La double authentification suffit-elle à la cybersécurité ?

calendar16 octobre 2020

|

categoryManagement

|

time reading 11 min

Consultez mes trésors

Abonnez-vous et recevez immédiatement un code secret pour accèder GRATUITEMENT à ma page cachée contenant +450 outils E-business

Vous acceptez de recevoir la newsletter de ce blog chaque semaine ainsi que des emails ciblés en fonction des données de navigation et de vos intérêts. Vous pourrez facilement vous désinscrire à tout moment via les liens de désinscription présents dans chacun de nos emails.

En septembre dernier, une journaliste du magazine Le Point titrait « À la Défense, rien ne sera plus comme avant ». En effet, la pandémie de la Covid-19 a vidé toutes les grandes surfaces de bureaux pour faire basculer leurs employés dans le télétravail. Effectivement rien ne sera plus comme avant car beaucoup de sociétés et d’entreprises y ont trouvé des avantages et renégocient sur ce sujet avec les syndicats.

Selon une enquête de Odowa-Adviso en avril 2020, les travailleurs eux-mêmes sont 57% à y avoir pris goût et aimeraient que leur entreprise utilise plus souvent ce mode moderne du travail. J’avais d’ailleurs développé à la même époque 11 réflexions sur le travail à domicile pour conclure qu’un aménagement peut être bénéfique pour les salariés comme pour les employeurs .

C’est l’utilisation du télétravail qui a amené beaucoup d’entreprises à réfléchir sur la sécurité du mode d’authentification de leurs salariés pour avoir accès à distance aux données qui leur étaient nécessaires pour effectuer leurs tâches.

Depuis quelque temps déjà, de grandes sociétés dans la finance, telles que les banques, ont anticipé et ont poussé leurs clients à utiliser un système renforcé de sécurité pour se connecter à leurs comptes. Ainsi, la notion de cybersécurité est en train de devenir une des priorités dans plusieurs domaines : commerces, assurances, santé…et télétravail.

Nous verrons dans cet article les risques d’une non authentification, quelles sont les authentifications proposées aujourd’hui et comment les entreprises contrôlent leur cybersécurité.

Sans authentification, quels sont les risques ?

L’importance croissante de la mobilité et du télétravail dans le monde professionnel crée de nouveaux risques sur les systèmes d’information. (ANSSI)

Depuis que nous vivons dans un monde de plus en plus digital, nous utilisons chaque jour des appareils connectés qui nous permettent de joindre, sans nous déplacer, notre banque, notre assurance, notre compte médical, nos magasins, etc. sans parler de notre compte d’accès à l’entreprise pour laquelle nous travaillons.

Alors comment faire pour que ces organismes et entreprises soient bien certains que la personne qui veut se connecter est bien leur client(e) ou leur employé(e) ? Et si ce n’était pas lui ou elle ? Quels seraient les risques qu’ils encourraient? Le moindre risque serait qu’il y ait erreur sur la personne et que la réponse ne soit pas adaptée; le pire serait que l’entreprise soit piratée, ses comptes (et ceux de ses clients) détournés, voire qu’elle soit ruinée!

En effet, surtout cette année à la faveur de la dématérialisation forcée de beaucoup d’entreprises, les cybercriminels peuvent profiter de la désorganisation dans la mise en place du télétravail, pour saisir cette urgence et augmenter leurs attaques. Comment ?

Menaces cybercriminalité
Les menaces de cybercriminels en cas de failles de sécurité.

Par hameçonnage (phishing)

En envoyant de faux messages par mail, SMS, chat…ils se font passer pour un contact connu. Ils peuvent alors dérober des informations confidentielles si l’utilisateur y répond : Piratage des mots de passe, des codes d’accès professionnels…..Ils ont donc forcé la porte d’entrée qui est alors ouverte pour accéder à l’intérieur de l’entreprise!

Avec des Rançongiciels (ransomware)

Si les systèmes informatiques de l’utilisateur ne sont pas mis à jour régulièrement, les cybercriminels peuvent envoyer un petit logiciel qui bloque l’accès de l’entreprise à ses propres données. Il y a alors une demande de rançon qui peut être doublée par le piratage de données et/ou le blocage des sauvegardes. L’entreprise ne peut plus fonctionner !

Chantage après vol de données

Il y a introduction sur le réseau de l’entreprise souvent par l’intermédiaire du cloud mal sécurisé. Les cybercriminels peuvent faire du chantage pour diffuser ces données pour lui nuire et ainsi récupérer de l’argent.

Faux ordres de virement

Qui n’a jamais reçu un mail lui annonçant qu’il a gagné une grosse somme d’argent qui sera transmise par virement ? C’est le même principe pour une entreprise, mais à qui on demande de payer une facture, et qui, pensant que c’est la demande d’un collaborateur, d’un fournisseur…, envoie par virement la somme d’argent demandée par un cybercriminel qui a usurpé l’identité des personnes dans leur messagerie ou leur téléphone. Donc perte financière !

