Agentic SOC Summit : la nouvelle norme pour la défense autonome S'inscrire

Qu'est-ce que l'authentification multifacteur ?

L'authentification multifacteur (MFA) est un processus de gestion des accès sécurisé à plusieurs niveaux qui accorde aux utilisateurs l'accès à un réseau, à un système ou à une application uniquement après qu'ils ont confirmé leur identité au moyen d'un ou plusieurs identifiants ou facteurs d'authentification supplémentaires. Cette confirmation de l'identité repose généralement sur la combinaison d'un nom d'utilisateur et d'un mot de passe, plus un autre facteur, tel qu'un code de vérification ou un mot de passe à usage unique envoyé par SMS ou par e-mail, un jeton de sécurité fourni par une application d'authentification ou un identifiant biométrique.

En exigeant plusieurs facteurs d'authentification, les entreprises peuvent renforcer considérablement leur posture de sécurité. En effet, même si le premier facteur d'authentification est compromis ou désactivé, l'accès n'est accordé que si l'utilisateur est en possession d'un facteur d'authentification secondaire.

Importance de l'authentification multifacteur

Selon une analyse de l'équipe CrowdStrike® Counter Adversary Operations, 80 % des compromissions sont liées aux identités. Les attaques liées aux identités sont extrêmement difficiles à détecter à l'aide des outils et des mesures de sécurité traditionnels, car ces solutions ne sont généralement pas conçues pour surveiller les activités des utilisateurs approuvés, ni pour détecter la compromission des identifiants d'un utilisateur autorisé.

Le MFA est considéré comme un composant essentiel d'un cadre robuste de gestion des identités et des accès (IAM). Le MFA est donc essentiellement un outil d'accès et non une solution de sécurité.

En d'autres termes, si le MFA peut bloquer l'accès des utilisateurs qui ne peuvent pas confirmer leur identité, il est en revanche incapable de faire la différence entre la requête d'un utilisateur légitime et un cyberadversaire usurpant l'identité du précédent. De plus, dès que l'utilisateur a été autorisé à accéder au réseau, à l'application, à l'endpoint ou au système, la solution MFA n'est pas en mesure de détecter ou de prévenir en temps réel les attaques liées aux identités.

Dès lors, les entreprises devraient considérer le MFA comme un des composants du cadre IAM étendu et comme un lien parmi d'autres au sein de l'architecture et de la stratégie de cybersécurité plus larges.

En savoir plus

L'obtention d'identifiants permet aux cyberattaquants d'usurper l'identité du propriétaire du compte et de se faire passer pour un utilisateur disposant d'un accès légitime, tel qu'un employé, un sous-traitant ou un fournisseur tiers. Découvrez comment le MFA peut renforcer l'authentification des utilisateurs.

Le vol d'identifiants : une technique très prisée des cyberadversaires

Authentification multifacteur (MFA) ou à deux facteurs (2FA)

Les deux termes sont parfois employés l'un pour l'autre. Techniquement parlant, la 2FA est un type d'authentification multifacteur qui limite l'utilisateur à deux identifiants d'authentification, alors que le MFA nécessite au moins deux formes d'authentification.

Par défaut, la plupart des systèmes MFA adoptent le modèle 2FA, même si certaines entreprises peuvent exiger des méthodes d'authentification supplémentaires, en particulier lorsque l'utilisateur tente de se connecter au réseau ou d'accéder aux ressources depuis un emplacement inhabituel ou suspect.

En savoir plus

MFA ou SSOAlors que l'authentification multifacteur (MFA) vise à renforcer la sécurité, l'authentification unique (SSO) est un système qui a pour but d'améliorer la productivité des employés en réduisant le nombre de saisies de leurs identifiants pour accéder aux ressources. Concrètement, cela leur permet d'utiliser un seul jeu d'identifiants pour accéder à toutes les ressources. Le SSO fonctionne en tandem avec le MFA : il utilise ce dernier pour authentifier un utilisateur lors de sa première connexion, puis partage cette authentification avec différentes applications.

