En quoi consiste l’authentification à plusieurs facteurs (MFA) et comment fonctionne-t-elle ?

Que signifie MFA?

Qu'est-ce que l'authentification à plusieurs facteurs (MFA) ?

L'authentification à plusieurs facteurs (MFA) est une méthode d'authentification qui exige de l'utilisateur qu'il fournisse plusieurs facteurs de vérification (au moins deux) pour accéder à une ressource (une application, un compte en ligne ou un VPN, par exemple). La MFA est un composant essentiel pour garantir une stricte politique de gestion des identités et des accès (IAM). La MFA ne se contente pas de demander un nom d'utilisateur et un mot de passe. Elle exige un ou plusieurs facteurs de vérification supplémentaires, ce qui diminue les chances de réussite d'une cyberattaque.

Qu'est-ce que MFA? Qu'est-ce que MFA?

Pourquoi la MFA est-elle importante ?

Le principal avantage de la MFA, c'est qu'en demandant ainsi à vos utilisateurs de s'identifier eux-mêmes en fournissant plus qu'une simple combinaison de nom d'utilisateur/mot de passe, la sécurité de votre organisation s'en verra améliorée. Bien qu'importants, les noms d'utilisateur et les mots de passe sont vulnérables aux attaques de force brute et peuvent être dérobés par des tierces parties. Imposer l'utilisation d'un facteur supplémentaire tel qu'une empreinte digitale ou une clé de matériel physique dans le cadre de la MFA est un gage que votre organisation restera à l'abri des cybercriminels.

Comment la MFA fonctionne-t-elle ?

La MFA exige des informations de vérification supplémentaires (appelées facteurs). Parmi les facteurs les plus communément utilisés dans le cadre de la MFA, on trouve les mots de passe à usage unique (OTP). Les OTP désignent ces codes de 4 à 8 chiffres que vous recevez souvent par e-mail, SMS ou une application mobile quelconque. Avec les OTP, un nouveau code est généré régulièrement ou chaque fois qu'une demande d'authentification est soumise. Le code est généré sur la base d'une valeur initiale, qui est affectée à l'utilisateur lorsqu'il s'enregistre pour la première fois, et sur un autre facteur qui peut simplement être une forme de décompte (une valeur augmentée de 1 à chaque fois) ou une date.

Trois grands types de méthodes d'authentification MFA

La plupart des méthodes d'authentification MFA sont basées sur l'un des trois types d'informations supplémentaires suivants :

  • Ce que l'on connaît (connaissances), par exemple un mot de passe ou un code PIN
  • Ce que l'on possède (possession), par exemple un badge ou un smartphone
  • Ce que l'on hérite (héritage), par exemple des données biométriques comme la reconnaissance vocale ou des empreintes digitales

Exemples de MFA

L'authentification à plusieurs facteurs peut consister en une combinaison des éléments suivants pour effectuer l'authentification :

CONNAISSANCES
  • Réponses aux questions de sécurité personnelles
  • Mot de passe
  • OTP (peuvent être à la fois de type Connaissances et Possession : vous connaissez l'OTP et vous devez avoir quelque chose en votre Possession pour l'obtenir, comme votre téléphone)
POSSESSION
  • OTP générés par des applications pour smartphone
  • OTP envoyés par SMS ou e-mail
  • Badges d'accès, périphériques USB, cartes intelligentes ou bien passes magnétiques ou clés de sécurité
  • Jetons logiciels et certificats
HÉRITAGE
  • Empreintes digitales, reconnaissance faciale, reconnaissance vocale, analyse de la rétine ou de l'iris ou autres données biométriques
  • Analyse comportementale

Autres types d'authentification à plusieurs facteurs

À mesure que la MFA intègre l'apprentissage automatique et l'intelligence artificielle (IA), les méthodes d'authentification deviennent de plus en plus sophistiquées, avec notamment :

AUTHENTIFICATION BASÉE SUR L'EMPLACEMENT

La MFA basée sur l'emplacement examine en général l'adresse IP de l'utilisateur et, si possible, sa géolocalisation. Ces informations peuvent uniquement servir à bloquer l'accès à un utilisateur s'il se connecte depuis un emplacement non autorisé en vertu d'une liste verte ou peuvent être utilisées comme forme d'authentification supplémentaire, en complément d'autres facteurs comme un mot de passe ou un OTP permettant de confirmer l'identité de l'utilisateur en question.

