StoïkBlogCybersécurité

L’authentification multifacteur (MFA) : une mesure de cybersécurité indispensable

Aline Cordier Simonneau
Dernière mise à jour :

63 % des entreprises ont mis en œuvre ou accéléré le déploiement de l’authentification multifacteur depuis la crise sanitaire et l’utilisation accrue du numérique (source : Baromètre OpinionWay pour le Cesin, 2022). La MFA est désormais considérée comme un élément indispensable de la politique de sécurité des organisations. Comment fonctionne-t-elle ? Pourquoi et comment activer la MFA ? Tour d’horizon des conseils et bonnes pratiques pour déployer efficacement l’authentification multifacteur.

authentification multifacteur (MFA)

Qu’est-ce que l’authentification multifacteur ou MFA (multi factor authentication) ?

L’authentification multifacteur est un dispositif de sécurité permettant d’ajouter au moins une méthode supplémentaire pour s’identifier et accéder à un compte.

Authentification multifacteur : de quoi parle-t-on ?

La MFA est née d’un constat : le couple « nom d’utilisateur + mot de passe » n’est pas suffisant pour assurer la sécurité de connexion à un compte. On parle même d’authentification « faible », car les mots de passe peuvent facilement être dérobés, notamment par la technique du hameçonnage ou via des attaques par « force brute » (test automatisé des différentes combinaisons de caractères possibles).

Comment fonctionne la MFA ?

Concrètement, pour se connecter à un compte ou un service, le salarié doit prouver son identité en combinant au moins deux facteurs d’authentification de nature différente.

Voici un exemple d’authentification multifacteur en entreprise. Lorsqu’un salarié se connecte à sa messagerie professionnelle (Google Workspace, Office 365…) ou à son logiciel métier (paie, comptabilité…), il doit saisir son identifiant et son mot de passe (premier facteur). Avec la MFA, un second facteur lui est demandé. Cela peut être un code à durée de vie limitée reçu par SMS ou à récupérer sur une application installée sur son téléphone mobile (Google Authenticator ou Microsoft Authenticator, par exemple).

Bon à savoir
La double authentification (ou “2FA”) est une forme d’authentification multifacteur puisqu’elle consiste à ajouter un second facteur d’authentification.

Quelles sont les trois méthodes d’authentification multifacteur en ligne ?

On distingue généralement trois grandes catégories d’authentification multifacteur :

  1. Connaissance / « something you know » : une information que l’utilisateur est le seul à connaître, comme un mot de passe, une question secrète, un code PIN ou NIP (code confidentiel constitué d’au moins 4 chiffres), etc.
  2. Possession / « something you have » : un code reçu par SMS, une application d’authentification avec un code tournant installée sur le téléphone mobile du salarié, un jeton USB d’authentification (une clé à insérer dans un port USB pour déverrouiller son PC ou s’authentifier sur un site web, par exemple), etc.
  3. Caractéristique biométrique / « something you are » : une reconnaissance vocale, une empreinte digitale, faciale ou rétinienne, etc.

La MFA consiste à mêler au moins deux modes d’identification différents : quelque chose que l’on sait avec quelque chose que l’on possède, par exemple. On peut avoir recours à l’identification à trois facteurs pour accéder à un site sensible (un salarié qui a besoin d’accéder au datacenter de l’entreprise avec des droits d’admin, par exemple) : passage par un portique à reconnaissance faciale, puis badge d’accès et code.

À noter
Chaque facteur présente des limites. On peut par exemple perdre son téléphone ou voir ses SMS interceptés via du SIM swapping. Quant aux lecteurs d’empreintes digitales, ils ont aussi leurs failles. L’entreprise doit faire des choix quant à la meilleure solution à déployer

Pourquoi faut-il mettre en place l’authentification multifacteur ?

En apportant au moins une couche de protection supplémentaire lorsqu’un salarié se connecte à un compte ou service, l’authentification multifacteur rend plus difficiles d’éventuelles cyberattaques.

Renforcer la sécurité des connexions des salariés

Les informations de connexion (identifiant et mot de passe) intéressent fortement les hackers. 61 % des failles de sécurité sont liées au vol ou à la perte d’identifiants (source : Data Breach Investigations Report, Verizon, 2021) et des milliers de mots de passe fuitent chaque jour. Nombre d’entre eux se retrouvent d’ailleurs en vente sur le darknet.

Une fois réussie, une cyberattaque contre un protocole d’authentification ouvre la porte à d’autres menaces : récupération d’informations personnelles ou sensibles, compromission du système d’information, etc. Autant sécuriser davantage les connexions aux différents comptes des salariés pour construire une première “barrière” de protection plus solide.

