#Cybersécurité

Les secrets de la double authentification

Double authentification

Aujourd’hui, il n’est quasiment plus possible d’utiliser un site ou une plateforme sans devoir prouver son identité. Réseaux sociaux, applications bancaires ou sites divers, tous vous demandent de créer un compte et de vous identifier lors de chaque connexion. Découvrez tous les secrets de la double authentification avec Matthieu Jungers et Luc Cottin !

Les moyens d’authentification

La double authentification est une méthode d’authentification forte par laquelle un utilisateur peut accéder à une ressource informatique après avoir présenté deux preuves d’identité distinctes à un mécanisme d’authentification.

Globalement, les moyens d’authentification sont regroupés en 3 grandes familles, dont les niveaux de sécurité ne sont pas toujours identiques. Pour une sécurité maximale, il est vivement conseillé de combiner plusieurs de ces points :

  1. Quelque chose que je sais : code à retenir. Attention, cette technique est impossible à voler si elle est bien configurée mais il est parfois difficile de se souvenir du mot de passe choisi !
  2. Quelque chose que j’ai : synonyme d’objet ou de logiciel de preuve d’identité telle que la carte d’identité… Cette méthode est sensible aux vols et aux pertes. En revanche, elle est très facile à gérer puisqu’il vous suffit de vous munir d’un document unique.
  3. Quelque chose que je suis : cela fait référence aux données biométriques comme l’empreinte ou la reconnaissance faciale. Attention à ce moyen d’authentification qui peut être dangereux ! Si on venait à vous voler vos données biométriques, elles seraient impossibles à changer !

Aujourd’hui, les statistiques en entreprise sont encore trop élevées ! 99% des comptes hackés n’utilisent pas d’authentification forte. Cela démontre ainsi que les équipes sont encore trop peu sensibilisées et formées aux risques encourus.

Sociétés PSF ou comment doivent-elles se conformer ? 

Pour les entreprises régulées par la CSSF, la circulaire 22/804 entrera en application dès juin 2022. Cette circulaire, relative au télétravail, oblige les entreprises PSF à utiliser une méthode à double facteurs.  Il est donc essentiel que ces sociétés se conforment à la circulaire afin de ne pas être jugées non-conforme par la CSSF. Plus encore, ces entreprises s’exposeraient à un risque élevé de cyberattaque.

Une des solutions mises en place pour répondre à ce besoin de sécurité est Microsoft Authenticator. Cumulée avec le conditional acces, Microsoft facilite les connexions quotidiennes des utilisateurs, hors de l’entreprise. Mais attention, pour que ces logiciels soient sécurisés au maximum ! Vous ne devez pas télécharger d’applications dans le cloud afin que vos mots de passe ne soient pas enregistrés.

Vous avez également accès à d’autres solutions existantes pour sécuriser vos connexions, telles que HID, Duo Security ou encore Passbolt. Jeune entreprise luxembourgeoise récompensée par le « European Security Start up Award » en 2022, Passbolt est une application open-source de gestion de mots de passe sous forme de coffre-fort. Il vous suffit d’y intégrer tous vos mots de passe, auxquels vous aurez finalement accès par l’intermédiaire d’une phrase d’authentification que vous devrez entrer chaque jour. Attention, si vous oubliez votre phrase d’accès, votre coffre-fort initial ne sera plus accessible et vous devrez en créer un nouveau.

Wallix 

Enfin, Wallix. Egalement appelé solution ZeroTrust, Wallix Authenticator permet d’assurer que ce soit la bonne personne qui se connecte sur le serveur.

Aujourd’hui, on ne communique plus les mots de passe des serveurs aux IT Manager. On applique des accès privilèges. Lorsque l’authentification est réalisée sur Wallix avec un user et un mot de passe, une dernière vérification est faite de la source.

Utiliser Wallix est intéressant pour les PSF puisqu’elle doivent rendre des comptes à la CSSF sur les connexions réalisées sur les serveurs. Avec Wallix, vous aurez accès à tous les logs de connexions et aux actions réalisées grâce aux enregistrements des écrans.

Comment savoir si mes données ont été utilisées ?

« Have I been Pwned » et « Firefox Monitor » sont des sites sur lesquels vous pouvez vérifier si votre adresse mail, numéro de téléphone ou mots de passe ont fuité. Une fois sur la page d’accueil, entrez votre adresse-mail dans l’espace prévu à cet effet et vérifiez que tout soit en ordre ! En cas de fuite, vous pourrez vérifier sur quel site vos données ont été volées ! Il ne vous restera plus qu’à tout resécuriser !

Vous connaissez désormais les secrets de la double authentification ! 

En savoir plus sur le MFA

Revoir le webinaire

Comment pouvons-nous
vous aider ?

Remplissez ce formulaire et nous recontacterons le plus rapidement possible.

« * » indique les champs nécessaires

Hidden
Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.