De nombreuses violations auraient pu être facilement évitées grâce à l’authentification à deux facteurs (2FA). En plus du mot de passe, l’authentification à deux facteurs exige une deuxième étape de vérification, comme un code de smartphone ou un balayage biométrique. Microsoft estime que l’authentification multifactorielle (MFA) bloque plus de 99,9 % des attaques de compromission de compte, ce qui la rend cruciale car l' »authentification défaillante » reste l’une des principales vulnérabilités de l’OWASP.

Les pirates utilisent généralement l’une des techniques suivantes pour obtenir les informations d’identification de l’utilisateur :

  1. L’hameçonnage généralisé consiste pour un acteur malveillant à envoyer un courriel générique à partir d’une fausse adresse électronique qui encourage les destinataires à se connecter à une fausse page web à l’aide de leurs véritables informations d’identification. Les raisons invoquées dans le courriel de phishing peuvent aller de « l’accès à un nouvel outil » à la « réinitialisation d’un mot de passe » ou, ironiquement, à la « confirmation d’une activité suspecte sur un compte ».

  2. Le spear phishing suit le même modèle que le phishing généralisé, mais les courriels sont spécifiques à chaque cible. Cela signifie que le courriel s’adresse à l’utilisateur par son vrai nom ou par les applications qu’il utilise régulièrement. Les courriels de spear phishing semblent plus crédibles que leurs homologues, ce qui augmente leur taux de réussite.

  3. Les attaques par  » Credential stuffing« , où un acteur malveillant qui découvre ou achète le mot de passe d’une cible peut accéder à tous les comptes qui partagent ce mot de passe. Cette situation est particulièrement problématique lorsque l’on considère la sensibilisation des utilisateurs à la cybersécurité.

  4. La pulvérisation de mots de passe permet aux attaquants d’obtenir un accès en essayant des mots de passe courants ou par défaut. Les exemples les plus génériques sont des mots de passe tels que « 123456 » et « password ».

Pourquoi l’authentification à deux facteurs est-elle importante ?

Comme nous pouvons le constater, l’obtention d’un mot de passe n’est pas une mission impossible et ne nécessite pas que les attaquants fouillent les poubelles de la cible dans l’espoir d’y trouver une feuille de papier avec leurs informations d’identification écrites.

Entre ces trois types d’attaques – phishing, credential stuffing et password spraying – il est facile d’imaginer que sur un millier d’employés, au moins l’un d’entre eux peut être compromis. Et c’est toute l’organisation qui est en danger.

Cependant, lorsque vous ajoutez un autre mode d’authentification dans le mélange, le risque de compromission se rapproche de zéro. Si un mot de passe peut être piraté, les chances que l’attaquant accède également à distance au dispositif d’authentification ou à la biométrie de la cible sont quasiment nulles. C’est ainsi que 99,9 % des compromissions de comptes peuvent être évitées.

La formation à la sensibilisation à la sécurité est essentielle à la réussite de l’authentification à deux facteurs

Le déploiement de l’authentification à deux facteurs dans votre organisation doit tenir compte de deux éléments.

Tout d’abord, la technologie. Pour mettre en œuvre l’authentification à deux facteurs, vous devez choisir une méthode d’authentification des utilisateurs. La méthode la plus courante aujourd’hui est l’utilisation d’un smartphone. Des produits tels qu’Office 365 disposent de fonctions MFA intégrées et d’une gestion des politiques qui permettent de configurer facilement les applications mobiles des utilisateurs comme preuve d’identité.

Deuxièmement, et c’est peut-être le plus difficile, les personnes. Les utilisateurs devront passer par une étape de connexion supplémentaire chaque fois qu’ils accèderont à un outil pour lequel l’AMF est activée. C’est là que la formation à la sensibilisation à la sécurité est indispensable. Sans une campagne de sensibilisation des employés soulignant l’importance de l’authentification à deux facteurs, certains utilisateurs pourraient se sentir gênés par l’étape supplémentaire d’authentification et se tourner vers l’utilisation d’applications non autorisées – telles que WhatsApp – pour partager des fichiers et des messages. Cette utilisation d’applications non autorisées est connue sous le nom de  » shadow IT » et il s’agit d’une pratique à haut risque puisqu’elle contourne toute la sécurité de l’entreprise.

La sensibilisation des utilisateurs à la cybersécurité est encore plus importante si l’on considère l’attaque par  » credential stuffing « . Si plus de 50 % des utilisateurs utilisent le même mot de passe pour plusieurs comptes, il est également très probable qu’ils partagent leurs mots de passe entre leurs comptes personnels et professionnels.

Création d’un pare-feu humain avec authentification à deux facteurs

C’est pourquoi nous recommandons d’étendre les campagnes de sensibilisation à la sécurité aux habitudes de sécurité personnelle des employés. L’activation de la fonction 2FA sur les services de messagerie personnels tels que Gmail est facile à mettre en place et pratique à utiliser. Cette simple action présente un double avantage, directement pour l’utilisateur et indirectement pour l’organisation, puisqu’elle minimise le risque de violation des données.

Outre la promotion de l’importance de l’authentification à deux facteurs pour l’utilisation personnelle, la formation à la gestion des incidents peut également aider les utilisateurs qui ont été compromis à suivre une procédure qui peut prévenir d’autres dommages, y compris le signalement des violations aux équipes informatiques concernées et la modification des mots de passe si nécessaire.

Les campagnes d’éducation visant à sensibiliser les employés à la cybersécurité sont le seul moyen d’obtenir l’adhésion volontaire des utilisateurs. Lorsque les employés comprennent l’importance de sécuriser leurs services informatiques et de communication au travail et à la maison, ils constituent une base solide pour l’ensemble de l’entreprise.

Renforcez votrecybersécurité grâce à une formation efficace des employés

Pour renforcer la cybersécurité de votre organisation, nous vous recommandons de consulter ces articles :

Vous pouvez également demander une démonstration gratuite de notre formation avancée à la cybersécurité pour les employés afin de voir comment une formation efficace peut améliorer votre défense contre les cybermenaces.

La sensibilisation à la cybersécurité pour les nuls