Les entreprises sont encore nombreuses à recourir aux mots de passe au travers des étapes traditionnelles du cycle de vie de l’identité, ce qui les expose aux cyberattaques. Ces dernières sont omniprésentes, toujours plus sophistiquées et reposant sur les techniques de vol d’identifiants, comme le phishing qui représente aujourd’hui l’une des principales menaces pour les organisations.

Les mots de passe font en effet actuellement partie des principaux vecteurs de menaces qui compromettent la sécurité en ligne, totalisant à eux seuls plus de 80 % de toutes les failles dues à une compromission d’identifiants. De plus, face à la multiplication des cyberattaques pilotées par l’IA, les entreprises font l’objet de menaces persistantes d’attaques par phishing qui ciblent tout spécialement les processus d’enregistrement, d’authentification et de récupération de comptes des employés.

Pourquoi protéger individuellement chaque utilisateur ?

Si les entreprises cherchent à renforcer leur cyberdéfense en mettant en œuvre une authentification multi-facteurs (MFA), elles restent néanmoins confrontées aux attaques par phishing, un défi majeur qui nécessite une approche de cybersécurité proactive. La MFA est certes préférable à un simple mot de passe, mais toutes les formes de MFA ne se valent pas. En effet, l’authentification traditionnelle, qui repose sur des SMS ou des applications mobiles par exemple, est facilement contournable et se révèle inefficace. De plus, elle provoque une lassitude chez les utilisateurs en raison des nombreuses occasions où ils doivent s’authentifier et saisir des codes qui changent continuellement.

De nombreuses entreprises prennent conscience de ces vulnérabilités et envisagent d’implémenter une MFA résistante au phishing pour renforcer leur posture de sécurité globale. De plus, ce type de MFA affranchit les utilisateurs de la nécessité d’effectuer des choix et donc d’éviter le risque qu’ils communiquent malencontreusement leurs identifiants lors d’une tentative d’attaque. Les solutions MFA résistantes au phishing, comme les clés de sécurité matérielles, parviennent à contrer les attaquants lorsqu’ils tentent d’intercepter les informations d’accès des utilisateurs ou lorsqu’ils les incitent à les révéler. Pour cela, les clés exigent que chaque partie fournisse une preuve de son identité, et communique son intention d’initier une authentification via une action délibérée.

Les innombrables attaques par phishing menées contre les entreprises, notamment via des tactiques telles que l’ingénierie sociale via de faux appels de services d’assistance, visent non seulement à détourner les processus d’enregistrement des utilisateurs, mais également les processus d’authentification et de récupération de compte en cas de perte ou de vol d’un appareil. Face à ces défis grandissants, les récents progrès en matière d’authentification sans mot de passe – et les nouvelles solutions d’authentification sur les appareils – conduisent les entreprises à évoluer dans leur manière de définir et de gérer les identifiants durant le cycle de vie des utilisateurs; ce qui signifie qu’elles doivent aller au-delà de l’investissement en matière d’authentification et augmenter également la résistance au phishing des utilisateurs eux-mêmes.

Armer chaque utilisateur face à la cybermenace

Permettre aux utilisateurs de résister au phishing ne constitue pas simplement une mesure réactive, mais une stratégie d’entreprise proactive qui vise à éliminer les risques en supprimant tous les événements susceptibles de servir à une attaque par phishing au cours du cycle de vie des utilisateurs. Le principal contrôle de sécurité consiste généralement à empêcher toute forme de phishing au moment d’une authentification. Mais tandis que les organisations migrent désormais vers une authentification moderne, les utilisateurs se retrouvent dans une situation hybride où ils disposent à la fois d’identifiants vulnérables et d’identifiants résistants au phishing.

Cette hybridation oblige les entreprises à renforcer les processus de création des identifiants, d’enregistrement des appareils, et de connexion aux fournisseurs de passkeys afin de répondre aux mêmes exigences que les contrôles d’authentification en place. Pour garantir l’efficacité de règles d’authentification ponctuelle, les entreprises doivent veiller à ce que les utilisateurs disposent des bonnes solutions d’authentification, des bons identifiants et des bons processus pour chaque étape du cycle de vie de leur compte.

Or, sachant qu’au cours d’une journée les utilisateurs basculent souvent entre plusieurs plateformes (Apple, Google ou encore Microsoft), plusieurs appareils (smartphones, ordinateurs portables et tablettes), et plusieurs applications et services personnels et professionnels, de nombreuses techniques d’authentifications conventionnelles sont intrinsèquement vulnérables aux attaques par phishing. De plus, lorsqu’un utilisateur est intégré pour la première fois ou que son appareil est perdu ou a été volé, les entreprises ont souvent recours par défaut à des processus d’enregistrement et à des méthodes de récupération de compte vulnérables, créant ainsi des occasions favorables au phishing. Cette approche d’authentification fragmentaire rend la protection des systèmes et des données ainsi que le maintien de la conformité plus complexes pour les organisations.

MFA et résistance au phishing

Les mesures de sécurité traditionnelles et les seules connaissances des utilisateurs ne suffisent plus. Bâtir une entreprise capable de résister aux attaques par phishing sophistiquées exige de renforcer les défenses, d’éveiller les consciences et d’adopter une toute nouvelle approche; d’où l’importance d’équiper les utilisateurs d’une authentification résistante au phishing, quel que soit le scénario métier dans lequel ils sont engagés, les plateformes ou appareils dont ils se servent.

Ainsi, pour résister aux attaques par phishing et protéger leurs données et leurs opérations sensibles, les entreprises doivent mettre en place une stratégie de cybersécurité proactive selon trois grands axes. Elles doivent tout d’abord adopter une MFA résistante au phishing, avec des clés de sécurité matérielles comme principale solution d’authentification. Ensuite, il est essentiel qu’elles établissent des procédures d’enregistrement et de récupération de compte résistantes au phishing, en utilisant ces mêmes clés comme base d’une sécurité optimale. Enfin, les organisations ont tout intérêt à exploiter des technologies qui réduisent au maximum le besoin de s’appuyer sur le facteur connaissance des utilisateurs, tout en formant ces derniers sur les principes de base en matière de cybersécurité ; un enjeu majeur au regard de l’omniprésence et de la sophistication grandissante des cybermenaces.
____________________________

Par Fabrice de Vésian, Sales Manager France de Yubico

 

À lire également :

Pourquoi les DSI doivent privilégier une MFA résistante au phishing ?

Que sont les attaques par « MFA fatigue » et comment peuvent-elles être déjouées ?

L’évolution des cyberattaques à l’ère de l’IA : défis et stratégies de réponse…

Cyberassurance : une protection en plus pour l’entreprise

Distribution et Hôtellerie : protéger sa clientèle grâce à la norme PCI DSS v4.0