L'authentification multifactorielle simplifiée pour la protection contre le phishing

Les attaques de phishing exploitent le comportement humain

Les pirates savent que la sécurité est fortement influencée par la psychologie humaine, et ils jouent bien le jeu. Le moyen le plus facile de pénétrer dans les systèmes d’une entreprise n’est pas un piratage de haute technologie du type Mission Impossible. Il s’agit d’un courriel qui a l’air suffisamment officiel pour inciter un employé à donner ses informations d’identification. C’est tout. Il n’est pas nécessaire d’entrer par effraction lorsque quelqu’un ouvre volontairement la porte.

C’est ainsi que la plupart des cyberattaques commencent. L’attaquant se fait passer pour une personne de confiance – RH, support informatique ou même PDG – en disant aux employés qu’ils doivent mettre à jour leurs informations ou vérifier leurs comptes. Un courriel bien conçu, un lien apparemment inoffensif, et voilà qu’un employé entre à son insu ses informations d’identification dans une fausse page de connexion. Dès lors, une personne extérieure dispose des clés des systèmes internes, ce qui peut entraîner des vols d’identité ou même des attaques par ransomware susceptibles d’anéantir toute une entreprise.

Selon le rapport 2024 Global Phishing By Industry Benchmarking Report de KnowBe4, 34,3 % des employés interagissent avec des courriels d’hameçonnage. Après 90 jours de formation, ce chiffre diminue, mais pas beaucoup – 18,9 % tombent encore dans le piège des attaques simulées. Même après une année complète de formation à la sensibilisation à la sécurité, environ 4,6 % des employés continuent de cliquer et de saisir des données sensibles. Il n’est pas réaliste de penser que la formation seule éliminera cette menace. Vous avez besoin d’une défense réelle et systématique.

L’authentification multifactorielle (MFA) renforce la sécurité

Les mots de passe seuls sont faibles. Les gens les réutilisent, choisissent des mots de passe simples et se les font voler en permanence. C’est pourquoi l’AMF est l’un des moyens les plus simples et les plus efficaces de bloquer les pirates, même s’ils parviennent à voler les identifiants de connexion.

L’AMF fonctionne en exigeant au moins deux formes d’authentification avant d’accorder l’accès. Ces facteurs se répartissent généralement en trois catégories :

Quelque chose que vous connaissez – unmot de passe ou un code PIN.
Quelque chose que vous possédez :une clé de sécurité, un téléphone ou une application d’authentification.
Ce que vous êtes – des données biométriquestelles que les empreintes digitales ou la reconnaissance faciale.

Imaginons qu’un employé se fasse piéger en entrant ses données d’identification sur un site de phishing. Normalement, c’est fini. Mais avec l’AFM en place, le pirate est toujours bloqué parce qu’il n’a pas le deuxième facteur – comme une application d’authentification générant un code unique ou une clé de sécurité physique. Cette étape supplémentaire peut faire la différence entre une tentative d’hameçonnage inoffensive et une violation à grande échelle.

Bien entendu, l’AMF doit être efficace. Si elle est trop lourde, les employés ne l’utiliseront pas correctement. La bonne nouvelle, c’est que les solutions actuelles, comme l’authentification par application et les connexions biométriques, ne prennent que quelques secondes de plus. Ce petit inconvénient n’est qu’un faible prix à payer pour stopper les cybercriminels dans leur élan.

Le MFA résistant à l’hameçonnage est essentiel

Les méthodes MFA standard, comme les codes SMS, peuvent encore être contournées par des attaques de phishing sophistiquées. Si un pirate convainc un employé de saisir son nom d’utilisateur, son mot de passe et son code MFA sur un faux site web, il peut les voler tous les trois en temps réel. La partie est terminée.

C’est là qu’intervient l’AFM résistante à l’hameçonnage. Elle est conçue pour éliminer ces vulnérabilités. Quelques technologies clés sont à l’origine de cette évolution :

Fast ID Online (FIDO)– Cette méthode utilise des clés cryptographiques stockées sur un appareil sécurisé, ce qui signifie que les informations d’identification ne quittent jamais les mains de l’utilisateur. Même si un site d’hameçonnage incite une personne à saisir un mot de passe, cela ne fonctionnera pas sans la clé privée stockée sur son appareil physique.
Communication en champ proche (NFC)– L’authentification basée sur la NFC exige que l’utilisateur touche physiquement un dispositif, tel qu’une clé de sécurité ou une carte à puce, sur son téléphone ou son ordinateur portable. Si un pirate informatique se trouve à l’autre bout du monde, il ne peut tout simplement pas reproduire cette interaction.
Partage de code (avec des mises en garde)– Recevoir un code d’authentification par texte ou par une application d’authentification est mieux que rien, mais comme les tactiques d’hameçonnage évoluent, les entreprises devraient adopter des méthodes plus robustes et plus résistantes à l’hameçonnage.

