6 erreurs régulièrement commises par les entreprises lors du déploiement de l’authentification avancée
août 2024 par Hicham Bouali, Directeur Avant-Ventes EMEA chez One Identity
Le déploiement de mesures d’authentification avancées est essentiel pour protéger les entreprises des erreurs humaines commises par leurs utilisateurs et dont les conséquences peuvent être désastreuses.
De nombreuses organisations n’ont pas encore le niveau de sophistication nécessaire en matière d’authentification pour protéger adéquatement leurs données. Pour mieux sécuriser les accès aux systèmes et aux données, avoir une forme de double authentification en place est un bon début. Malheureusement, les entreprises commettent régulièrement des erreurs lors du déploiement de mesures d’authentification avancées. Afin de les aider à ne plus tomber dans le piège voici les 6 principales erreurs qui peuvent facilement être anticipées et évitées :
Ne pas réaliser d’évaluation des risques
Une évaluation complète des risques est une première étape vitale pour toute mise en œuvre d’une stratégie d’authentification. Une organisation est exposée aux risques si elle ne parvient pas à évaluer les menaces et vulnérabilités actuelles, les systèmes et processus ou le niveau de protection nécessaire pour différentes applications et données.
En effet, toutes les applications ne demandent pas les mêmes niveaux de sécurité. Par exemple, une application qui gère des informations sensibles sur ses clients ou des données financières peut nécessiter des mesures d’authentification plus robustes par rapport à des systèmes moins critiques. Sans une évaluation des risques, les organisations ne seront pas en mesure de catégoriser et de prioriser efficacement ce qui nécessite une authentification supplémentaire.
D’où la nécessité de renforcer la sécurité organisationnelle avec une authentification avancée.
De plus, tous les utilisateurs n’ont pas besoin d’accéder à toutes les applications ou données. Par exemple, un utilisateur du marketing n’a pas besoin d’accéder à des données RH sensibles. En évaluant les rôles dans le cadre d’une évaluation des risques, les organisations peuvent envisager de mettre en œuvre des contrôles d’accès basés sur les rôles qui garantissent que les utilisateurs ayant un rôle particulier n’ont accès qu’aux données et applications nécessaires pour accomplir leurs tâches.
Ne pas mener de due diligence pour intégrer l’authentification avec les systèmes actuels
Tenir compte de la compatibilité avec les systèmes existants, en particulier les sytèmes hérités (« Legacy »), est essentiel pour garantir un framework d’authentification cohérent dans toute l’infrastructure. Adhérer aux méthodes d’authentification standard de l’industrie est crucial. Cela peut impliquer le redéveloppement des interfaces d’applications pour adopter des flux OIDC (OpenID Connect) ou SAML (Security Assertion Markup Language). De nombreux fournisseurs offrent des outils qui simplifient ce processus pour aider à garantir une intégration transparente.
Recourir à une diligence claire pour s’assurer que ses systèmes sont capables de s’intégrer avec un système d’authentification permet de réduire la complexité de l’implémentation et d’améliorer la sécurité globale de son organisation.
N’exiger qu’un seul facteur d’authentification
Exiger au moins deux facteurs d’authentification est impératif dans le modèle de sécurité actuel. Une sélection de facteurs supplémentaires recommandés inclut :
Des jetons physiques : Des appareils comme les jetons Yubikey ou Google Titan génèrent des signatures numériques qui offrent une autre couche de sécurité d’identité.
L’authentification biométrique c’est-à-dire des facteurs comme les empreintes digitales ou la reconnaissance faciale.
Des appareils de confiance : L’enrôlement de l’appareil ou la présence d’un certificat émis et vérifié assure que les utilisateurs que nous connaissons utilisent des appareils de confiance et peuvent accéder aux systèmes nécessaires.
Considérer la sensibilité des données lors du choix des facteurs d’authentification est primordial. Pour des informations hautement sensibles, une combinaison de plusieurs facteurs peut offrir des niveaux de sécurité plus élevés. Cependant, l’accès à des données moins sensibles peut être accordé avec juste un mot de passe et un code d’authentification TOTP (mot de passe à usage unique basé sur le temps) ou une notification PUSH.
Une autre option à explorer serait l’authentification sans mot de passe. Au lieu d’un mot de passe, cette option utilise d’autres facteurs d’authentification comme les facteurs biométriques, les appareils de confiance ou les jetons physiques pour accorder l’accès.
Se fier à un seul facteur d’authentification n’est pas suffisant pour lutter efficacement contre les menaces en évolution auxquelles sont confrontées les organisations.
Ne pas considérer l’expérience utilisateur
Si le flux d’authentification d’un utilisateur est trop compliqué et lourd, les utilisateurs seront frustrés. Équilibrer sécurité et accessibilité est crucial pour une expérience utilisateur positive. Lors de la considération de facteurs d’authentification avancés, l’entreprise doit privilégier les solutions qui minimisent les étapes et réduisent les frictions. Des instructions claires, des interfaces conviviales et des options d’auto-service améliorent l’expérience utilisateur.
Ne pas prêter attention aux activités des utilisateurs et aux modèles d’authentification
Si elles n’analysent pas les comportements des utilisateurs, les organisations ne seront pas en mesure d’évaluer ou d’atténuer efficacement les risques. La surveillance régulière et l’analyse des activités d’authentification sont essentielles pour assurer une sécurité continue.
Alors que la plupart des plateformes de gestion des identités et des accès (IAM) offrent des logs et des tableaux de bord, les alertes en temps réel aux comportements suspects ou anormaux via des intégrations SIEM permettent aux organisations d’identifier rapidement les menaces et d’agir. Ces alertes notifient les administrateurs et les équipes de sécurité des tentatives d’accès non autorisé via des moyens de connexion inhabituels.
Certaines organisations mettent en œuvre une authentification basée sur les risques, qui utilise l’apprentissage automatique (machine learning) pour développer un profil des comportements de connexion passés et ajuster les mesures de sécurité pour vérifier l’identité de l’utilisateur en temps réel. Les tentatives de connexion avec des scores de risque élevés doivent fournir des facteurs d’authentification supplémentaires ou se voient refuser l’accès complètement, tandis que les connexions à faible risque sont invitées avec moins d’exigences ou contournent l’authentification entièrement.
Négliger la formation et l’éducation des utilisateurs
Former les utilisateurs est essentiel pour améliorer la sécurité globale de l’organisation. A défaut, les utilisateurs peuvent adopter des comportements risqués qui mettent l’organisation dans une position plus vulnérable.
Une formation efficace des utilisateurs implique de fournir une documentation claire et accessible sur la configuration et l’utilisation des méthodes d’authentification avancées. Cette documentation devrait offrir des instructions étape par étape, des captures d’écran et des conseils de dépannage pour une compréhension et un enrôlement faciles. De plus, en mettant en avant des exemples concrets et des études de cas de failles de sécurité, il est plus facile de sensibiliser aux conséquences potentielles des cyberattaques.
Promouvoir une culture de sensibilisation à la sécurité et de vigilance permet aux organisations d’inculquer un sentiment de responsabilité parmi les utilisateurs et encourage une participation proactive à l’authentification.
En anticipant ces quelques pièges, les organisations peuvent améliorer considérablement leur posture de sécurité, réduire le risque d’accès non autorisé ou de violations de données et protéger davantage les actifs précieux de l’entreprise.