Authentification: Comment les PME protègent leur réseau et leurs données avec 2FA et MFA

Vos collaborateurs travaillent-ils au moins une journée entière de chez eux ou en déplacement? Les applications web ou les fournisseurs accèdent-ils régulièrement au réseau de votre entreprise? Dans ce cas, vous devez absolument protéger votre système informatique et vos données avec des mesures d’authentification forte comme 2FA ou MFA.
Une femme assise devant son ordinateur dans un entrepôt
Ces sujets seront abordés

La protection par mot de passe ne suffit pas: 2FA et MFA pour les PME

L’accès à distance depuis l’extérieur constitue une faille dans le dispositif de sécurité de nombreuses PME en Suisse. De plus en plus de collaborateurs en télétravail, de freelances, de prestataires de services informatiques ou de sous-traitants accèdent au réseau de l’entreprise, aux applications web, aux programmes critiques pour l’entreprise et aux données sensibles. Un mot de passe seul ne suffit plus pour protéger et réglementer l’accès en toute sécurité. Même s’il est très complexe. Avec une authentification à deux facteurs (2FA) ou une authentification multi-facteurs (MFA), les petites et moyennes entreprises peuvent fortement améliorer la sécurité de leurs données et de leurs systèmes avec relativement peu d’efforts.

Identification ou authentification?

Chaque processus de connexion peut être divisé en trois étapes: 

  1. Connexion: l’utilisateur s’identifie avec son nom d’utilisateur et son mot de passe et se connecte – c’est l’identification.
  2. Vérification: le système vérifie toutes les données de l’utilisateur et les compare avec les entrées de la base de données – c’est l’authentification.
  3. Autorisation: le système autorise l’accès si les données sont correctes et accorde à l’utilisateur ses droits basés sur les rôles – c’est l’autorisation.

 

Comment fonctionnent 2FA et MFA?

Avec l’authentification à deux facteurs, l’utilisateur doit s’authentifier avec deux facteurs. En général, avec son mot de passe et un autre facteur. Il peut s’agir par exemple d’un code que le système envoie par SMS au smartphone enregistré après la saisie correcte du mot de passe. Il existe d’autres facteurs, par exemple une application d’authentification, son empreinte digitale, une clé token USB, une Smartcard ou un certificat client sur son ordinateur portable.

Avec l’authentification multi-facteurs, l’utilisateur doit s’authentifier selon ce principe avec au moins deux facteurs:

  • Quelque chose que seul l’utilisateur connaît, par exemple son mot de passe personnel.
  • Quelque chose que seul l’utilisateur possède, par exemple son smartphone ou sa clé token USB.
  • Quelque chose que seul l’utilisateur a ou est, par exemple son empreinte digitale (Touch ID) ou son visage (Face ID).

Quelle que soit la protection de l’accès, par 2FA ou MFA: le système ne permet l’accès que lorsque tous les facteurs ont été correctement authentifiés.

Les avantages de 2FA et MFA pour les PME

  • Sécurité: 2FA et MFA réduisent considérablement le risque d’accès non autorisé et de violation de la protection des données, car les cybercriminels doivent forcer au moins deux verrous. Même s’ils trouvent le mot de passe par hameçonnage, ils ne peuvent accéder ni au système ni aux données, car il leur manque par exemple le smartphone ou l’empreinte digitale.
  • Compliance: de plus en plus de secteurs doivent respecter des normes de sécurité strictes, telles que des mesures d’authentification fortes. Les entreprises qui répondent à ces exigences évitent les conséquences juridiques et renforcent en même temps la confiance des clients et des partenaires.
  • Coûts: en introduisant 2FA ou MFA pour tous les comptes d’utilisateurs, les PME évitent des pertes, des interruptions d’activité coûteuses, des opérations de récupération de systèmes et de données onéreuses ainsi que des dommages sur leur réputation non chiffrables qui peuvent même mettre leur existence en danger.

Conseils pour l’introduction de MFA et 2FA dans les PME

Le déploiement de MFA ou 2FA doit être soigneusement planifié et exécuté afin d’intégrer l’authentification de manière transparente et de protéger efficacement le réseau de l’entreprise. Les PME qui ne disposent pas ou pas suffisamment de ressources informatiques ont intérêt à faire appel à des spécialistes. Par exemple, leur prestataire de services informatiques pour les accès à distance au réseau de l’entreprise ou leur hébergeur web ou un programmeur pour les accès à la boutique en ligne. Il est judicieux de protéger les points d’accès suivants par MFA ou 2FA:

  • Accès à distance aux données sensibles et critiques de l’entreprise, par exemple aux e-mails
  • Accès à l’Intranet via le réseau privé virtuel (VPN)
  • Accès à des solutions ou applications web ou cloud
  • Accès aux composants Infrastructure as a Service (Iaas) et Software as a Service (SaaS) 
  • Composants de réseau et systèmes de contrôle connectés à Internet

L’authentification MFA ou 2FA devrait être mise en œuvre pour l’ensemble de l’entreprise, et pas seulement pour les collaborateurs. C’est-à-dire de manière continue pour tous les utilisateurs: des collaborateurs aux prestataires externes et aux prestataires de services, en passant par la direction, le personnel informatique et les administrateurs. Ce n’est qu’à cette condition que l’infrastructure informatique et les données critiques de l’entreprise sont réellement sûres et protégées. En principe, il ne devrait pas y avoir d’exceptions et l’authentification multi-facteurs devrait être imposée à tous les utilisateurs et aux accès à distance. Les exceptions justifiées à cette règle doivent être documentées et limitées dans le temps. Tous les collaborateurs devraient être formés en conséquence pendant l’introduction de 2FA/MFA et savoir comment fonctionne la saisie du deuxième et peut-être du troisième facteur et dans quelles situations ces facteurs sont demandés.