L’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a mis en garde contre l’augmentation des attaques de phishing par MFA, où les pirates interceptent les codes d’authentification en temps réel. Les organisations soucieuses de leur sécurité devraient aller au-delà de l’authentification de base et investir dans des solutions avancées et résistantes au phishing.

Choisir la bonne solution d’AMF

L’AMF est vitale, mais le choix de la bonne AMF est tout aussi important. Une solution mal mise en œuvre peut créer des frictions, conduisant les employés à trouver des moyens de la contourner, ce qui va à l’encontre de l’objectif recherché. La clé est de trouver un équilibre entre la sécurité, la facilité d’utilisation et la fiabilité.

Voici à quoi ressemble une stratégie d’AMF solide :

Abandonnez le MFA par SMS : c’est mieux que rien, mais les SMS peuvent être interceptés et les pirates ont des moyens de manipuler les utilisateurs pour qu’ils donnent leurs codes.
Utilisez l’authentification biométrique dans la mesure du possible : Les empreintes digitales et la reconnaissance faciale sont à la fois pratiques et plus difficiles à voler.
Optez pour l’absence de mot de passe lorsque c’est possible : Les technologies telles que les clés FIDO éliminent complètement les mots de passe, ce qui rend les tentatives d’hameçonnage beaucoup moins efficaces.
Assurez-vous que le MFA est appliqué dans toutes les applications et tous les systèmes : Laisser des lacunes, c’est laisser des portes ouvertes aux attaquants.

Concentrez-vous sur la conception d’un système qui fonctionne réellement. Les cadres dirigeants doivent considérer l’AMF comme un investissement à long terme. Une stratégie d’AMF bien mise en œuvre réduit les risques, améliore l’hygiène de sécurité des employés et, en fin de compte, protège l’organisation contre le type de violation qui peut coûter des millions, ou pire, nuire de façon permanente à sa réputation.

Principaux enseignements pour les dirigeants

Le paysage de la menace : Les attaques par hameçonnage exploitent le comportement humain, ce qui rend les employés, même formés, vulnérables. Les décideurs doivent reconnaître que l’erreur de l’utilisateur est un risque persistant et qu’il ne suffit pas de s’appuyer sur la formation des employés.
Renforcez l’authentification : L’authentification multi-facteurs (MFA) ajoute une couche de sécurité critique au-delà des mots de passe. Les dirigeants devraient imposer l’AMF dans tous les systèmes afin d’empêcher tout accès non autorisé, même lorsque les informations d’identification sont compromises.
Investissez dans l’AMF avancée : les méthodes d’AMF standard peuvent être contournées par des techniques d’hameçonnage sophistiquées. Il est essentiel d’évaluer et de déployer des solutions résistantes au phishing, telles que FIDO et NFC, qui offrent une protection solide grâce à la cryptographie avancée et à la vérification physique des jetons.
Mise en œuvre stratégique : L’application cohérente de l’AMF sur toutes les plateformes est essentielle pour une sécurité complète. Les dirigeants devraient donner la priorité à une stratégie d’AMF à long terme pour faire face à l’évolution des cybermenaces et protéger les données sensibles.

Tim Boesen

février 14, 2025

7 Min

Recherche et conception produit
Comment créer un site web performant du début à la fin
Fév 21, 2025
20 min
Technologies et innovation
La recherche en profondeur vient d’être améliorée grâce au dernier outil d’IA d’OpenAI
Fév 21, 2025
10 min
Technologies et innovation
Les entreprises sous pression pour renforcer l’authentification des courriels
Fév 21, 2025
6 min

L’authentification multifactorielle simplifiée pour la protection contre le phishing

Les attaques de phishing exploitent le comportement humain

L’authentification multifactorielle (MFA) renforce la sécurité

Le MFA résistant à l’hameçonnage est essentiel

Choisir la bonne solution d’AMF

Principaux enseignements pour les dirigeants

Comment créer un site web performant du début à la fin

La recherche en profondeur vient d’être améliorée grâce au dernier outil d’IA d’OpenAI

Les entreprises sous pression pour renforcer l’authentification des courriels

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Ce qu’il adviendra du marché de l’emploi UX en 2024

Tests alpha et tests bêta : Quelles sont les principales différences ?

L’intégration de l’IA est-elle en train de détruire les relations au travail ?

13 grandes tendances technologiques à attendre en 2024

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps