Hors de question qu’un vol de mot de passe mette en danger l’ensemble de votre activité professionnelle ! Aussi, l’utilisation d’un second facteur d’identification (clé Fido, carte à puce, SMS, Application smartphone… ) devient nécessaire pour vos identités d’entreprise.
Le mot de passe n’est plus sûr
Les mots de passe sont particulièrement ciblés par les attaquants. 41% des attaques informatiques se reposent sur un simple mot de passe connu de l’attaquant. Voyons trois cas d’école, utilisés par les cybercriminels pour pénétrer dans votre système d’information:
- Vous avez utilisé votre mot de passe d’entreprise sur d’autres sites web ou ordinateurs qui s’est fait/se sont fait piraté. L’attaquant a réussi à déchiffrer les mots de passes de tous les comptes inscrits dessus et décide de s’en prendre petit à petit à d’autres ressources rattachées (boites e-mails, services publics) sur lesquels il déduit que l’utilisateur est inscrit. Disposant déjà de son adresse e-mail et mot de passe, une connexion usurpée devient très facile.
- Vous utilisez un mot de passe simple, ou qui est déjà utilisé par d’autres utilisateurs compromis . De longues listes de ces mots de passe trop simple, fréquemment utilisés ou trop simples sont en vente sur le dark web et utilisés par les attaquants pour réaliser des attaques dites par « force brute » : on essaye simplement tous les couples « login/mot de passe » connus jusqu’à réussir une connexion à la place de l’utilisateur. Si votre mot de passe revêt peu d’originalité (exemple « Azerty123 », il est certain que d’autres utilisateurs l’ont déjà employé, et qu’il est probablement dans les listes testées par les attaquants). Ne suffit plus qu’à connaitre votre identifiant, qui n’est que rarement privé, pour réussir la connexion).
- Vos données transitent en clair sur une partie du réseau ou alors votre ordinateur est infecté par un keylogger (Un logiciel qui enregistre tout ce que vous tapez sur le clavier). L’attaquant peut alors simplement utiliser votre mot de passe et se connecter très rapidement à votre place, sans éveiller les soupçons de certains mécanismes de sécurité.
Alors, que faire ?
La plupart des services Web critiques, tels que les services bancaires, ont alors mis en place un système de double authentification. En plus de votre mot de passe, un second procédé différent est utilisé pour vous identifier. C’est la MFA pour « Multi-factor authentification ». Il implique que vous déteniez un équipement ou une ressource personnelle (carte à puce, clé fido, empreinte digitale) dont vous seul êtes en possession pour valider la demande de connexion. Etant physique, il est très complexe pour l’attaquant de l’utiliser à votre place.
On peut également recourir à des codes à usage unique ou des applications smartphone qui vont générer des informations de connexion jetables basées sur des algorithmes dont la méthode de chiffrement n’est connue que par le serveur et l’équipement qui les génère. Duper le système d’authentification est également très complexe et les attaquants sont alors découragés. Même si votre mot de passe est connu, il ne suffit plus à vous authentifier. Les mécanismes de sécurité détectent parfois que des connexions à l’aide du mot de passe ne sont pas validés par le second moyen d’identification et vous alertes que quelqu’un tente d’usurper votre identité : vous procédez alors à un simple changement de mot de passe et personne ne peut accéder à vos données.
Notre politique de sécurité
Nous adoptons alors des stratégies de sécurité très strictes auprès de nos équipes et nos clients.
Lorsqu’aucune MFA n’est configurée, nous bloquons les comptes victimes de tentatives de trop de connexions avec mot de passe infructueux. De plus, les restrictions d’accès depuis des localisations à mauvaise réputation ou des pays en conflit sont refusées. Les mots de passes doivent être complexes et modifiés fréquemment.
Cependant, cela n’offre qu’une sécurité très limitée et les capacités de détection/réaction sont souvent inopérant, laissant un champ d’action trop large à l’attaquant.
Sur certaines ressources critiques, nous pouvons également empêcher toute connexion depuis l’extérieur de l’entreprise ou en dehors d’une machine spécifique. Cependant, aucune protection n’est adoptée dans le cas où la machine de connexion est déjà victime d’une intrusion ou si l’opération à lieu par un tiers physiquement présent dans votre entreprise.
Nous proposons alors la mise en place d’outils qui gèrent cette deuxième méthode d’authentification. Ils rendent plus sécurisée et agréable l’expérience de connexion puisqu’il est possible de changer moins souvent les mots de passes, et on peut réduire leur complexité. Des outils d’analyse des connexions sont couplés aux serveurs de MFA et une Intelligence Artificielle permet de détecter des propriétés de connexion inhabituelles, contraignant l’utilisateur à renseigner sa seconde méthode d’authentification et/ou d’alerter l’utilisateur et l’administrateur qui redoubleront de vigilance, bloquant temporairement les connexions depuis le poste source uniquement, et non celui de l’utilisateur.
Combien ça coûte?
Et bien cela dépend ! Certaines de nos offrent incluent automatiquement la fonctionnalité MFA sur les e-mails ou bureaux à distance, mais il est également possible de souscrire à l’option supplémentaire pour toute ou une partie des utilisateurs, pour moins de 10 euros par utilisateur et par mois. Ils incluent systématiquement le coût lié à la surveillance des connexions inhabituelles et l’assistance utilisateur par nos équipes pour la mise en place de cette méthode et son utilisation.
Il est possible de paramétrer cette solution sur toute ou une partie des authentifications réseaux/e-mails, et de limiter l’usage de la MFA aux connexions qui présentent un risque imminent.
Renoncer à cette MFA pour des questions de coûts trop élevés est en réalité une fausse économie : les attaques par mot de passe sont très fréquences et le piratage de vos infrastructures peut coûter très cher à votre organisation, voir un arrêt total de production de l’établissement pendant plusieurs mois. Si le budget informatique ne le permet pas, il faut alors penser à renoncer à toute ou une partie des applications distantes et accepter des connexion plus fastidieuses et restrictives, sans aucune certitude que cela ne suffise. On envisagerait pas de prendre un avion dont la compagnie a lésiné sur la sécurité, laisser les portes ouvertes dans les prisons, ou vivre à côté d’une centrale nucléaire non-révisée depuis des décennies : la sécurité a un coût qui est très souvent bien inférieur aux accidents dont nous sommes victimes lorsqu’on la néglige.