Skip to content
Testez gratuitement la solution RSA de sécurité cloud

Commencez votre essai de ID Plus maintenant

Commencer

L'authentification multi-facteurs (MFA) n'est plus optionnelle ; c'est une exigence critique pour sécuriser l'accès aux systèmes et aux données sensibles. Alors que les cybermenaces deviennent de plus en plus sophistiquées, les responsables de la sécurité et de la gestion des identités et des accès (IAM) dans les services financiers, les agences gouvernementales, les soins de santé, l'énergie et d'autres environnements où la sécurité est primordiale doivent s'adapter à l'évolution des exigences en matière d'AFM pour garantir la conformité, atténuer les risques de sécurité et protéger les actifs critiques.

Vous trouverez ci-dessous des informations supplémentaires sur les exigences MFA, les normes de conformité, les vulnérabilités en matière de sécurité et les meilleures pratiques pour renforcer la sécurité de l'authentification, y compris la façon dont les méthodes d'authentification externe (EAM) de RSA avec Microsoft aident les organisations à répondre à des mandats réglementaires stricts.

Exigences de l'AMF et conformité

Les exigences de l'AMF définissent les politiques d'authentification que les organisations doivent mettre en œuvre pour renforcer la sécurité et réduire le risque d'attaques basées sur les informations d'identification. Ces exigences varient en fonction du secteur et du cadre réglementaire, mais elles imposent généralement l'utilisation d'au moins deux facteurs d'authentification :

  • Quelque chose que vous connaissezmots de passe, codes PIN
  • Quelque chose que vous avezLes technologies de l'information et de la communication (TIC) : jetons matériels, authentificateurs mobiles
  • Quelque chose que vous êtes: biométrie (empreintes digitales, reconnaissance faciale)

L'AFM est obligatoire dans de nombreux secteurs d'activité pour empêcher les accès non autorisés, réduire la fraude et améliorer la résilience globale de la cybersécurité. Parmi les cadres de conformité et les exigences techniques qui imposent l'AFM pour garantir que les organisations atténuent les menaces liées à l'identité, on peut citer les suivants :

  • La loi DORA (Digital Operational Resilience Act) impose des exigences strictes en matière d'AMF aux institutions financières de l'UE, renforçant ainsi la cybersécurité et la résilience opérationnelle.
  • La directive NIS2 (Network and Information Security Directive 2) renforce les exigences en matière d'authentification pour les secteurs critiques dans l'ensemble de l'UE.
  • La norme PCI DSS (Payment Card Industry Data Security Standard) impose l'AMF pour l'accès administratif non-console et l'accès à distance aux données des titulaires de cartes.
  • Le CMMC 2.0 (Cybersecurity Maturity Model Certification) impose aux entreprises fédérales qui traitent des données gouvernementales sensibles de mettre en place un système de gestion des données (MFA) résistant à l'hameçonnage (phishing).
  • Le GDPR (General Data Protection Regulation) impose des contrôles d'authentification sécurisés pour protéger les données personnelles.
  • L'exigence MFA de Microsoft pour les applications en nuage comme Azure AD requiert une authentification forte pour les comptes utilisateurs et administrateurs.

RSA® ID Plus fournit une AMF qui répond à chacune de ces réglementations et exigences. Par exemple, l Intégration de RSA EAM avec Microsoft permet aux organisations de mettre en œuvre une MFA résistante au phishing, des politiques adaptatives basées sur les risques et une surveillance continue de l'authentification, étendant la sécurité au-delà de l'écosystème de Microsoft pour protéger les environnements hybrides et multiclouds.
Le non-respect de ces exigences peut entraîner des amendes et des polices de cyber-assurance plus coûteuses. En outre, si les organisations ne déploient pas d'authentification moderne, elles courent le risque d'augmenter considérablement leur exposition. La grande majorité des cyberattaques ciblent des informations d'identification faibles, comme des mots de passe volés. L'authentification moderne est essentielle pour réduire le risque que représente tout identifiant compromis.