Fonctionnement de l'authentification multifacteur

Le MFA exige un ou plusieurs facteurs de vérification en plus de l'ID utilisateur et du mot de passe classiques. En règle générale, il suit le même processus :

  1. Inscription : les systèmes MFA exigent plusieurs pièces d'identité pour que les utilisateurs puissent s'inscrire. Une fois inscrit, l'utilisateur associe les appareils qu'il souhaite utiliser pour l'authentification, tels qu'un téléphone portable ou un ordinateur. Un utilisateur peut également s'authentifier à l'aide d'une adresse e-mail, d'un numéro de téléphone ou d'une application d'authentification.
  2. Authentification : une fois qu'un utilisateur et tous ses appareils sont enregistrés, lorsqu'il se connecte à un site web ou à une application nécessitant le MFA, il doit saisir son nom d'utilisateur et son mot de passe, puis fournir une réponse d'authentification provenant de l'un de ses appareils enregistrés.
  3. Réaction : l'utilisateur doit maintenant répondre à la demande d'authentification. Selon la méthode MFA qu'il a choisie, il peut être invité à saisir un code reçu sur l'appareil enregistré ou à appuyer sur un bouton pour s'authentifier.

Le guide complet sur l'élaboration d'une stratégie de protection des identités

Envie de renforcer la résilience de votre approche en matière de sécurité des identités ? Faites le premier pas et téléchargez le Guide complet sur l'élaboration d'une stratégie de protection des identités pour protéger dès maintenant le paysage des identités numériques de votre entreprise.

 Télécharger maintenant

Types et méthodes courants d'authentification multifacteur

La plupart des méthodes d'authentification peuvent être classées dans l'un des types de groupes suivants :

1. Une élément que vous connaissez (basé sur une connaissance)

Il peut s'agir de n'importe quel identifiant basé sur une connaissance quelconque. C'est la forme la plus simple et la plus courante de vérification. Cette catégorie inclut les codes PIN, les mots de passe créés par l'utilisateur, ainsi que les réponses à des questions de sécurité.

Méthodes

  • Mots de passe à usage unique : les OTP constituent le facteur MFA le plus couramment utilisé. Il s'agit de codes numériques envoyés par e-mail, par SMS ou via une application mobile, telle que Google Authenticator, Microsoft Authenticator ou Salesforce Authenticator. Ces mots de passe sont régénérés après un délai déterminé ou chaque fois qu'une nouvelle demande d'authentification est envoyée. Le code est basé sur une valeur initiale attribuée à l'utilisateur lors de son premier enregistrement et sur un facteur temporel supplémentaire.
  • Questions de sécurité personnelles : il peut parfois vous être demandé de répondre à des questions de sécurité personnelles (c'est-à-dire des questions dont vous seul connaissez la réponse). Parmi les réponses courantes à ces questions de sécurité, on trouve notamment le nom de jeune fille de votre grand-mère, le nom de votre meilleur ami d'enfance, la ville où vous êtes né, le nom de votre premier animal de compagnie et le nom de la rue où vous habitiez quand vous étiez enfant.

2. Un élément que vous détenez (basé sur la possession)

Les identifiants basés sur la possession exigent que les utilisateurs génèrent ou reçoivent un asset tel qu'un certificat ou un jeton de sécurité. Pour ce faire, il est possible d'utiliser une application d'authentification telle que Google Authenticator ou Microsoft Authenticator, ou encore un mot de passe à usage unique et à durée de vie limitée envoyé par SMS, par e-mail ou au moyen d'un lien sécurisé.

Méthodes

  • Mot de passe à usage unique : l'OTP est également considéré comme une méthode basée sur la possession car vous devez disposer d'un appareil physique tel qu'un smartphone ou un ordinateur, pour y accéder.
  • Les cartes à puce et les jetons matériels cryptographiques sont des dispositifs physiques capables d'effectuer des opérations cryptographiques telles que le déchiffrement et la signature, les clés internes étant conservées physiquement et de manière sécurisée à l'intérieur d'une enclave totalement isolée. Ils peuvent être utilisés à des fins de connexion à un ordinateur (par exemple, via la connexion par carte à puce de Windows) et de vérification basée sur les signatures numériques dans le cadre de l'autorisation de transactions. Les cartes à puce peuvent être sans contact ou nécessiter un lecteur dédié, tandis que les jetons matériels cryptographiques requièrent une connexion USB.
  • Jetons OTP matériels : couramment utilisés dans le secteur bancaire, les jetons OTP matériels sont des dispositifs qui génèrent des codes à usage unique via une clé cryptographique stockée dans le terminal et sur le serveur. Lors de l'ouverture d'une session, le système authentifie l'utilisateur en vérifiant que la clé du terminal et celle du serveur correspondent.
  • Kits de développement (SDK) de jetons logiciels : cette méthode de vérification utilise des opérations cryptographiques, telles que des signatures numériques incorporées dans des applications mobiles, pour authentifier l'utilisateur et le terminal. Les SDK de jetons logiciels offrent une expérience utilisateur fluide dans la mesure où l'utilisateur ne doit pas basculer entre les applications ni utiliser de dispositif matériel.

