Dans nos podcasts « Parlons-en », les experts OCI décryptent pour vous des sujets d’actualité du monde de l’entreprise. Première édition avec Thomas SCHAAL, expert en cybersécurité, qui vous parle de MFA !
Bonjour à tous et bienvenue dans les podcasts des experts OCI ! Nouvelle année, nouveau format. L’objectif de ces podcasts est de vous informer et de vous sensibiliser sur l’ensemble des enjeux liés au digital et à l’informatique. Nous allons faire intervenir nos experts pour décrypter différents sujets autour de l’actualité et de la technologie. Pour ce premier podcast, nous recevrons notre expert de la sécurité, Thomas. Alors Thomas, on va aujourd’hui parler sécurité, mais surtout, on va parler MFA.
Avant d'aborder ce concept très technique, peux-tu nous dire pourquoi l'aspect sécurité informatique est important aujourd'hui pour les entreprises ?
Bien sûr ! En ce moment, il n’y a pas un mois, il n’y a pas une semaine qui passe sans que la presse ne fasse mention d’un piratage dans une entreprise. Alors, pour les plus récents, on a entendu parler de l’OMS avec des problématiques de piratage liées aux campagnes de vaccination, tout du moins à la production des vaccins. On a entendu parler d’Orion via le logiciel Solarwinds aux USA et plus près de chez nous, on a entendu parler du groupe Atlantic, dont une des usines est implantée à Mulhouse. On s’en rend compte, plusieurs types de sociétés sont touchées.
Qu'elles soient internationales ou locales, tout le monde, toutes les entreprises peuvent être impactées.
Thomas, la première question qui se pose est "Qu'est-ce que veulent les pirates ?"
Eh bien, ils veulent deux choses. Soit ils veulent les données des entreprises parce qu’elles présentent un intérêt stratégique. C’est probablement c’est ce qu’il s’est passé dans le cas de l’OMS. Ou alors, ils veulent pouvoir gagner de l’argent. Et dans ce cas, ce sont des ransomwares, ces fameux cryptovirus, qui vont être installés sur les parcs informatiques des entreprises concernées et qui vont demander une rançon aux entreprises pour pouvoir libérer les données qui auront été prises en otage.
Mais dans les deux cas, soit pour accéder à la donnée, soit pour déployer un cryptovirus, le pirate a besoin d‘un nom d’utilisateur et d’un mot de passe.
Donc les cibles, ce sont bien les utilisateurs et ce couple login/mot de passe, que l'on appelle aussi les "credentials".
Pour lutter contre cette problématique, les entreprises vont demander aux collaborateurs d’augmenter la robustesse de leurs mots de passe pour sécuriser ce fameux couple. On va augmenter la longueur du mot de passe, on va demander à le changer régulièrement ou on va y ajouter des caractères spécialisés ou une certaine complexité. Ces mesures sont bénéfiques, bien entendu, parce qu’elles vont augmenter la robustesse de ces credencials, mais elles posent un problème parce qu’on va avoir du mal à retenir le mot de passe.
On va donc avoir tendance à l’écrire ou potentiellement à le partager avec d’autres collaborateurs si ces mots de passe protègent des services auxquels plusieurs personnes doivent avoir accès. Donc, pour arriver à mieux retenir ces mots de passe ou alors quand on va les partager, qu’est ce qu’il se passe ? On va mettre en péril la sécurité de l’entreprise. Donc, si c’est le cas, ça veut dire que nos mots de passe deviennent corrompus jusqu’à leur prochain changement.
Une des réponses technologiques à cette pratique, c'est d'ajouter une couche de sécurité grâce à un MFA, une authentification multi-facteurs.
Et comment ça marche le MFA pour les utilisateurs ?
En gros, tu vas continuer à saisir ton nom d’utilisateur et ton mot de passe comme tu le fais habituellement, mais le MFA va te demander une action complémentaire pour bien valider que toi, Julie, tu es à l’origine de la demande d’authentification. Généralement, ça se présente sous la forme d’une application sur ton smartphone qui va te demander soit d’appliquer ton empreinte digitale, soit de faire un scan biométrique comme le fait par exemple Face ID. Et donc, une fois que ce scan ou cette empreinte aura été validé, le MFA va autoriser la demande d’authentification.
Si je n'ai pas de smartphone, comment ça marche ?
Sans smartphone, il existe d’autres méthodes pour libérer l’authentification. Ça peut prendre la forme d’un token, comme un petit porte clé avec une suite de chiffres qui change régulièrement, à usage unique évidemment. Ou bien ça peut être une contre validation par e-mail ou par SMS. Le MFA va t’envoyer un SMS avec une suite de chiffres et tu vas la saisir pour valider l’authentification.
À quel type d'authentification peut-on appliquer du MFA ?
Aujourd’hui, on va retrouver le MFA pour plusieurs services. Déjà, on va pouvoir simplement ouvrir notre session ou déverrouiller notre ordinateur ou bien potentiellement pour accéder à différents services internes ou externes à l’entreprise. Des services comme par exemple votre plateforme RH ou le site d’un fournisseur ou d’un partenaire. C’est un petit peu la même chose que ce que l’on va appliquer pour notre espace bancaire personnel, par exemple.
Ca a l'air d'être une très bonne solution de sécurité, car on ajoute un barrage aux pirates, mais pour l'utilisateur est-ce que ce n'est pas un peu trop contraignant ?
La sécurité, ce n'est pas confortable, on le sait, mais pour autant, c'est absolument nécessaire !
Donc, le choix que doivent faire les entreprises est limpide au vu du nombre d’attaques quotidiennes. Pour moi, il faut en mettre partout.