Authentification multifactorielle (AMF)-ou l'utilisation de plus d'un facteur d'identification lorsqu'une personne demande l'accès à des ressources sécurisées - est essentielle pour déjouer les attaques liées aux informations d'identification, se conformer aux réglementations en matière de cybersécurité et assurer la sécurité des ressources. En exigeant un (ou plusieurs) facteur(s) d'authentification supplémentaire(s) au-delà d'une simple combinaison nom d'utilisateur/mot de passe, l'AMF crée un obstacle supplémentaire pour les attaquants potentiels qui tentent d'obtenir un accès. Le MFA s'est avéré extrêmement efficace depuis son adoption à grande échelle au cours des deux dernières décennies ; dans une étude, il s'est révélé efficace pour la sécurisation de plus de 99,99% des comptes.
L'efficacité de l'AMF à stopper les attaques incite constamment les attaquants à concevoir des tactiques de plus en plus complexes et à créer de nouvelles voies d'attaque pour contourner les défenses d'une organisation. La bonne nouvelle, c'est que l'AMF s'adapte également en permanence pour répondre aux nouveaux défis. Dans ce billet, nous examinerons les tendances de l'AMF que nous voyons poindre à l'horizon, y compris les défis que l'AMF devra prendre en compte, les nouvelles méthodes d'AMF et les considérations que les organisations devront prendre en compte lors de l'évaluation des innovations en matière d'AMF.
1. Authentification adaptative
L'authentification adaptative s'est développée à partir de l'AMF traditionnelle afin d'accroître la sécurité sans alourdir la charge de travail des utilisateurs. Il s'agit d'une forme avancée d'AMF qui réagit de manière dynamique lorsqu'une personne présente des informations d'identification pour obtenir un accès, en fonction du niveau de risque associé à la tentative d'accès. Par exemple, si vous vous connectez sur votre appareil habituel à partir de votre lieu habituel, le MFA adaptatif le reconnaîtra et accordera l'accès sans exiger de facteur d'authentification supplémentaire.
Mais si vous vous connectez à partir d'un appareil non reconnu, dans un lieu inconnu, ou en utilisant un navigateur ou un réseau différent de d'habitude, l'AMF adaptative peut vous demander de fournir un facteur d'authentification supplémentaire. Ce facteur supplémentaire est parfois appelé "authentification progressive", car les exigences d'authentification du système augmentent en temps réel en même temps que le risque. Comme les menaces continuent d'évoluer, nous nous attendons à ce que de plus en plus d'organisations déploient l'authentification adaptative pour s'assurer que leur sécurité évolue au même rythme que les menaces.
L'AMF adaptative offre une sécurité plus forte que les méthodes et politiques d'authentification statiques. En s'adaptant dynamiquement aux menaces en temps réel, l'AMF adaptative peut détecter et bloquer des attaques sophistiquées telles que le credential stuffing et le phishing, et elle peut réduire les risques d'intrusion. Fatigue du MAE qui est associée au fait que les attaquants bombardent les utilisateurs d'invites d'authentification pour permettre une tentative de connexion malveillante. Outre l'amélioration de la sécurité, l'authentification adaptative améliore également l'expérience de l'utilisateur en réduisant le nombre d'invites de vérification auxquelles les utilisateurs doivent faire face lors de l'authentification.
2. Authentification contextuelle
L'authentification contextuelle est une composante de l'authentification adaptative qui devrait également devenir un pilier de l'AMF. À l'instar de l'authentification adaptative, l'authentification contextuelle analyse divers points de données pour prendre des décisions d'authentification, notamment :
- Type d'appareil : La connexion provient-elle d'un appareil connu ?
- Emplacement : L'utilisateur se connecte-t-il à partir d'un lieu connu ?
- Adresse IP : L'adresse IP est-elle associée à un VPN ?
- Heure d'accès : La connexion a-t-elle lieu à une heure inhabituelle ?
- Comportement : La vitesse de frappe ou les mouvements de la souris reflètent-ils un comportement habituel ?
Si l'authentification contextuelle et l'authentification adaptative analysent toutes deux les informations de connexion, il existe une grande différence entre les deux : L'authentification contextuelle vérifie et signale les conditions de connexion, mais n'ajuste pas nécessairement la sécurité de manière dynamique en fonction du contexte qu'elle détecte, laissant plutôt à une réponse humaine le soin d'agir en fonction des informations. L'authentification adaptative, en revanche, est une fonction en temps réel, pilotée par l'IA, qui peut modifier l'authentification et procéder à des ajustements de risque sur le moment, notamment en bloquant automatiquement les connexions à haut risque.
3. Authentification sans mot de passe
Difficiles à retenir pour les utilisateurs et faciles à deviner pour les attaquants, les mots de passe sont devenus un maillon faible de l'authentification, en particulier avec la montée en flèche du nombre de ressources nécessitant un accès sécurisé. Authentification sans mot de passe Les processus d'authentification sans mot de passe utilisent un large éventail de facteurs non basés sur des mots de passe, y compris des jetons matériels éprouvés, des codes de passe à usage unique (OTP) générés et des actions basées sur des applications, telles que le push-to-approve (pousser pour approuver). Plus les options d'authentification sans mot de passe sont nombreuses, plus les entreprises ont la possibilité d'adapter les environnements sans mot de passe à leurs besoins spécifiques ou à des groupes d'utilisateurs particuliers.