Prévenir plutôt que guérir: évaluations des risques pour les PME

Pour les PME, nous proposons entre autres des contrôles de sécurité et des évaluations de sécurité qui mettent en évidence les failles telles que l’absence de 2FA ou de MFA. De telles failles de sécurité doivent être comblées immédiatement. Par le responsable de la sécurité de la PME, par le service informatique ou par un prestataire de services informatiques externe si le support est externalisé. Zurich Resilience Solutions effectue 60’000 évaluations des risques payantes par an. Entre autres, pour les PME qui veulent savoir à quel point leur infrastructure informatique, leurs applications critiques et leurs données sensibles sont en sécurité.

Cyberassurance pour les PME
Bien préparé, vous gérez mieux les conséquences d’une cyberattaque ou d’une panne système – qu’il s’agisse d’une interruption d’activité, d’une perte de données ou de réclamations de clients ou partenaires.

Souscrire une cyberassurance

FAQ sur la mise en œuvre technique de l’authentification multi-facteurs (MFA) pour les client entreprises/PME

Quels systèmes doivent être protégés par 2FA ou MFA?

Tous les systèmes, applications et données de votre entreprise connectés à Internet. Il s’agit entre autres

  • des connexions à distance pour l’accès au réseau de l’entreprise, comme les connexions VPN ou Citrix,
  • du système de messagerie électronique de votre entreprise,
  • des applications web de tiers («Software as a Service») utilisées par votre entreprise et
  • des composants réseau et des systèmes de contrôle accessibles sur Internet.

Pour quels utilisateurs faut-il activer 2FA ou MFA?

Pour tous ceux qui ont un accès à distance à votre réseau d’entreprise, à vos données et à vos systèmes. Et de préférence sans exception, car tout compte d’utilisateur non protégé est vulnérable. C’est pourquoi l’authentification 2FA ou MFA devrait être configurée et activée pour

  • tous les collaborateurs de toutes les divisions,
  • l’ensemble de la direction de l’entreprise et toutes les fonctions de direction,
  • tous les collaborateurs informatiques et administrateurs informatiques et
  • tous les collaborateurs ou fournisseurs externes

disposant d’un accès à distance. 

Quelles sont les alternatives si l’authentification 2FA ou MFA n’est pas possible pour tous les comptes et utilisateurs?

  • Vous pouvez définir une adresse IP source pour les partenaires connus et dignes de confiance, via laquelle ils peuvent accéder au réseau de l’entreprise. L’authentification 2FA ou MFA doit quand même être activée pour toutes les autres adresses IP. 
  • Tous ceux qui ont accès au réseau de l’entreprise doivent définir des mots de passe sûrs et les changer tous les trimestres. Si un mot de passe incorrect est saisi à plusieurs reprises, le compte doit être bloqué. 
  • Installez un logiciel de télémaintenance tel que TeamViewer pour les prestataires de services qui ne doivent accéder qu’occasionnellement au réseau de l’entreprise.
  • Par exemple, si vous souhaitez connecter des succursales de manière permanente, une connexion VPN site à site pourrait être utile. Demandez à votre prestataire informatique. 

Quels sont les éléments à prendre en compte lors de l’implémentation de la solution MFA ou 2FA?

  • Installez régulièrement les mises à jour et les correctifs afin de garantir la sécurité de votre solution.
  • Utilisez les dernières méthodes de cryptographie et configurez vos systèmes comme le recommande le fabricant. 
  • Désactivez les mécanismes d'authentification héritée et de fallback. Ces anciennes méthodes d’authentification n'offrent souvent qu’un cryptage faible, voire aucun second facteur, et sont donc plus vulnérables aux attaques.
  • Activez la journalisation pour toutes les connexions et configurez une alarme pour les tentatives échouées et les activités suspectes. 
  • Dès la mise en œuvre, faites attention à l’évolutivité et aux exigences de disponibilité de la solution 2FA/MFA.

Liens utiles

Plus d’articles

Homme regardant quelque chose dans une tablette

Plan B: plan de continuité des activités pour les PME

Lorsque l’informatique s’arrête, la plupart des entreprises s’arrêtent. C’est pourquoi les PME, qui sont de plus en plus souvent victimes de cyberattaques, ont besoin d’un plan de continuité en guise de plan B.
En savoir plus
Comment les PME se protègent contre les attaques de pirates informatiques

Un piratage informatique menace l’existence même de l’entreprise

Chaque semaine, l’Office fédéral de la cybersécurité OFCS reçoit des centaines de déclarations de cyberincidents, plus de 2’000 par semaine aux périodes de pointe. Les PME sont particulièrement vulnérables. Quels sont les dangers qui guettent les petites et moyennes entreprises?
En savoir plus
Deux collaborateurs dans la salle des serveurs

Plan d’urgence informatique: voici comment protéger votre PME

De nos jours, aucune entreprise ne peut se permettre une panne prolongée de son système informatique. Dans le meilleur des cas, la panne ne coûte «que» de l’argent, dans le pire des cas, c’est l’existence-même de l’entreprise qui est en jeu. C’est pourquoi chaque entreprise a besoin d’un plan d’urgence informatique.
En savoir plus
Hommes ayant une discussion joyeuse

L’histoire de notre client de cyberassurance Planted

La start-up Planted fait fureur avec ses spécialités végétales innovantes.
En savoir plus
Jeune homme

Kaisin: Créateur d’entreprise avec une recette gagnante

Connaître le succès grâce à de délicieux Poké Bowls - le cofondateur Delano Fischer nous parle de la start-up zurichoise innovante.
En savoir plus