Une vaste enquête menée auprès de 700 entreprises du monde entier, dont certaines sont françaises, révèle que 97 % d'entre elles sont confrontées à des problèmes de sécurité liés à la vérification d'identité. Elles craignent également les attaques de plus en plus sophistiquées qui s'appuient sur l'IA pour les cibler.
Les cyberattaques touchant les entreprises, administrations ou particulier ne cessent d'alimenter les médias. C'est dire l'ampleur qu'elles prennent et surtout, les techniques de plus en plus sophistiquées qui sont déployées pour toucher leurs cibles, notamment le recours à l'intelligence artificielle. Un récent rapport publié par Malwarebytes indique que les attaques par ransomware avaient augmenté de 68 % en partie à cause de l'IA.
Pourtant, selon Ping Identity, qui rend son rapport annuel sur les menaces de sécurité qui planent sur les entreprises, moins de la moitié d'entre elles utilise la vérification d'identité à 2 ou multifacteur. Des chiffres alarmants qui traduisent, à l'instar des particuliers, un manque de connaissance des risques encourus en cas de négligence des outils de sécurisation des données.
Qu'est-ce que la MFA, utilisée par seulement 45 % des entreprises ?
Le rapport indique que 45 % des organisations utilisent la vérification d'identité à deux facteurs ou multifacteur, 2FA ou MFA et encore moins (44 %) ont recours à l'identification par la biométrie. Comme le souligne Patrick Harding, Directeur technique chez Ping Identity, « Si moins de la moitié des organisations mettent en œuvre l’authentification multifacteur (MFA) , elles se retrouvent gravement exposées et moins résilientes face aux cybercriminels qui exploitent des tactiques d’IA de plus en plus sophistiquée ». Pourtant, cette mesure de sécurité n'est ni compliquée à mettre en place, ni à utiliser.
L'authentification multifacteur (MFA) est une méthode de vérification de l'identité qui nécessite au moins deux facteurs de vérification. Elle est essentielle pour une politique de gestion des accès et des identités (IAM) solide.
Au lieu de se contenter d'un nom d'utilisateur et d'un mot de passe, la MFA exige un ou plusieurs facteurs de vérification supplémentaires, ce qui réduit la probabilité qu'une cyberattaque puisse réussir. Les facteurs de vérification supplémentaires peuvent être des mots de passe à usage unique (OTP), qui sont souvent reçus par mail, SMS ou certaines applications mobiles.
La MFA repose généralement sur trois types d'informations que l'on désigne par connaissance, possession, inhérence. La connaissance comme des éléments que vous connaissez, un mot de passe ou un code PIN, la possession, soit des objets dont vous disposez, comme un badge ou un smartphone et enfin l'inhérence qui définit des éléments qui vous constituent, comme des empreintes digitales biométriques ou la reconnaissance vocale.
L'identité décentralisée, une solution contre la fraude à l'identité en nette augmentation choisie par 38 % des entreprises
Le rapport indique que 54 % des dirigeants interrogés sont préoccupés par l'augmentation de la fraude à l'identité assistée par l'IA, avec une confiance limitée dans la détection des deepfakes et une défense insuffisante contre les attaques de l'IA. Cependant, l'adoption de l'identité décentralisée par 38 % des entreprises comme mesure de protection contre la fraude est en augmentation, mais reste encore faible. Elle fait pourtant partie des options de sécurité les plus solides.
En effet, l'identité décentralisée est un système universel qui vise à simplifier l'authentification des personnes en s'appuyant sur les technologies de la blockchain et autres registres distribués. Elle permet à chaque individu de disposer de son identité propre, en contrôlant les informations qu'il choisit de partager sous forme d'attestations. Elle vient en opposition avec l'identité centralisée, utilisée par pratiquement toutes les organisations, services ou entreprises, sur lesquels les utilisateurs s'enregistrent en communiquant des informations sur leur identité propre, sans avoir réellement connaissance de quel usage il en sera fait, malgré le RGPD.
L'identité décentralisée propose une authentification plus robuste tout en permettant à chacun d'avoir un meilleur contrôle de ses données personnelles. Elle évite de disséminer vos données personnelles un peu partout sur le web.
En comparaison, elle est considérée comme plus efficace que la MFA qui peut aujourd'hui, grâce notamment à l'IA, permettre aux hackers de voler les identifiants choisis, ou de les acheter sur le Dark Web. Il est donc encore étonnant que ce choix ne soit pas privilégié par les entreprise. Cependant, selon Philippe Beraud, Chief Technology and Security Advisor chez Microsoft, cela promet sûrement d’être une nouvelle norme dans un futur très proche.
30 octobre 2024 à 10h45
Source : Help Net Security, Ping Identity