Meilleures pratiques pour la mise en œuvre de l'AMF

Pour mettre en œuvre l'AMF de manière efficace, les organisations doivent respecter les meilleures pratiques suivantes :

  • Obtenir les bons protocoles pour les bons utilisateurs: L'AMF ne doit pas être universelle. Des populations d'utilisateurs différentes peuvent avoir des exigences différentes. Par exemple, les utilisateurs travaillant dans des salles blanches ou d'autres installations hautement sécurisées peuvent ne pas être en mesure d'utiliser des appareils connectés à Internet ou des téléphones portables pour s'authentifier. Assurez-vous de savoir ce que vos utilisateurs peuvent utiliser, ce qu'ils ne peuvent pas utiliser et ce avec quoi ils sont familiers.
  • Ne créez pas d'expériences d'authentification cloisonnées: Bien que les organisations doivent répondre aux besoins des différents groupes d'utilisateurs, elles ne doivent pas utiliser des solutions ponctuelles pour déployer l'AMF groupe par groupe. Cela complique les opérations et augmente les coûts d'approvisionnement et de gestion. Au lieu de cela, les organisations devraient donner la priorité aux fournisseurs qui peuvent prendre en charge une gamme de méthodes MFA à partir d'une plate-forme d'identité centrale.
  • Si vous ne prévoyez pas les pannes, vous prévoyez l'échec.: Si vous utilisez un fournisseur de services en nuage pour l'AMF, vous devez vous demander ce qui se passe lorsque le nuage tombe en panne. Au mieux, cela signifie que les utilisateurs ne peuvent pas accéder à leurs applications ; au pire, cela peut être un moyen pour les acteurs de la menace de lancer une attaque. Les organisations doivent renforcer la résilience de leurs infrastructures critiques, en particulier l'AMF.
  • Sécuriser le BYOD: Avec les téléphones portables, le travail à domicile et les politiques BYOD (bring your own device) répandues dans tous les secteurs, de plus en plus d'utilisateurs complètent l'AMF à l'aide d'appareils personnels. Bien que cela soit plus pratique, cela peut également introduire des risques dans le processus d'authentification : les logiciels malveillants, les attaques man-in-the-middle, l'ingénierie sociale, etc. peuvent compromettre le processus d'authentification et mettre en danger les données de l'entreprise, les actifs de l'entreprise ou les dossiers des clients.
  • Assurez-vous d'utiliser la bonne authentification sans mot de passe: Si vous envisagez d'utiliser l'AMF sans mot de passe, c'est un excellent moyen de réduire le risque de votre organisation et d'améliorer sa maturité en matière de confiance zéro. Mais toutes les authentifications sans mot de passe ne se valent pas : les organisations doivent savoir faire la différence entre les clés de passage synchronisées, qui n'offrent pas une sécurité suffisante à l'entreprise, et les clés de passage liées à l'appareil, qui peuvent assurer la sécurité des organisations.
Comprendre les risques de sécurité liés à l'AMF

Bien que l'AMF renforce considérablement la sécurité, elle n'est pas infaillible. Les attaquants ne cessent de faire évoluer leurs tactiques pour contourner les contrôles d'authentification, d'où l'importance pour les organisations de reconnaître et d'atténuer les vulnérabilités potentielles.

Comment l'AMF peut être compromise
  • Attaques d'ingénierie sociale: Les attaques de phishing, spear-phishing et MFA fatigue incitent les utilisateurs à approuver des demandes d'authentification frauduleuses.
  • Exploitation du service d'assistance: Les attaquants utilisent l'ingénierie sociale pour manipuler le personnel de support informatique afin qu'il réinitialise les identifiants MFA ou qu'il approuve les demandes d'accès frauduleuses.
  • Attaques par logiciels malveillants: Les enregistreurs de frappe et les chevaux de Troie d'accès à distance (RAT) peuvent capturer les informations d'identification MFA et contourner les contrôles d'authentification.
  • Échange de cartes SIM: Les attaquants détournent le numéro de téléphone d'une victime pour intercepter les codes MFA par SMS.
  • Attaques de type "Man-in-the-Middle" (MitM): Les adversaires interceptent les demandes d'authentification et volent les jetons de session.
  • Bombardement de l'AMF ou bombardement rapide: Les attaquants submergent les utilisateurs de demandes d'approbation MFA jusqu'à ce qu'ils approuvent involontairement l'accès.