AUTHENTIFICATION ADAPTATIVE OU AUTHENTIFICATION BASÉE SUR LE RISQUE

L'authentification adaptative, également appelée authentification basée sur le risque, est un autre sous-ensemble de la MFA. L'authentification adaptative analyse des facteurs supplémentaires en tenant compte du contexte et du comportement lors de l'authentification, puis souvent, d'après ces valeurs, elle associe un niveau de risque à la tentative de connexion. Par exemple :

  • D'où l'utilisateur tente-t-il d'accéder aux informations ?
  • À quel moment tentez-vous d'accéder aux informations de votre entreprise ? Pendant vos horaires normaux ou en dehors ?
  • Quel est le type d'appareil utilisé ? Est-ce le même qu'hier ?
  • La connexion passe-t-elle par un réseau privé ou public ?

Le niveau de risque est calculé en fonction des réponses à ces questions et peut déterminer si l'utilisateur doit être invité ou non à renseigner un facteur d'authentification supplémentaire, voire s'il sera autorisé à se connecter. C'est pourquoi l'on parle aussi, pour décrire ce type d'authentification, d'authentification basée sur le risque.

Avec l'authentification adaptative, si un utilisateur se connecte depuis un café tard la nuit, ce qu'il ne fait pas en temps normal, il devra peut-être saisir un code qui lui sera envoyé par SMS, en plus de renseigner son nom d'utilisateur et son mot de passe. En revanche, lorsqu'il se connecte depuis son bureau chaque jour à 9 h, le système l'invitera simplement à renseigner son nom d'utilisateur et son mot de passe.

Adaptive MFA Adaptive MFA

Les cybercriminels passent leur temps à tenter de dérober vos informations. La mise en œuvre d'une stratégie de MFA efficace vous servira de première ligne de défense face à eux. En élaborant un plan de sécurité des données efficace, votre organisation perdra moins de temps et d'argent à l'avenir.

Quelle est la différence entre la MFA et l'authentification à deux facteurs (2FA) ?

L'acronyme MFA est souvent utilisé comme synonyme de l'authentification à deux facteurs (2FA). Pour faire simple, la 2FA est un sous-ensemble de la MFA, puisque la 2FA limite le nombre de facteurs requis à deux, tandis que la MFA peut en exiger deux ou plus.

Quelle est l'implication de la MFA dans le Cloud Computing ?

Avec l'émergence du Cloud Computing, la MFA s'impose d'autant plus. Comme elles migrent leurs systèmes dans le Cloud, les entreprises ne peuvent plus se contenter, en guise de facteur de sécurité, de vérifier qu'un utilisateur est physiquement présent sur le même réseau qu'un système. Une sécurité supplémentaire doit être mise en place pour s'assurer que ceux qui accèdent aux systèmes ne sont pas des personnes malintentionnées. Comme les utilisateurs accèdent à ces systèmes à n'importe quel moment et depuis n'importe quel endroit, la MFA est utile pour vérifier leur identité en les invitant à saisir des facteurs d'authentification supplémentaires que les hackers auront plus de mal à imiter ou à pirater via des méthodes d'attaque par force brute.

MFA pour Office 365

Beaucoup de systèmes Cloud propose leurs propres offres de MFA, comme AWS ou le produit Office 365 de Microsoft. Par défaut, Office 365 utilise Azure Active Directory (AD) comme système d'authentification. Mais ils ont leurs limites. Par exemple, vous ne disposez que de quatre options de base quand il s'agit de choisir un type d'authentification supplémentaire pouvant être utilisé : Microsoft Authenticator, SMS, message vocal et jeton Oauth. Vous devrez peut-être débourser des frais de licence supplémentaires en fonction des types d'options dont vous souhaitez bénéficier et de votre volonté de déterminer précisément les utilisateurs qui devront utiliser la MFA.

Les solutions IDaaS (Identity as a Service) comme OneLogin mettent bien plus de méthodes d'authentification MFA à disposition s'agissant des facteurs d'authentification et s'intègrent plus facilement aux applications en dehors de l'écosystème Microsoft.

Related Resources:

Authentification à plusieurs facteurs OneLogin

La solution à plusieurs facteurs de OneLogin évite les accès non autorisés aux données opérationnelles stratégiques.

En savoir plus

Comment l'authentification à plusieurs facteurs prévient-elle les piratages?

L'authentification à plusieurs facteurs peut vous protéger contre différents types de cyberattaques courantes.

En savoir plus

Liste de contrôle des solutions à plusieurs facteurs

Découvrez les critères d'une solution d'authentification à plusieurs facteurs devant être analysés.

Afficher la liste de contrôle