L’authentification multifacteur (MFA) est cruciale pour créer une posture de cybersécurité saine, mais de nombreuses entreprises tardent à l’adopter.
Qu’on le veuille ou non, les légumes sont bons pour nous. Ils réduisent notre risque de maladies chroniques et fournissent les vitamines dont notre corps a besoin. Et pourtant, seulement 10 % des adultes mangent suffisamment de légumes, même s’ils savent probablement qu’ils devraient le faire.
Les entreprises font la même chose en matière de cybersécurité.
Il y a en moyenne 921 attaques par mot de passe chaque seconde. L’hygiène de sécurité de base comme l’authentification multifacteur (MFA) peut protéger contre 98 % des attaques. Cependant, la plupart des entreprises ne l’utilisent pas. L’activation de MFA ajoute une autre couche de protection pour empêcher les pirates d’accéder aux réseaux internes. Mais si le renforcement de la posture de cybersécurité d’une entreprise est aussi simple que l’activation de la MFA, cela soulève la question : pourquoi les entreprises ne mangent-elles pas leurs légumes ?
Qu’est-ce qui empêche les entreprises d’activer la MFA ?
Bien que chaque entreprise soit différente, les raisons pour lesquelles elles ne déploient pas le MFA sont souvent les mêmes.
- Le MFA coûte trop cher. Les ressources de l’équipe de sécurité sont déjà limitées. Ajouter un outil supplémentaire à leurs portefeuilles peut être difficile à vendre. Heureusement, certains fournisseurs de sécurité proposent le MFA gratuitement dans le cadre de leurs paramètres de sécurité par défaut. Des paramètres de sécurité par défaut ont été créés pour faciliter un peu la gestion de la sécurité. L’objectif est de s’assurer que toutes les entreprises ont un niveau de sécurité de base activé sans frais supplémentaires.
- Ils pensent que leurs utilisateurs vont détester le MFA. Les utilisateurs veulent être productifs où et quand ils travaillent sans sacrifier la sécurité de leur organisation. L’accès conditionnel est une approche moderne de la MFA. Au lieu de demander à un utilisateur un deuxième facteur à chaque fois qu’il s’authentifie, les programmes de sécurité peuvent examiner plusieurs éléments différents pour déterminer si quelque chose a changé ou est inhabituel chez cet utilisateur avant de le lui demander. Il examine des éléments tels que l’endroit à partir duquel l’utilisateur se connecte, si son appareil est sain et s’il y a un comportement suspect – par exemple, si l’utilisateur se connecte généralement depuis la France et que quelqu’un essaie de se connecter avec ses informations d’identification depuis Seattle au en même temps, quelque chose ne va vraiment pas.
Les utilisateurs finaux peuvent également choisir comment ils souhaitent fournir le deuxième facteur lorsqu’ils reçoivent une invite. Aucun équipement sophistiqué n’est requis. Les utilisateurs peuvent choisir quelque chose de simple comme un message SMS ou un appel téléphonique. Cependant, il est recommandé d’utiliser des méthodes d’authentification plus solides comme une application ou une clé de sécurité spécifique. Ils peuvent même avoir plusieurs appareils qui utilisent différentes méthodes pour différents environnements. Ils peuvent également avoir des appareils de sauvegarde au cas où ils en perdraient un ou en oublieraient un à la maison.
La MFA est trop difficile à déployer
Une autre raison invoquée par les entreprises pour ne pas mettre en œuvre la MFA est qu’elle est trop difficile à déployer. Cependant, les organisations peuvent tirer parti des politiques d’accès conditionnel pour protéger les implémentations cloud, au lieu de s’appuyer sur un serveur physique ou un logiciel.
Nous avons récemment ajouté des modèles d’accès conditionnel pour faciliter encore plus la configuration des politiques. Les équipes de sécurité peuvent rapidement créer une nouvelle politique à partir de l’un des 14 modèles intégrés. Ils aident les entreprises à fournir une protection maximale à leurs utilisateurs et appareils et à s’aligner sur les politiques les plus couramment utilisées. Celles-ci incluent des éléments tels que « Exiger une authentification multifacteur pour l’administrateur » ou « Exiger un changement de mot de passe pour les utilisateurs à haut risque ». Les fournisseurs de services cloud proposent souvent une liste de politiques recommandées, et les organisations peuvent cibler des politiques d’accès conditionnel sur un ensemble spécifique d’utilisateurs, d’applications ou d’appareils pour déployer facilement différentes politiques à grande échelle.
En fin de compte, une entreprise doit être en mesure de protéger ses propres opérations – et ses utilisateurs – contre les menaces de cybersécurité en cours. L’activation de MFA n’est qu’un des outils du kit d’une équipe de sécurité.
