La \u00ab donn\u00e9e\u00bb est l\u2019atout le plus important dans le mode d\u2019aujourd\u2019hui. Il va donc sans dire que la s\u00e9curit\u00e9 des donn\u00e9es est un enjeu crucial. Pendant des d\u00e9cennies, les donn\u00e9es ont \u00e9t\u00e9 prot\u00e9g\u00e9es par une combinaison nom d\u2019utilisateur et mot de passe. Des mots de passe bien souvent d\u00e9finis par les humains\u2026<\/p>\n\n\n\n<\/br>\n\n\n\n
Par nature, l\u2019esprit humain essaie de d\u00e9finir des choses dont il peut se souvenir facilement. Par exemple, le mot de passe le plus courant en 2019 \u00e9tait \u00ab123456\u00bb utilis\u00e9 par pr\u00e8s de 23,2 millions de personnes dans le monde. Si l\u2019on ne consid\u00e8re que les internautes actifs dans le monde, ce mot de passe est utilis\u00e9 au moins une fois par pr\u00e8s de 55% des utilisateurs. Mais m\u00eame les mots de passe complexes peuvent aujourd\u2019hui \u00eatre d\u00e9jou\u00e9s par les outils de password breaking.<\/p>\n\n\n\n
\n\u00ab Il faut 20 ans pour se b\u00e2tir une r\u00e9putation et quelques minutes d\u2019un cyber-incident pour la ruiner. \u00bb<\/p>\n\n\n\n
\u2013 St\u00e9phane Nappo (Global Chief Information Security Officer, OVHcloud)<\/p>\n<\/blockquote>\n\n\n\n<\/br>\n\n\n\n
Qu\u2019est-ce que l\u2019authentification multifacteur (MFA)?<\/h2>\n\n\n\n
C\u2019est l\u00e0 qu\u2019intervient l\u2019authentification multifacteur, \u00e9galement appel\u00e9e MFA. Une combinaison de nom d\u2019utilisateur et de mot de passe est un facteur d\u2019authentification, mais si vous ajoutez une couche ou un facteur d\u2019authentification suppl\u00e9mentaire, votre authentification devient multi-facteur. Vous pouvez ajouter autant de facteurs d\u2019authentification que vous le jugez n\u00e9cessaire mais id\u00e9alement, pour s\u00e9curiser compl\u00e8tement une application, l\u2019acc\u00e8s \u00e0 un utilisateur ne doit \u00eatre accord\u00e9 que si au moins deux des facteurs suivants sont v\u00e9rifi\u00e9s :<\/p>\n\n\n\n
\n
- Connaissance : quelque chose que seul l\u2019utilisateur conna\u00eet. Un mot de passe par exemple.<\/li>\n\n\n\n
- Possession : quelque chose que seul l\u2019utilisateur peut avoir. Un appareil mobile ou un g\u00e9n\u00e9rateur de jetons physique par exemple.<\/li>\n\n\n\n
- Identit\u00e9 : quelque chose que seul l\u2019utilisateur est. Toute information biom\u00e9trique telle qu\u2019une empreinte digitale par exemple.<\/li>\n<\/ul>\n\n\n\n<\/br>\n\n\n\n
Quels sont les facteurs d\u2019authentification couramment utilis\u00e9s dans l\u2019authentification multifactorielle?<\/h2>\n\n\n\n
Plusieurs m\u00e9thodes peuvent \u00eatre utilis\u00e9es pour ajouter le deuxi\u00e8me facteur d\u2019authentification. Certains des plus courants sont les suivants :<\/p>\n\n\n\n
\n
- Jetons physiques : chaque utilisateur poss\u00e8de un p\u00e9riph\u00e9rique physique qui g\u00e9n\u00e8re un mot de passe \u00e0 usage unique ou OTP sur demande.<\/li>\n\n\n\n
- Jetons logiciels : logiciel qui g\u00e9n\u00e8re l\u2019OTP pour l\u2019utilisateur. Ce type de solutions se pr\u00e9sente principalement sous la forme d\u2019applications mobiles sur smartphone. L\u2019authentification par notification push en fait \u00e9galement partie.<\/li>\n\n\n\n
- SMS : l\u2019OTP est livr\u00e9 \u00e0 l\u2019utilisateur via un SMS sur le num\u00e9ro de t\u00e9l\u00e9phone enregistr\u00e9. Ainsi, si un utilisateur ne poss\u00e8de pas de smartphone, il peut toujours s\u2019authentifier via ce deuxi\u00e8me facteur.<\/li>\n\n\n\n
