Pourquoi l’adoption de la MFA n’est pas encore universelle : 4 défis à relever

Posted On 15 Fév 2025

Tag: Article partenaire, authentification multifacteur

L’authentification multifacteur (MFA) est rapidement devenue la norme en matière de sécurisation des comptes professionnels. Autrefois mesure de sécurité de niche, elle est de plus en plus adoptée dans tous les secteurs d’activité.

Cependant, bien qu’elle soit indéniablement efficace pour empêcher les mauvais acteurs d’entrer, la mise en œuvre des solutions MFA peut s’avérer être un enchevêtrement de conceptions et d’idées concurrentes. Pour les entreprises et les employés, la réalité est que la MFA semble parfois être une bonne chose de trop. Voici quelques raisons pour lesquelles la mise en œuvre de la MFA n’est pas plus universelle.

1. Les entreprises considèrent la MFA comme un centre de coûts

La MFA pour les entreprises n’est pas gratuite, et les coûts de la MFA peuvent s’accumuler au fil du temps. Les solutions MFA tierces s’accompagnent de coûts d’abonnement, généralement facturés par utilisateur. Même les options intégrées, comme les fonctions MFA de Microsoft 365, peuvent coûter plus cher en fonction de votre licence Microsoft Entra.

De plus, il y a le coût de la formation des employés à l’utilisation de la MFA et le temps nécessaire à l’informatique pour les inscrire. Si la MFA augmente les appels au service d’assistance, les coûts de support augmentent également. Bien que ces dépenses soient inférieures au coût d’une faille de sécurité (4,88 millions de dollars l’année dernière), les entreprises ne voient pas toujours cela comme une évidence.

2. L’expérience utilisateur est un point de douleur persistant

Quelle que soit la manière dont on la présente, la MFA implique des étapes supplémentaires. Après avoir saisi un mot de passe, les utilisateurs doivent effectuer une autre étape de vérification. Cela ajoute inévitablement des frictions. Les administrateurs doivent tenir compte de la forme de MFA utilisée, de la fréquence à laquelle elle est requise et de l’équilibre entre les deux et les risques.

La combinaison de la MFA et du SSO peut alléger le fardeau de la sécurité en permettant aux utilisateurs de s’authentifier une seule fois pour accéder à plusieurs applications, plutôt que de se connecter séparément à chacune d’entre elles. Cela réduit les frictions pour vos utilisateurs, de sorte que la MFA ne les gêne pas dans leur travail. Au-delà du SSO, vous pouvez satisfaire les utilisateurs finaux en optant pour une plateforme de MFA avec des paramètres de politique flexibles. Par exemple, l’accès aux postes de travail internes n’a probablement pas besoin de la MFA aussi souvent que l’accès à distance via VPN, RDP ou d’autres connexions externes.

3. La mise en œuvre de la MFA recèle de pièges cachés

Déployer la MFA et former les utilisateurs n’est pas une mince affaire. La première étape consiste à créer et à gérer un système qui simplifie les choses, de l’inscription des utilisateurs au suivi de l’activité MFA.

Choisissez une MFA qui s’intègre parfaitement à la configuration actuelle de votre organisation en matière d’identité. Sécuriser l’accès à un mélange d’Active Directory (AD) sur site et d’infrastructure en nuage peut impliquer la gestion de plusieurs identités par utilisateur, entraînant une surcharge de gestion et créant une faille dans la sécurité des identités hybrides.

L’évolutivité est également un facteur : à mesure que la base d’utilisateurs augmente, le système peut-il suivre ? Si vous vous appuyez sur un service MFA tiers, que se passe-t-il en cas de panne ?

Enfin, il y a la question de la connectivité. De nombreuses solutions MFA partent du principe que les utilisateurs sont toujours en ligne. Mais que se passe-t-il s’ils sont hors ligne ou sur un réseau isolé avec une connectivité limitée ? Réfléchissez à la manière dont vos utilisateurs se connectent et à l’endroit où ils le font. Ensuite, évaluez si votre MFA doit prendre en charge des demandes locales pour authentifier les utilisateurs, même lorsque leur appareil n’est pas connecté à Internet.

4. La MFA seule ne suffit pas

Certes, la MFA renforce la sécurité, mais aucune méthode de MFA n’est infaillible. Chaque approche a ses propres faiblesses que les attaquants peuvent exploiter. Par exemple, la MFA par SMS (qui n’est plus recommandée) est vulnérable aux attaques par échange de cartes SIM, tandis que les notifications push peuvent être victimes de la lassitude du MFA, lorsque les utilisateurs sont bombardés de demandes de connexion répétées par des attaquants qui ont déjà compromis leurs mots de passe.

Les attaquants plus avancés disposent d’outils pour voler les cookies de session, ce qui leur permet de contourner entièrement la MFA dans certaines situations. Le SSO, bien que pratique, peut exacerber le problème – si un attaquant franchit une barrière MFA, il peut accéder à plusieurs applications.

La MFA n’a pas besoin d’être aussi compliquée

Il en ressort que la MFA doit faire partie d’une stratégie plus large qui inclut la surveillance et la journalisation pour donner aux administrateurs une visibilité sur les activités d’authentification. Bien que la MFA soit une couche cruciale dans la défense contre les accès non autorisés, son déploiement entraînera des défis. Prévoyez-les. Pour une mise en œuvre réussie de la MFA, comprenez les coûts, tenez compte de l’expérience des utilisateurs et adoptez une approche proactive pour atténuer ses limites.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.