C’est pourquoi toutes les précautions de sécurité doivent être prises, même s’il s’agit de son salarié en télétravail !

Pourquoi authentifier le salarié en télétravail ?

D’après une étude récente de Symantec, 85% des salariés en télétravail utilisent leur propre matériel informatique personnel que ce soit ordinateur ou téléphone portable. Pourquoi ? L’entreprise n’a pas déployé les moyens nécessaires pour mettre à disposition des employés les équipements fournis par l’entreprise. Les travailleurs risquent alors de mélanger leurs données professionnelles et personnelles et ainsi augmenter les risques de piratage.

Quelles recommandations de sécurité donner à l’employé en télétravail pour assurer la sécurité d’accès de ses équipements au réseau de son entreprise ?

  1. S’il en a la possibilité, ne se servir que des équipements professionnels donnés par l’entreprise et bien séparer les usages personnels et professionnels que ce soit sur ordinateur ou téléphone portable.
  2. Qu’il se serve de son ordinateur personnel le cas échéant ou de celui de l’entreprise, il doit régulièrement faire les mises à jour disponibles de ses équipements .
  3. Son équipement doit être muni d’antivirus efficaces pour scanner régulièrement le matériel et vérifier qu’il n’y a pas de problème.
  4. Il est conseillé, en cas de télétravail de sécuriser sa connexion Wifi personnelle en changeant le mot de passe pour un autre plus fort et ne pas oublier ensuite de redémarrer sa box.
  5. Il est indispensable de sauvegarder régulièrement ou au fur et à mesure son travail, soit sur le réseau de l’entreprise, soit sur un disque dur qu’il ne faut pas oublier de débrancher après enregistrement.

Comment se connecter à son entreprise ?

Il faut donc que le salarié puisse accéder sans problème et en toute sécurité aux ressources de l’entreprise.

  1. La première des choses, pour accéder aux données de l’entreprise, il faudra que le collaborateur puisse s’identifier sur le compte de son entreprise pour qu’il soit reconnu en tant qu’utilisateur, ainsi que son matériel sur lequel il travaille et enfin qu’il s’identifie pour accéder aux données en ligne qui lui seront permises. Il faut qu’il soit « authentiquement » reconnu.
  2. Le manque de sécurité, s’il y en a, sera-t-il alors dû au matériel lui-même ou aux applications téléchargées nécessaires à son travail ? Le salarié devra donc faire attention de n’installer les applications que dans le cadre de l’entreprise et d’éviter les liens de sites suspects.
  3. Attention aussi à la messagerie mail ou SMS qui risquent d’être malveillants. Toujours s’assurer auprès de l’entreprise si ce message est véridique ou suspect.

S’identifier avec la double authentification

À travers l’exemple du télétravail, nous comprenons l’importance de l’authentification forte pour la cybersécurité que ce soit pour identifier ses collaborateurs, ses clients ou ses partenaires.

La plupart des accès à divers comptes en ligne -e-commerce par exemple- se font avec un identifiant (son adresse mail ou un identifiant donné par la société) et un mot de passe généralement choisi par l’utilisateur. C’est une identification très simple surtout si le mot de passe est simpliste! C’est pourquoi, pour renforcer cette identification, beaucoup de sociétés plus sensibles, ont mis en place une double authentification.

Quel est le principe de la double authentification ?

Son principe est de fournir 2 preuves d’identité complètement distinctes. On parle d’identification à double facteur ou A2F.

Première identification simple

  • On utilise l’identifiant fourni par la société. Par exemple la banque va reprendre un code basé sur le n° de votre compte, la Sécurité sociale, votre n° de sécurité sociale, les impôts, votre n° fiscal, les allocations familiales, votre n° d’allocataire, Paypal votre adresse mail…
  • On entre un mot de passe qu’on choisit soi-même généralement.

Deuxième identification sur un autre appareil

La société où vous voulez vous identifier va vous demander de confirmer votre n° de téléphone portable et vous envoyer un SMS avec un code UNIQUE à 4 ou 6 chiffres qui ne sera valable que quelques minutes et que vous devez retranscrire sur la page d’authentification de votre compte en ligne.

Double authentification chez Apple
Vous voulez aller sur votre cloud de Apple, vous recevez un SMS sur votre mobile.

Je vous propose une très courte vidéo récapitulative de la double authentification, éditée par le gouvernement français :

Exemple : La double authentification chez Google

Vous avez un compte Google sur lequel vous vous connectez habituellement avec une adresse mail et un mot de passe.