3. Une caractéristique personnelle (intrinsèque)

Il s'agit du facteur de vérification le plus difficile à reproduire. Il inclut les identifiants biométriques basés sur des caractéristiques physiologiques, comme les empreintes digitales, la reconnaissance faciale ou l'analyse de l'iris, ou des caractéristiques comportementales, telles que la dynamique de frappe.

Méthodes

  • Biométrie : une autre technique MFA assez répandue mesure des caractéristiques biométriques innées, telles que les empreintes digitales, les traits du visage, la rétine ou l'iris, ou encore l'identité vocale pour confirmer l'identité de l'utilisateur. Si cette technique était considérée au départ comme un facteur d'authentification ultrafiable, l'intérêt pour celle-ci a diminué lorsqu'il est apparu que l'impression 3D et les empreintes générées par intelligence artificielle pouvaient contourner ces techniques.
  • Analyse comportementale : dans une moindre mesure, certaines entreprises peuvent également utiliser la biométrie comportementale pour confirmer l'identité d'un utilisateur. Cette méthode tire parti de comportements identifiables et mesurables d'un individu pour vérifier son identité. Par exemple, la dynamique de frappe, autrement dit l'analyse de la vitesse, du rythme et de la pression lors de la frappe, peut être utilisée pour confirmer l'identité de l'utilisateur.

Expert Tip

L'authentification multifacteur adaptative et l'authentification multifacteur adaptative basée sur l'IA, également appelée authentification basée sur le risque, renforce la sécurité de l'authentification des utilisateurs en tenant compte de facteurs contextuels et comportementaux. Elle calcule ensuite le niveau de risque pour chaque utilisateur. En fonction de cette valeur de risque, le système déterminera s'il convient de vous accorder immédiatement l'accès, d'exiger une méthode d'authentification supplémentaire (telle que la réponse à une question de sécurité) ou de vous empêcher de poursuivre. L'authentification multifacteur adaptative utilise l'IA et le Machine Learning (ML) pour analyser ces facteurs comportementaux et contextuels et établir une base de référence pour chaque utilisateur. Cela lui permet d'identifier les tendances spécifiques des utilisateurs et de détecter toute activité inhabituelle ou suspecte dès qu'elle se produit, afin de prévenir l'exploitation de vulnérabilités ou une attaque. Parmi les facteurs comportementaux et contextuels pris en compte, on peut citer :

  • Appareil utilisé
  • Situation géographique
  • Nombre de tentatives de connexion ratées
  • Vitesse entre les tentatives de connexion
  • Adresse IP
  • Date et heure de la tentative
  • Confidentialité du réseau

