[Etats-Unis] L'authentification forte bloque 99,9 % des cyberattaques automatisées

Les acteurs de santé subissent de nombreuses attaques d'hameçonnage. En effet, chaque semaine aux Etats-Unis, plusieurs attaques d'hameçonnage sont signalées par des organismes de santé qui ont entraîné l'exposition ou le vol de données de santé à caractère personnel protégés. Dans la majorité des cas, ces attaques pourraient être évitées en suivant les bonnes pratiques de la cybersécurité.

Si nous assistons à des cyberattaques de plus en plus sophistiquées, il est paradoxal de noter que la majorité de celles-ci sont simples. Ce sont des attaques par force brute basées sur l'utilisation de mots de passe courants ou par défaut. Une autre partie de ces menaces est l'hameçonnage par courriel.

Les attaques par force brute peuvent être contrecarrées par la création et l'application de politiques de mots de passe complexes. Il est recommandé que les utilisateurs n'utilisent ni les mots du dictionnaire ni les mots de passe faibles couramment utilisés tels que « 12345678 ». Les comptes sont aussi souvent piratés en raison de la réutilisation du mot de passe. Les chiffres de Microsoft suggèrent que 73% des utilisateurs utilisent les mêmes mots de passe sur les comptes professionnels et personnels. En cas de compromission d'un compte personnel, le mot de passe pourrait être utilisé pour accéder au compte professionnel de l'utilisateur.

De nombreux courriels d'hameçonnage réussissent à contourner les défenses antipourriel. Un rapport récent d'Avanan (société de conseil en sécurité informatique) suggère que jusqu'à 25 % des courriels d'hameçonnage ne sont pas bloqués par Exchange Online Protection (EOP) - le contrôle antihameçonnage par défaut de Microsoft pour Office 365. Il est donc essentiel que des contrôles supplémentaires soient mis en œuvre pour éviter que ces messages n'entraînent une atteinte à la confidentialité des données.

Il est recommandé que les employés reçoivent une formation régulière de sensibilisation à la sécurité et en particulier des instructions sur la façon d'identifier les courriels d'hameçonnage. Il est également recommandé que les méthodes d'authentifications les plus anciennes soient proscrites. D'autres protections incluent les filtres antispam, les solutions anti-logiciels malveillants et les filtres Web, mais selon Microsoft, il existe une solution qui bloque 99,9% des cyberattaques automatisées : l'authentification forte.

L'authentification forte est l'utilisation d'au moins deux méthodes pour vérifier l'identité d'un utilisateur. En plus d'un mot de passe ou d'une phrase de passe que seul le titulaire du compte connaît, d'autres facteurs sont nécessaires. Un autre facteur d’authentification peut être un mot de passe à usage unique, un certificat numérique ou une vérification biométrique. L’authentification forte demande  par exemple à l’utilisateur en plus de son mot de passe d’entrer le code envoyé par SMS sur son téléphone mobile.

Même si l’authentification forte est un moyen efficace d'empêcher l'accès non autorisé aux comptes des utilisateurs et de se prémunir des vols de données, de nombreuses organisations de santé ne mettent en œuvre l’authentification forte qu'après avoir subi une attaque.

Dans un récent article de blog, Microsoft explique que plus de 300 millions de tentatives d'ouverture de session frauduleuses sont effectuées chaque jour sur ses services cloud et que le nombre d'attaques est en constante augmentation. Même si un nom d'utilisateur et un mot de passe sont compromis, l'authentification forte empêchera l'utilisation de ces informations d'identification pour accéder à un compte.

"D'après nos études, l'accès à un compte utilisant une authentification forte a plus de 99,9 % de chance de pas être compromis", a déclaré Alex Weinert, Group Program Manager for Identity Security and Protection chez Microsoft. "Votre mot de passe n'a pas d'importance, mais l’authentification forte si."

De nombreuses organisations hésitent à mettre en œuvre l’authentification forte, car elles estiment qu'elle est compliquée et qu'elle aura un impact négatif sur les méthodes de travail, ce n’est pas forcément vrai. Pour réduire au minimum les perturbations, les organisations peuvent mettre en œuvre l’authentification forte sur les comptes les plus critiques dans un premier temps et/ou adopter une approche basée sur les rôles. L’authentification forte peut ensuite être développée à partir de là.

L’authentification forte n'est pas infaillible, mais c'est l'une des mesures les plus efficaces à mettre en œuvre pour bloquer les cyberattaques et s'assurer que les réponses aux courriels hameçons et aux mauvais choix de mots de passe ne se traduisent pas en une fuite de données.