Tous concernés
La MFA est une mesure de sécurité qui concerne tous types d’entreprises, quelle que soit leur taille et leur secteur d’activité. Les secteurs de la banque, de la santé ou encore du médico-social par exemple sont particulièrement concernés car leurs salariés manipulent des données personnelles voire sensibles. Les grandes entreprises ayant relevé leur niveau de sécurité ces dernières années, les TPE et PME sont désormais elles aussi dans le viseur des cyberattaquants.

Se protéger face à l’augmentation des cyberattaques, en volume et en sophistication

Si les cyberattaques sont de plus en plus nombreuses, elles sont également de plus en plus complexes. L’authentification multifacteur s’est d’ailleurs transformée pour faire face à la sophistication croissante des cyberattaques, en intégrant des systèmes élaborés comme la reconnaissance biométrique.

Si l’authentification multifacteur n’est pas une protection « ultime et infaillible » contre les cyberattaques, elle permet en revanche de complexifier le travail des attaquants. Il ne leur suffit plus de posséder un identifiant et un mot de passe pour réussir leur attaque, mais d’avoir également accès au(x) facteur(s) d’authentification supplémentaire(s). Il est donc recommandé aux entreprises de mettre en place l’authentification multifacteur dès lors que c’est possible.

Que dit l’ANSSI au sujet de la MFA ?
Elle alerte sur les limites de l’authentification par mot de passe, recommande “d’ajouter un ou plusieurs éléments d’authentification supplémentaires” et de croiser différentes catégories d’authentification pour obtenir une méthode plus sécurisée que le seul mot de passe.
cyberattaque mot de passe
Évaluez votre risque cyber
Testez gratuitement le scan externe de Stoïk pour connaître vos vulnérabilités face aux cyberattaques.
Tester mon risque

Comment activer la MFA en entreprise ?

Il est nécessaire de choisir la méthode la plus adaptée au contexte de l’entreprise, et de sensibiliser ensuite les salariés pour accompagner le déploiement de la MFA.

Étudier le contexte de l’entreprise et analyser les risques

Chaque méthode d’authentification multifacteur a ses spécificités et ses contraintes. Comment une entreprise peut-elle choisir les méthodes les plus adaptées à son besoin ? En analysant précisément son contexte :

  • Quel est le degré de sensibilité des services ou données à protéger ?
  • Quel est le niveau d’exposition de l’entreprise à des cybermenaces ?
  • Quels sont les types de menaces ? etc.
Exemple
Une plateforme de réservation de rendez-vous pour un coiffeur ne nécessite pas forcément la mise en place d’une authentification multifacteur. En revanche, l’accès à sa messagerie professionnelle est considéré comme beaucoup plus sensible, avec un niveau de menace plus élevé. C’est pour cela que de plus en plus d’entreprises mettent en place la MFA pour leur messagerie professionnelle.

Certaines entreprises élaborent une analyse de risques très poussée pour choisir la méthode d’authentification la plus adaptée. Microsoft propose par exemple différentes méthodes pour accéder à Windows 10 ou à son compte Office 365. Activer la MFA est généralement gratuit (sauf si l’entreprise choisit d’acheter des supports physiques), mais demande une forte implication de la part de l’équipe chargée de l’administration du système d’information. Le nombre de services à protéger peut être important et des complexités techniques peuvent venir se greffer au déploiement de la MFA.

Sensibiliser et accompagner les salariés

Déployer la MFA au sein d’une entreprise provoque des changements dans les habitudes des salariés. Cela peut être source de stress pour certaines personnes. Il y a un vrai travail de sensibilisation et d’accompagnement à mener auprès des salariés, qui connaissent d’ailleurs souvent l’authentification multifacteur à titre personnel, par exemple sur leur compte Google avec l’application Google Authenticator.

sensibilisation entreprise MFA

L’entreprise ne doit pas non plus mettre en place une « usine à gaz » (ni pour les salariés, ni pour les administrateurs du système d’information) sous prétexte de vouloir renforcer le niveau de sécurité. Les salariés risqueraient alors de vouloir retarder la mise en place du système voire de le contourner. Tout l’enjeu est de réussir à concilier les exigences de sécurité, qui sont de plus en plus élevées, avec la qualité de l’expérience utilisateur, qui doit rester simple et fluide. Mieux vaut miser sur la pédagogie (réaliser des tutoriels, par exemple) pour « dédramatiser » le sujet et faire de la mise en place de la MFA une réussite.

L’authentification multifacteur est aujourd’hui reconnue comme un dispositif important de la politique de sécurité d’une entreprise, encore faut-il choisir la méthode la plus adaptée à son contexte et aux risques qui pèsent sur son système d’information.

D'autres bonnes pratiques de cybersécurité à adopter :

Sources :