Avantages de l'authentification multifacteur

Le MFA offre de nombreux avantages aux entreprises, notamment :
AvantagesDescription
1. Sécurité renforcéeMême s'il ne s'agit pas d'un outil de sécurité au sens technique du terme, le MFA constitue une ligne de défense importante pour les entreprises, étant donné qu'il n'octroie l'accès aux systèmes et réseaux qu'aux utilisateurs dûment authentifiés. Le fait d'imposer l'utilisation d'un ou plusieurs facteurs MFA via un mot de passe à usage unique, un indicateur biométrique ou une clé matérielle complique singulièrement la tâche des cyberpirates et autres cybercriminels qui tentent d'accéder au système sous le couvert de l'identité d'un utilisateur légitime. Cela signifie, d'une part, que les cybercriminels doivent trouver une autre voie d'accès et, d'autre part, que les mesures de sécurité classiques ont de bien meilleures chances de pouvoir détecter et bloquer de telles activités.
2. Accès fluide pour les collaborateurs en télétravailLa généralisation du travail à distance ou hybride a considérablement augmenté l'exposition des entreprises aux cyberattaques et aux compromissions dès lors que les collaborateurs accèdent aux applications, aux documents et aux données d'entreprise depuis des réseaux et des terminaux personnels. Parallèlement, la nécessité de se connecter à de multiples comptes au cours d'une même session de travail a entraîné une lassitude des collaborateurs face à la lourdeur du processus. Lorsqu'il est associé à des techniques de connexion avancées telles que le SSO, le MFA ajoute un niveau de sécurité supplémentaire et simplifie le processus de connexion des utilisateurs légitimes. Dès que l'identité de l'utilisateur est confirmée par l'authentification unique, le système le connecte automatiquement, de sorte que l'utilisateur a accès à l'application ou au document sans devoir s'authentifier individuellement dans chaque application.
3. Amélioration de la conformité réglementaireLes données d'entreprise et la sécurité des identités revêtent une importance accrue pour les entreprises actives dans des secteurs à haut risque comme la santé, l'enseignement, la recherche médicale, la finance et la défense. Les services informatiques de la plupart des entreprises sont convaincus de respecter les normes de cybersécurité les plus élevées, alors que de nombreuses études prouvent le contraire. L'authentification multifacteur est souvent obligatoire pour rester en conformité avec les réglementations sectorielles. Par exemple, la norme PCI DSS (Payment Card Industry Data Security Standard), destinée aux entreprises du secteur des cartes de crédit, exige l'implémentation du MFA pour empêcher l'accès des utilisateurs non autorisés aux systèmes. Même lorsque des mises à jour des applications engendrent une instabilité du système, la conformité MFA garantit que les systèmes restent impénétrables dans 99 % des cas.

Défis posés par l'authentification multifacteur

À l'instar de n'importe quelle solution technologique, l'implémentation et le fonctionnement du MFA peuvent être problématiques pour l'entreprise. Par exemple :

  • Si un employé perd un téléphone mobile ou un autre terminal personnel faisant partie de la stratégie de défense multiniveau, cela peut affecter temporairement son accès au système et, par extension, sa productivité.
  • Les données biométriques utilisées par les algorithmes MFA exigent une saisie initiale correcte et précise. Il est possible que le système génère des faux positifs ou négatifs si la saisie d'origine n'a pas été correctement effectuée.
  • La vérification MFA peut être temporairement indisponible si une entreprise connaît une panne réseau ou Internet.

L'avenir de l'authentification multifacteur

Le MFA est loin d'être un processus de sécurité infaillible. Si les cybercriminels ne ménagent pas leurs efforts pour développer de nouvelles techniques destinées à compromettre les réseaux, ils s'efforcent aussi de trouver de nouvelles méthodes pour contourner les mesures de sécurité MFA, intercepter les jetons ou falsifier des identifiants secondaires. Pour protéger les entreprises contre ces vulnérabilités potentielles et les cybermenaces en constante évolution, les techniques MFA doivent être constamment actualisées et renforcées par d'autres outils et solutions de sécurité.

En plus d'implémenter le MFA, les entreprises doivent envisager de renforcer leur niveau de sécurité en mettant en œuvre les bonnes pratiques suivantes, conçues pour limiter l'accès réseau et les privilèges des comptes, de même que limiter les déplacements du cyberpirate en cas de compromission :

  • Le principe du moindre privilège (POLP) est un concept et une pratique de sécurité informatique qui consiste à octroyer aux utilisateurs des droits d'accès limités en fonction des tâches qu'ils doivent réaliser dans le cadre de leur travail. En vertu de ce principe, seuls les utilisateurs autorisés dont l'identité a été vérifiée disposent des autorisations nécessaires pour effectuer des tâches dans certains systèmes et applications, ou accéder à certaines données ou assets. Le principe du moindre privilège est généralement considéré comme l'une des pratiques les plus efficaces pour renforcer le niveau de cybersécurité de l'entreprise, dans la mesure où il permet à celle-ci de contrôler et de surveiller l'accès au réseau et aux données.
  • Le Zero Trust est un cadre de sécurité qui exige que tous les utilisateurs (internes ou externes au réseau de l'entreprise) soient continuellement authentifiés, autorisés et validés avant de se voir accorder l'accès aux données et aux applications. Il combine plusieurs technologies avancées telles que l'authentification multifacteur basée sur le risque, la protection de l'identité, la sécurité des endpoints de nouvelle génération et une protection robuste des workloads cloud pour vérifier l'identité des utilisateurs et des systèmes, prendre en compte le moment précis de l'accès et gérer la sécurité du système. Le cadre Zero Trust prévoit aussi le chiffrement des données, la sécurisation de la messagerie et la vérification de l'hygiène des assets et des endpoints avant qu'ils se connectent aux applications.
  • La gestion des accès privilégiés (PAM) est une stratégie de cybersécurité qui vise à préserver la sécurité des identifiants des comptes administrateur à privilèges.
  • La segmentation basée sur l'identité est une méthode destinée à limiter l'accès des utilisateurs aux applications et aux ressources en fonction des identités.
  • Hygiène informatique : un outil d'hygiène IT offre une visibilité sur l'utilisation des identifiants dans l'entreprise afin de détecter des activités administratives potentiellement malveillantes. La fonction de surveillance des comptes permet aux équipes de sécurité de vérifier la présence de comptes créés par des cyberattaquants pour conserver leur accès. Elle veille également au changement régulier des mots de passe, ce qui limite l'utilisation d'identifiants volés dans le temps.

