Cela semble évident, mais la posture de cybersécurité d'une organisation ne peut pas être fragmentaire. Bien qu'une organisation puisse traiter certains utilisateurs différemment des autres et qu'elle puisse avoir besoin d'une protection supplémentaire pour les utilisateurs à haut risque, un programme de sécurité doit tenir compte de chaque utilisateur.
Répondre à ce besoin peut devenir de plus en plus complexe au fur et à mesure que les organisations se développent, car les responsables informatiques doivent évaluer le coût des solutions d'authentification multifactorielle (MFA) ainsi que le comportement des utilisateurs, tout en créant un cadre de cybersécurité solide.
Pour de nombreuses organisations, les appareils mobiles représentent un compromis pragmatique entre la sécurité, le coût et la commodité. Les appareils mobiles sont omniprésents et faciles à utiliser pour répondre aux exigences de l'authentification multifactorielle (AMF) : 73% des utilisateurs pensent que les smartphones sont la méthode la plus pratique pour remplir l'AMF.
Aussi efficace que soit l'authentification basée sur une application mobile pour créer un programme de sécurité à l'échelle de l'entreprise et équilibrer les coûts, elle n'est pas une panacée qui fonctionne pour tout le monde et tout le temps. Le coût de l'authentification multifactorielle varie en fonction du type de solution et de la stratégie de mise en œuvre.
Préférences et capacités des utilisateurs
Dans certaines situations, il se peut que certains utilisateurs ne soient pas en mesure d'utiliser des appareils mobiles ou de s'appuyer sur la connectivité mobile pour s'authentifier (par exemple, dans une salle blanche d'une entreprise de fabrication). Dans d'autres cas, les employés peuvent ne pas être à l'aise pour installer des applications imposées par l'entreprise sur leurs appareils personnels afin de répondre aux exigences de sécurité.
Jetons matériels
Les organisations déploient deux types de solutions pour authentifier ces utilisateurs. La première consiste en des authentificateurs matériels utilisant des codes de passe à usage unique (OTP). Les authentificateurs matériels tels que le DS100 sont l'étalon-or de l'authentification : ils aident les organisations à se passer de mot de passe en unifiant les avantages cryptographiques des protocoles FIDO2 et les avantages de sécurité de l'OTP.
La deuxième solution est l'AMF traditionnelle, comme l'authentification par SMS (qui envoie les OTP directement sur les appareils personnels des utilisateurs) et l'OTP vocale.
Frais de maintenance et d'assistance
Les frais de maintenance et d'assistance peuvent également augmenter le coût total au fil du temps, en particulier pour les solutions d'AMF basées sur la téléphonie mobile. Ces frais comprennent souvent les mises à jour permanentes des applications mobiles, la garantie de la compatibilité avec les systèmes d'exploitation les plus récents et la correction des failles de sécurité propres aux plateformes mobiles. Les fournisseurs peuvent également facturer le maintien de services de notification push fiables, le dépannage des problèmes spécifiques aux appareils, ou la fourniture d'une assistance aux utilisateurs disposant de divers appareils mobiles. En outre, les entreprises peuvent avoir besoin d'investir dans la formation des utilisateurs pour gérer les mises à jour des applications mobiles et assurer une intégration transparente avec leur écosystème informatique. Au fil du temps, ces facteurs peuvent influencer de manière significative le coût total de possession des implémentations MFA mobiles.
Les OTP vocaux et par SMS présentent des failles de sécurité connues : L'OTP par SMS n'est pas chiffré et est vulnérable aux pannes de réseau, à l'échange de cartes SIM, à l'ingénierie sociale et aux attaques SS7 et man-in-the-middle. RSA recommande aux organisations de passer à une authentification plus forte et véritablement sans mot de passe à long terme.
Cependant, de nombreuses organisations continuent de s'appuyer sur ces méthodes parce qu'elles.. :
- prendre en charge divers groupes d'utilisateurs présentant des niveaux d'accès et de risque variables.
- sont souvent les options d'AMF les plus abordables pour les petites entreprises ou les environnements spécifiques.
L'Institut national américain des normes et de la technologie (NIST) s'est exprimée en ce sens en écrivant que les agences doivent trouver un équilibre entre "les aspects pratiques des mises en œuvre actuelles et les besoins futurs" et que l'utilisation des "SMS pour téléphones mobiles comme deuxième facteur aujourd'hui est moins efficace que d'autres approches, mais plus efficace qu'un facteur unique".
Il n'existe pas de solution unique pour concilier la nécessité de prendre en compte tous les utilisateurs, d'améliorer la cybersécurité et de maîtriser les coûts. Les organisations doivent évaluer chacun de ces facteurs et choisir des solutions en fonction de leur profil de risque, de leurs ressources, de leurs utilisateurs et de leurs objectifs.
Voici des mesures pratiques pour contrôler le coût de l'authentification multifactorielle :
- Exploiter les appareils existants, tels que les téléphones mobiles, pour minimiser l'investissement en matériel.
- Choisissez des solutions MFA évolutives qui s'adaptent à votre organisation.
- Utilisez des essais gratuits ou des projets pilotes pour évaluer les solutions avant de vous engager dans un investissement à long terme.
S'il n'y a pas de bonne solution, il y en a au moins une qui n'est pas bonne : les entreprises ne devraient pas laisser leurs solutions de sécurité être dictées par les fournisseurs. L'équilibre entre ces facteurs est déjà assez difficile en soi : il est exacerbé lorsque les fournisseurs imposent des délais ou suppriment des fonctionnalités qui, bien qu'imparfaites, répondent encore à des besoins importants.