- E-mail : tr\u00e8s similaire aux SMS, mais l\u2019OTP est livr\u00e9 \u00e0 l\u2019adresse e-mail enregistr\u00e9e de l\u2019utilisateur. L\u2019utilisateur n\u2019a pas n\u00e9cessairement besoin d\u2019un appareil suppl\u00e9mentaire dans cette m\u00e9thode.<\/li>\n\n\n\n
- Biom\u00e9trie : la plupart des smartphones actuels peuvent faire des empreintes digitales et \/ ou une reconnaissance faciale. L\u2019utilisateur est tenu de valider l\u2019un de ces facteurs pour la deuxi\u00e8me authentification.<\/li>\n<\/ul>\n\n\n\n<\/br>\n\n\n\n
Qui devrait utiliser l\u2019authentification multifacteur?<\/h2>\n\n\n\n
L\u2019authentification multifacteur est le train qu\u2019aucune entreprise ne doit rater pour s\u2019assurer que ses donn\u00e9es ne sont pas compromises et ne se retrouvent pas entre de mauvaises mains. Le vol de donn\u00e9es peut avoir un impact destructeur sur les performances, la r\u00e9putation et les r\u00e9sultats d\u2019une entreprise. Microsoft a publi\u00e9 r\u00e9cemment un livre blanc flash mettant en \u00e9vidence les faits \u00e0 ce sujet. Selon les statistiques fournies dans leurs \u00e9tudes, pr\u00e8s de 59% des directeurs informatiques comptent mettre en \u0153uvre l\u2019authentification multifacteur dans leurs organisations au cours des 6 prochains mois. Par ailleurs, environ 13% d\u2019entre eux ajouteront \u00e9galement l\u2019authentification biom\u00e9trique (empreinte digitale et reconnaissance faciale).<\/p>\n\n\n\n<\/br>\n\n\n\n
Comment mettre en place une solution MFA?<\/h2>\n\n\n\n
La mise en \u0153uvre de l\u2019authentification multifacteur peut sembler ardue, mais en r\u00e9alit\u00e9, ce n\u2019est pas le cas. Il existe plusieurs solutions faciles \u00e0 mettre en \u0153uvre disponibles sur le march\u00e9, aupr\u00e8s de divers \u00e9diteurs. Certains \u00e9diteurs peuvent vous aider \u00e0 mettre en place leur solution d\u2019authentification multifacteur et \u00e0 int\u00e9grer la solution aux applications existantes. ZeeOTP<\/a> <\/strong>par ZeeTim est l\u2019une de ces solutions qui offre beaucoup de flexibilit\u00e9 et une large gamme de fonctionnalit\u00e9s.<\/p>\n\n\n\n<\/br>\n\n\n\n
Comment choisir la meilleure solution MFA ?<\/h2>\n\n\n\n
ZeeOTP est une solution qui vous permet d\u2019ajouter un facteur d\u2019authentification suppl\u00e9mentaire dans vos applications existantes pour les prot\u00e9ger des attaques. La solution peut \u00eatre h\u00e9berg\u00e9e dans votre infrastructure (sur site), en s\u2019assurant que les donn\u00e9es ne quittent pas votre r\u00e9seau s\u00e9curis\u00e9, ou elle peut \u00eatre utilis\u00e9e comme un service cloud (SaaS). ZeeOTP est suffisamment flexible pour s\u2019adapter \u00e0 vos sp\u00e9cificit\u00e9s. La solution est par ailleurs livr\u00e9e avec une console Web d\u2019administration facile \u00e0 utiliser. Cette console vous permet \u00e9galement d\u2019avoir un aper\u00e7u des donn\u00e9es d\u2019authentification, avec un tableau de bord.<\/p>\n\n\n\n
En termes de s\u00e9curit\u00e9, ZeeOTP vous permet d\u2019ajouter le facteur de possession qu\u2019est l\u2019OTP en plus du facteur de connaissance (nom d\u2019utilisateur et mot de passe). Votre application devient ainsi \u00ab MFA compliant \u00bb.<\/p>\n\n\n\n
ZeeOTP peut fournir OTP via toutes les m\u00e9thodes d\u00e9crites ci-dessus : jeton logiciel, jeton mat\u00e9riel, SMS et e-mail. En outre, la solution permet aux utilisateurs de s\u2019authentifier via une notification push \u00e0 l\u2019aide de l\u2019application mobile ZeeOTP. Si l\u2019utilisateur a activ\u00e9 la biom\u00e9trie sur son appareil mobile, le facteur d\u2019identit\u00e9 est automatiquement ajout\u00e9. Par cons\u00e9quent, l\u2019application a les trois facteurs n\u00e9cessaires pour la s\u00e9curiser.<\/p>\n\n\n\n