Voici quelques exemples de failles de sécurité de l'AMF 2022 Attentat à la bombe commis par Uber et les attaques d'ingénierie sociale de 2023 qui ont visé Stations balnéaires de Las Vegas. Ces exemples montrent comment les acteurs de la menace peuvent exploiter des implémentations d'AMF faibles et d'autres vulnérabilités en matière de sécurité de l'AMF. Pour contrer ces menaces, les organisations doivent adopter des méthodes d'authentification résistantes à l'hameçonnage, telles que les clés de passage basées sur RSA FIDO2 et l'authentification adaptative basée sur les risques.

Renforcer l'AMF avec les principes de la confiance zéro

L'AMF seule ne suffit pas ; les organisations doivent l'intégrer dans une architecture de confiance zéro (ZTA) pour assurer une vérification continue de l'identité de l'utilisateur et de la sécurité de l'appareil.

Zero Trust part du principe qu'aucun utilisateur ou appareil n'est intrinsèquement fiable, ce qui nécessite une authentification permanente et des contrôles d'accès basés sur des règles. L'intégration de RSA avec le cadre Zero Trust de Microsoft permet aux entreprises de :

  • Renforcer l'accès au moindre privilège grâce à des politiques d'AMF adaptatives basées sur le risque.
  • Tirez parti d'une authentification résistante au phishing, comme les clés de sécurité FIDO2 et les clés d'accès liées à l'appareil.
  • Surveillez les demandes d'authentification en temps réel pour détecter les anomalies et empêcher la compromission des informations d'identification.
Meilleures pratiques pour la mise en œuvre de l'AMF sécurisée

Pour maximiser la sécurité et la conformité, les organisations devraient prendre en compte les meilleures pratiques suivantes :
Choisir la bonne solution d'AMF

  • Utilisez une MFA résistante au phishing, telle que l'authentification basée sur RSA FIDO2 ou des clés d'accès liées à l'appareil.
  • Éviter l'AMF par SMS en raison de vulnérabilités telles que l'échange de cartes SIM.
  • Mettre en œuvre des clés de sécurité matérielles pour une authentification de haut niveau.
  • Utiliser l'authentification moderne, qui est conçue pour être sans mot de passe, adaptative et consciente des risques. L'authentification moderne va au-delà de l'AMF traditionnelle en vérifiant continuellement les utilisateurs tout au long de leur session, et pas seulement au moment de la connexion. L'authentification moderne élimine les mots de passe, utilise le contexte et les signaux de risque pour renforcer la sécurité et fonctionne de manière transparente dans les environnements cloud, hybrides et sur site.

Sensibiliser les utilisateurs à la sécurité de l'AMF

  • Former les employés à reconnaître les attaques d'ingénierie sociale et d'hameçonnage ciblant l'AMF.
  • Permettre une récupération de l'authentification en libre-service afin de réduire la charge de travail de l'assistance informatique.
  • Encourager les utilisateurs à signaler les messages suspects de l'AMF.

Contrôle et audit continus

  • Déployer un système de détection en temps réel des menaces liées à l'identité pour repérer les comportements d'authentification inhabituels.
  • Mettre régulièrement à jour les politiques d'AMF pour faire face à l'évolution des menaces de cybersécurité.
  • Effectuer des tests de pénétration pour évaluer la résistance de l'AMF aux méthodes d'attaque.

En tirant parti de RSA EAM avec Microsoft, les organisations peuvent réaliser des déploiements MFA transparents, conformes et hautement sécurisés tout en s'alignant sur les principes Zero Trust.

L'AFM est un pilier essentiel de la sécurité moderne des identités, mais elle doit être déployée de manière stratégique pour maximiser la protection contre les menaces en constante évolution. En comprenant les exigences de l'AFM, en s'alignant sur les cadres de conformité tels que DORA et NIS2, et en intégrant l'AFM dans un cadre plus large de confiance zéro, les organisations peuvent renforcer la sécurité et atténuer les risques d'authentification.

Contacter l'ASR pour en savoir plus sur la façon dont RSA fournit une gamme de solutions MFA qui répondent aux réglementations mondiales et s'intègrent dans une stratégie de sécurité de l'identité plus large.

Vous pourriez également être intéressé par...

Demander une démonstration

Obtenir une démonstration