Prenons le cas où vous avez au préalable donné l’autorisation pour avoir la « Validation en deux étapes » : si vous utilisez un nouvel équipement (par exemple en voyage au centre d’affaires d’un hôtel ou tout simplement, un nouvel achat ou la tablette d’un ami), votre mobile va vous fournir un code à 6 chiffres à mettre sur votre nouvel appareil après votre mot de passe, pour être sûr que c’est bien vous qui voulez accéder à vos données.

Les inconvénients de la double authentification

Il faut avoir son portable sous la main !

Si vous l’avez prêté à votre fils pour rentrer seul du collège, ou égaré dans le dernier métro, ou cassé en le faisant tomber dans la piscine… Vous ne verrez jamais le code envoyé et ne pourrez pas accéder au site en ligne où vous comptiez acheter le cadeau de rêve pour votre femme.

Chez Google, si vous avez demandé la double identification, sans SMS vous ne pourrez pas non plus vous connecter sauf si vous avez pensé en vous inscrivant à la double validation à indiquer un autre n° de téléphone ou un autre code.

Quant à un deuxième inconvénient, il est plus personnel. Si une entreprise demande une double authentification pour accéder à son site en ligne, certaines personnes ne souhaitent pas donner leur n° de mobile pour ne pas être inopinément sollicitées par la suite…

Un autre inconvénient non négligeable : un SMS peut être intercepté par des hackers!

Et enfin, je rappelle qu’on ne peut pas recevoir de SMS si vous êtes sur « mode avion » ou si vous n’avez pas de Wifi.

Existe-t-il des authentifications plus fortes ?

Oui, il existe d’autres authentifications plus fortes mais aussi plus complexes à utiliser et dans l’avenir il en apparaîtra certainement encore d’autres.

Les authenticators

Ils reposent sur le même principe de la double identification. Mais la différence importante est que la 2e identification est intégrée dans le smartphone lui même sous forme d’une application qui va servir de coffre-fort aux comptes inscrits.

Si le site sur lequel vous voulez l’utiliser est compatible (ils ne le sont pas tous, on peut en trouver une liste sur internet), il vous donnera un QR code à scanner directement avec l’application du site sur le téléphone et générera alors un code de connexion unique valable quelques minutes.

Authenticator chez Google
Exemple d’authenticator que l’on peut mettre en place chez Google.

Toujours pareil, ne pas perdre son smartphone !

La clé U2F (Universal Second Factor)

Une association d’entreprises concernées par la sécurité (FIDO) a créé un système d’authentification avec une clé USB spéciale FIDO que l’on peut se procurer entre 10 et 60 €.

Il s’agit toujours du principe A2F, mais la 2e authentification va se nicher dans cette clé où sera lu votre code d’authentification et envoyé sur l’ordinateur.

Fonctionnement de l’identification U2F

Comme précédemment pour les authenticators, tous les sites ne peuvent l’utiliser. Mais par contre, comme le montre la vidéo, ce mode d’authentification est plus difficile à être piraté.

Le capteur biométrique

Il semblerait que les 2/3 des européens souhaiteraient utiliser une authentification biométrique surtout quand il s’agit de paiements en ligne.

Il s’agit tout simplement de remplacer l’authentification du 2e facteur par l’empreinte digitale par exemple ou la voix ou la reconnaissance faciale… Le 1er facteur sera soit un code, soit une carte à puce comme la carte bancaire, une clé USB…

Prenons le cas par exemple de Apple Pay : pour payer chez les commerçants qui l’acceptent il suffira de déverrouiller son smartphone puis de mettre son doigt sur le bouton du téléphone pendant le paiement sur l’appareil du commerçant. En fait l’empreinte du doigt remplace le code que l’on compose d’habitude sur le terminal du commerçant. Mais le 1er facteur est que la carte bancaire ait été enregistrée et cryptée dans le téléphone auparavant.

Le facteur biométrique est un des plus sûrs, car même si on vous vole votre téléphone, il ne pourra être imité ou piraté !

La triple authentification

On a entendu parler depuis une poignée d’années d’une triple authentification que préparerait Google pour les comptes les plus sensibles : Advanced Protection Program.

En plus du mot de passe, il faudrait utiliser deux clés physiques pour accéder à son compte. Ces clés remplacent l’envoi du SMS.

Un autre exemple de triple authentification est le protocole AAA qui existe déjà et est utilisé en sécurité informatique. Il réalise 3 fonctions : Authentification, autorisation et traçabilité.

Citons le protocole RADIUS utilisé pour permettre de centraliser des données d’identification avec une triple authentification.

protocole Radius
Protocole Radius à triple authentification.

L’importance de l’authentification forte pour la cybersécurité des entreprises

Toute entreprise doit avoir une stratégie IAM : Gestion des Identités et des Accès.

Elle pourra ainsi sécuriser ses accès pour ses divers collaborateurs, surtout s’ils ne sont pas sur place ou en télétravail.