En savoir plus

Découvrez les fonctionnalités de MFA fluides de Falcon Next-Gen Identity Security et comment étendre le MFA basé sur le risque à n'importe quelle ressource ou application, y compris les systèmes d'ancienne génération comme les postes de travail qui ne sont pas couverts par des solutions MFA cloud, des outils tels que PowerShell et des protocoles tels que RDP sur NTLM.

CrowdStrike Falcon® Next-Gen Identity Security

FAQ sur le MFA

Q : Que signifie l'acronyme MFA ?

R : MFA signifie « authentification multifacteur »

Q : Qu'est-ce que l'authentification multifacteur ?

R : L'authentification multifacteur (MFA) est un processus de gestion des accès sécurisé à plusieurs niveaux qui accorde aux utilisateurs l'accès à un réseau, à un système ou à une application uniquement après qu'ils ont confirmé leur identité au moyen d'un ou plusieurs identifiants ou facteurs d'authentification supplémentaires. 

Q : Quelle est la différence entre le MFA et la 2FA ?

R : D'un point de vue technique, la 2FA est un type d'authentification multifacteur qui limite l'authentification de l'utilisateur à deux identifiants, tandis que le MFA exige au moins deux formes d'authentification. La plupart des systèmes MFA suivent le modèle 2FA.

Q : Quelle est la différence entre SSO et authentification multifacteur ?

R : Alors que l'authentification multifacteur (MFA) vise à renforcer la sécurité, l'authentification unique (SSO) est un système qui a pour but d'améliorer la productivité des employés en réduisant le nombre de saisies de leurs identifiants pour accéder aux ressources. Concrètement, cela leur permet d'utiliser un seul jeu d'identifiants pour accéder à toutes les ressources. Le SSO fonctionne en tandem avec le MFA : il utilise ce dernier pour authentifier un utilisateur lors de sa première connexion, puis partage cette authentification avec différentes applications.

Q : Comment fonctionne l'authentification multifacteur ?

R : Le MFA exige un ou plusieurs facteurs de vérification en plus de l'ID utilisateur et du mot de passe classiques. Le processus consiste, pour les utilisateurs, à enregistrer plusieurs pièces d'identité et à les associer à des appareils, à s'authentifier à l'aide de l'un des appareils enregistrés lorsqu'ils y sont invités, puis à finaliser la vérification soit en cliquant sur un bouton, soit en saisissant un code envoyé sur l'appareil enregistré. 

Q : Quelles sont les trois méthodes d'authentification multifacteur prises en charge ?

R : La plupart des méthodes d'authentification peuvent être classées dans l'une de ces trois catégories : un élément que vous connaissez (c'est-à-dire questions de sécurité personnelles), un élément que vous détenez (par exemple un smartphone) et une caractéristique personnelle (par exemple, l'authentification biométrique). 

Narendran est directeur du marketing produit pour la protection des identités et le modèle Zero Trust chez CrowdStrike. Il possède plus de 17 ans d'expérience dans le domaine du marketing produit et des stratégies de mise sur le marché, travaillant à la fois pour des start-ups spécialisées dans la cybersécurité et de grandes entreprises comme HP et SolarWinds. Avant cela, il était directeur du marketing produit chez Preempt Security, une société rachetée par CrowdStrike. Narendran est titulaire d'une maîtrise en sciences informatiques de l'université de Kiel, en Allemagne.