L'authentification sans mot de passe évolue en sophistication et en efficacité. L'une des tendances qui influencent l'évolution de l'AMF est l'augmentation du nombre d'entreprises qui utilisent des méthodes sans mot de passe pour améliorer l'expérience de l'utilisateur. Par exemple, il faut s'attendre à ce que les entreprises s'orientent de plus en plus vers des connexions sans mot de passe via la biométrie afin de mieux sécuriser les systèmes internes, de lutter contre le phishing et d'améliorer leur posture de confiance zéro.
Passkeys offrent un autre moyen d'améliorer la sécurité des entreprises grâce à des méthodes d'authentification sans mot de passe. Autrefois principalement associées à l'expérience du consommateur, elles font de plus en plus partie de l'avenir de l'AMF, en particulier dans les entreprises. La clé d'un déploiement réussi des passkeys réside dans l'utilisation de solutions adaptées à l'entreprise et dans l'optimisation de la sécurité.
À cette fin, les organisations devraient généralement utiliser clés d'accès liées à l'appareil plutôt que des codes d'accès qui sont librement synchronisés entre plusieurs appareils.
4. Identité décentralisée (DID)
La combinaison de l'identité décentralisée (DID) et la technologie blockchain devrait influencer l'évolution de l'AMF. Dans un environnement DID, les utilisateurs possèdent et contrôlent eux-mêmes leur identité plutôt que de dépendre d'une autorité centralisée, telle qu'une base de données ou une grande plateforme technologique. Par exemple, au lieu de se connecter à une ressource à l'aide d'un compte organisationnel, un utilisateur peut ajouter des informations d'identification vérifiées à un portefeuille décentralisé, en utilisant la blockchain comme registre infalsifiable pour les enregistrements d'authentification.
Une approche DID + blockchain a le potentiel d'améliorer l'AMF de plusieurs façons. En éliminant la présence d'une autorité centrale qui contrôle les données d'authentification, elle réduit le risque de violation des données. Elle prend également en charge l'authentification sans mot de passe, en vérifiant l'identité par le biais de clés cryptographiques stockées dans la blockchain. Et comme elle utilise des clés privées stockées en toute sécurité pour l'authentification, elle peut rendre les attaques de phishing inutiles.
5. Technologies émergentes dans l'AMF
Plusieurs technologies émergentes ont un énorme potentiel d'impact sur l'AMF, pour le meilleur et pour le pire. D'un point de vue positif, AI contribue à la détection proactive, adaptative et automatisée des menaces ; à mesure que les cybermenaces évoluent, les systèmes pilotés par l'IA détiendront la clé de la défense contre les menaces en temps réel. Mais il y a un revers à la médaille : les cyberattaquants peuvent également utiliser l'IA pour créer des mécanismes de menace nouveaux et plus puissants. Il est toutefois intéressant de noter que la grande majorité des professionnels de la cybersécurité interrogés dans le cadre d'une récente enquête sur la cybersécurité ont déclaré que l'IA était la clé de la sécurité. Enquête RSA (80%) ont indiqué qu'ils s'attendent à ce que l'IA contribue davantage à renforcer la cybersécurité qu'à aider les cybercriminels au cours des prochaines années.
L'utilisation de l'IdO et des appareils connectés comme facteurs d'AMF présente également des avantages et des risques potentiels pour l'authentification. Les appareils IoT ont un rôle clé à jouer dans l'authentification basée sur la proximité (pensez aux smartwatches qui déverrouillent les ordinateurs portables), l'accès contextuel (où les capteurs IoT vérifient les utilisateurs en fonction de leur emplacement et d'autres facteurs) et l'authentification sans contact, dans laquelle les appareils reconnaissent automatiquement les utilisateurs autorisés. En même temps, du fait de son interconnexion avec de multiples appareils et ressources, l'IdO peut également ouvrir d'autres voies pour introduire des risques d'authentification.
L'informatique quantique est un domaine des technologies émergentes qui constitue sans ambiguïté un problème potentiel pour l'AMF, car elle représente une menace sérieuse pour les techniques de cryptage qui sécurisent les systèmes d'AMF. Heureusement, il n'y a pas eu d'utilisation vérifiable de l'informatique quantique pour casser le cryptage ou l'AMF. Et, étant donné que l informatique quantique Bien que cette technologie nécessite plus de ressources que celles actuellement disponibles, elle n'en est qu'à ses débuts et les risques qu'elle représente pour l'AMF ou le cryptage sont encore purement théoriques. Selon le NIST, les clés de 2048 bits devraient continuer à offrir une protection suffisante au moins jusqu'en 2030, et la plupart des navigateurs web modernes peuvent prendre en charge des clés de 4096 bits si le besoin s'en fait sentir.
En outre, des travaux sont en cours pour rendre l'AMF résistante au quantum, notamment les mesures prises par le NIST pour normaliser les algorithmes de chiffrement résistants au quantum qui créent des protocoles d'AMF sûrs pour le quantum. L'agence a publié de nouvelles normes de cryptage FIPS post-quantique (FIPS 203, FIPS 204, et FIPS 205). Les organisations devraient examiner ces orientations et commencer à les mettre en œuvre dès aujourd'hui.
Comment vous assurerez-vous que vos capacités d'authentification sont à la hauteur des défis auxquels l'AMF est confrontée aujourd'hui et des nouveaux risques qui se développent pour la contourner ?
Votre défense commence par une simple prise de conscience et un suivi de ces tendances, et se poursuit par l'adoption des bonnes mesures pour les devancer. Cela signifie qu'il faut adopter les avancées de l'AMF comme l'authentification adaptative, passer à l'authentification sans mot de passe et explorer les technologies émergentes liées à l'AMF pour comprendre les avantages qu'elles peuvent apporter et les risques qu'elles peuvent poser. Comme toujours, RSA est là pour vous aider.
