Le MFA (multi-factor authentication, 2FA ou authentification à plusieurs facteurs) est un processus de sécurité par lequel un utilisateur doit vérifier son identité à travers au moins deux méthodes différentes. En pratique, pour s'identifier, un utilisateur ne doit plus seulement rentrer son mot de passe, mais également renseigner un code transmis par SMS, email ou obtenu sur une application présente sur son téléphone.
Le MFA peut être mis en place dès qu'il y a une authentification : pour se connecter à sa messagerie, à des sites internet (Instagram, LinkedIn, etc.), ou au réseau de l'entreprise (VPN).
Un facteur atteste d'une identité à travers un élément :
- Que l'on connait (un mot de passe par exemple) ; ou
- Que l'on possède (un téléphone, un badge, une clé) ; ou
- Qui nous est propre (reconnaissance vocale, empreintes digitales).
Une authentification à deux facteurs repose donc sur la validation d'une identité par deux éléments de nature différente. Par exemple, se connecter à son téléphone portable par empreintes digitales ne repose pas sur deux facteurs. Mais si un pin est demandé en plus de ces empreintes, il y a bien deux facteurs.
Si rajouter une validation par SMS à chaque connexion semble pénible, il faut noter trois points :
-
Le deuxième facteur n'est demandé que quand la connexion vient d'une nouvelle machine. Une fois que vous vous êtes connecté par deux facteurs à votre messagerie sur votre téléphone ou sur votre ordinateur, vous pourrez vous connecter simplement avec votre mot de passe. L'identifiant de votre machine fait office de deuxième facteur ;
-
Vous pouvez laisser le choix à vos employés de leur deuxième facteur d'authentification. Dans le cas où les employés n'ont pas de téléphone professionnel, une application générant des codes peut être téléchargée. Vous trouverez un exemple d'utilisation ici.
-
80% des attaques par ransomware et fuites de données de 2022 auraient pu être évitées si le MFA avait été mis en place ;
Une bonne posture de sécurité à l'échelle d'une entreprise commence donc par du MFA sur tous les accès à distance possibles :
- Les boîtes de messagerie ;
- Les accès à distance, notamment VPN ;
- Les SaaS et sites internet.