Cette stratégie repose sur le choix de 2 facteurs sur 3 qui servent à authentifier la personne qui veut accéder aux données de l’entreprise :

  • 1er facteur : quelque chose que vous connaissez. Par exemple le mot de passe que vous avez choisi ou qu’on vous a imposé.
  • 2e facteur : quelque chose que vous possédez physiquement. Par exemple votre smartphone, une carte à puce comme la carte bancaire, une clé USB.
  • 3e facteur : quelque chose qui est EN VOUS et que personne ne peut vous dérober. Par exemple l’empreinte digitale d’un doigt, la rétine de l’œil, le visage.

L’authentification forte de l’A2F

Comme nous l’avons vu dans les lignes précédentes, en utilisant au moins 2 de ces facteurs, l’authentification peut être suffisamment forte pour sécuriser l’accès aux données de l’entreprise.

Par rapport aux authentifications de beaucoup de sites qui restent simples avec juste un mot de passe plus ou moins complexe, on peut dire que l’authentification A2F est une authentification forte pour les entreprises.

La solution SSO (Sigle Sign On)

C’est une authentification unique. Alors elle est moins forte me direz-vous ? Pas du tout, mais cette solution SSO combine sécurité et confort des utilisateurs pour accéder aux applications de l’entreprise.

Aujourd’hui, les employés doivent avoir accès au cloud de l’entreprise, de plus ils sont très souvent mobiles. Ils ont besoin de se connecter à de multiples applications et chaque fois c’est un mot de passe différent qu’il faut entrer… En plus avec la double authentification, il faut recevoir chaque fois un SMS et inscrire le code… C’est beaucoup de temps perdu !

C’est pourquoi les entreprises mettent en place des solutions web SSO avec une authentification simplifiée pour certains utilisateurs de l’entreprise qui peuvent alors, depuis leur navigateur, avoir accès de façon plus souple et plus rapide aux applications web dont ils ont besoin.

Comment ? En remplaçant l’accès à l’application voulue par un couple identifiant – mot de passe pour l’utilisateur. La mise en place de ce SSO sera régulièrement contrôlée et surtout les connexions seront traçables en permanence pour garantir fortement la sécurité.

Conclusion

La cybersécurité est une priorité absolue pour toutes les entreprises dans tous les domaines. Elles sont nombreuses à avoir installé une authentification forte avec la double authentification que ce soit pour leurs collaborateurs, leurs clients ou leurs partenaires.

La mise en place du télétravail en urgence à cause de la pandémie a montré aux sociétés qui n’y étaient pas préparées que la porte d’entrée vers leurs réseaux n’était pas suffisamment surveillée et qu’ils couraient de grands risques de piratage.

La clé d’une sérénité bien pensée en amont de tout problème, c’est l’authentification forte avec la double authentification majoritairement adoptée par de nombreuses organisations. Elle consiste à ce que l’utilisateur s’identifie, inscrive un mot de passe et reçoive sur un autre appareil qu’il choisit un code unique qu’il doit recopier pour accéder au site web.

FAQ Double Authentification

Qu’est-ce qu’une authentification forte?

C’est un système de cybersécurité qui permet d’identifier de façon plus sûre la personne qui veut accéder à des données sensibles telles qu’un compte bancaire ou des données de l’entreprise auxquelles elle doit se connecter pour travailler. Aujourd’hui, on parle d’identification forte quand on utilise une double authentification à 2 facteurs : A2P (authentification à 2 preuves d’identité).

Comment fonctionne la double authentification ?

Pour identifier une personne qui veut se connecter à un compte, un site ou une entreprise, on utilise 2 facteurs qui servent de preuves pour l’identifier :

  • 1er facteur, quelque chose que la personne connaît : un mot de passe.
  • 2e facteur : quelque chose qu’on possède : son smartphone sur lequel on reçoit un SMS avec un code unique à plusieurs chiffres que l’on doit recopier en plus du mot de passe. Ce 2e facteur peut aussi être biométrique en utilisant l’empreinte digitale, la voix, la reconnaissance faciale…

Quels sont les différents systèmes d’authentification ?

  • L’authentification la plus simple n’utilise qu’un facteur : le mot de passe.
  • La double authentification utilise 2 facteurs : dans la majorité des cas, un SMS sur smartphone .
  • La triple authentification utilise 3 facteurs : le 3e facteur est un facteur de traçabilité.

Continuez Votre Lecture

10 compétences clés d’un leader
5 min

10 compétences clés d’un leader

Toutes les entreprises ont besoin de leaders. Et tous les leaders les plus performants partagent certaines caractéristiques / compétences que […]


Le Guide Ultime du Vendeur B2B

star
star
star
star
star

Price : € 18.99

Acheter en toute sécurité logo amazon

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *