site de commerce professionnel, par exemple).

Si le mot de passe d’un employé est volé ou deviné, le pirate possède les clés de la maison. Avec la MFA activée, le mot de passe volé devient inutile : le pirate sera bloqué parce qu’il ne pourra pas fournir la seconde preuve (le téléphone ou l’empreinte de la victime). Selon les statistiques de la cybersécurité, l’activation de la MFA permet de bloquer 99 % des attaques automatisées sur le réseau.

Les différentes formes de MFA

Toutes les formes de MFA n’offrent pas le même niveau de sécurité. On trouve plusieurs manières de l’appliquer :

  • Le code par SMS ou E-mail : C’est la forme la plus connue. L’entreprise vous envoie un code à usage unique (OTP). C’est bien mieux que rien, mais les pirates peuvent intercepter les SMS (technique du SIM swapping).
  • Les applications d’authentification : Des outils comme Microsoft Authenticator ou Google Authenticator génèrent un code toutes les 30 secondes ou envoient une notification Push sur le smartphone. C’est beaucoup plus sûr et très pratique.
  • Les clés FIDO2 (comme YubiKey) : C’est le niveau de sécurité le plus élevé. Il s’agit d’une petite clé USB qu’il faut toucher physiquement lorsque l’accès est demandé. Elle est totalement insensible au phishing.

Mon conseil : Comment la mettre en œuvre sans braquer les utilisateurs ?

Pour un RSSI, la principale difficulté n’est pas technique, elle réside dans l’acceptation par les équipes « métier ». Si la MFA est trop contraignante, les employés vont chercher à contourner la sécurité.

Il faut donc trouver un bon équilibre :

  • Activez en priorité la MFA sur les accès les plus critiques (les boîtes mail, les connexions VPN, les logiciels de comptabilité et le Cloud).
  • Utilisez l’authentification adaptative : si l’employé se connecte depuis son bureau habituel, ne demandez la MFA qu’une fois par semaine. Mais s’il se connecte depuis un autre pays ou un nouvel appareil, la seconde preuve doit être obligatoire immédiatement.
  • Formez les utilisateurs : expliquez-leur que la MFA protège l’entreprise, mais aussi leur propre vie numérique.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.

Retour en haut