L’authentification multifacteur ne doit pas être réservée aux dirigeants

0
130

Si l’année 2020 a été marquée par la crise liée à la COVID-19 dans le monde entier, elle l’a aussi été par le nombre de cyberattaques qui ont visé les entreprises en France.

Tribune Yubico – Dans ce contexte, Guillaume Poupard, Directeur général de l’ANSSI a récemment déclaré que « S’il est de plus en plus difficile de dire “Je ne savais pas” et qu’être victime d’attaque informatique ne doit pas être “honteux”, il est en revanche de votre responsabilité de prendre en compte ces enjeux au juste niveau et de décider la mise en œuvre des mesures de sécurité numérique nécessaires ». 

En phase avec cette approche, Laurent Nezot, Directeur des ventes chez Yubico, explique notamment pourquoi la sécurité est l’affaire de tous, et non uniquement réservée aux dirigeants qui sont souvent perçus comme les plus susceptibles de subir des cyberattaques, notamment en matière d’authentification :

« Aujourd’hui, au sein des entreprises, il n’est pas rare de considérer que seuls les dirigeants et les responsables nécessitent un dispositif de sécurité renforcé pour accéder à leurs comptes en ligne. Il devient urgent de changer cet à priori et de comprendre que les attaquants ne vont pas seulement viser ces personnes pour tenter de s’introduire dans les systèmes d’une entreprise ; justement parce qu’ils se doutent que ce seront les comptes les mieux protégés. A l’inverse, les cybercriminels savent que les mesures de cybersécurité des personnes à des postes moins élevés sont bien souvent négligées. Par conséquent, ils cibleront ces comptes juste pour mettre un pied dans le système, puis ils effectueront des déplacements latéraux et des élévations de privilèges pour accéder à des systèmes et des données plus sensibles.

Il est ici question de prise de conscience et d’urgence à démocratiser l’authentification forte pour tous les employés au sein d’une organisation. Dans une voiture, tous les occupants doivent attacher leur ceinture, et ce, quelle que soit la vitesse. L’idée est la même en ce qui concerne la sécurité d’une entreprise : tous les employés doivent avoir la même “ceinture de sécurité” et bénéficier d’un niveau de protection élevé, quel que soit leur titre. 

Pendant des années, il a été pratiquement impossible de trouver un équilibre entre haute sécurité et facilité d’utilisation, mais les nouvelles technologies d’authentification permettent désormais de combler le fossé. Avec la disponibilité de connexions et de dispositifs d’authentification sans mot de passe, il est temps pour les organisations de renforcer leurs options de sécurité au-delà des simples identifiants ; dans les faits, les utilisateurs l’exigent. Un nombre croissant d’employés attend en effet de leur entreprise qu’elle réponde à leurs exigences en matière d’authentification, car les travailleurs modernes passent souvent de leur appareil mobile à leur ordinateur pour leurs activités professionnelles et personnelles ; d’autant plus avec le télétravail qui reste aujourd’hui la norme.

Les individus sont réfractaires au changement, et surtout au changement dont ils ne tirent aucun avantage clair et immédiat. Néanmoins, les menaces de sécurité se sont multipliées l’année dernière et il faut s’attendre à ce que ces chiffres continuent d’augmenter en 2021. Pour se protéger, les entreprises doivent mettre en œuvre les mesures de sécurité nécessaires et de manière proactive, à commencer par la démocratisation de l’authentification multifacteur. Elle représente en effet la première ligne de défense contre les cyberattaques et doit être systématiquement utilisée, au même titre qu’un antivirus ou un anti-spam sur un ordinateur. Les cybermenaces évoluent, les organisations doivent donc faire évoluer leur stratégie de cybersécurité car, comme l’a indiqué Guillaume Poupard de l’ANSSI, il est de plus en plus difficile de dire “Je ne savais pas”. »