Face à une augmentation continue du nombre d'attaques informatiques de plus en plus sophistiquées (+37% d’intrusions avérées selon le rapport de l'ANSSI en 2021) concomitantes de l’accélération de la digitalisation des activités, le risque d’actes malveillants s’accroit à tous les niveaux et en particulier pour le secteur public qui gère des infrastructures critiques et services essentiels sur le territoire. Aux côtés des efforts considérables consentis par la puissance publique pour renforcer la filière cybersécurité (PIA4, France 2030…), Microsoft, en tant qu'acteur responsable sur le numérique et expert en cybersécurité, apporte son soutien à cet édifice en proposant des mesures rapides et des solutions simples à mettre en place.
Ainsi, pour conserver en toute sécurité son espace numérique, commençons par revenir sur un usage essentiel de notre quotidien : l’authentification et son point de vulnérabilité, le mot de passe. Souvent obsolètes et peu robustes face aux menaces d’intrusion, nos mots de passe n’offrent pas toutes les garanties de protection contre les attaques actuelles de plus en plus véloces et dévastatrices. Ainsi, dans le cas d’une attaque de "Phishing", il s’écoule à peine plus d’une heure en moyenne entre l’ouverture du mail frauduleux et l’extraction des données du compte. Dans certains cas, les cybercriminels sont passés de l’ouverture de l’e-mail au blocage de tout le réseau avec une demande de rançon en moins de 45 minutes.
Pour se prémunir contre ces cyberattaques et adopter des mesures d’hygiène, il existe de nouvelles façons de s’authentifier qui permettent de s’affranchir des mots de passe et donc de mieux résister au phishing mais aussi d’améliorer l’expérience utilisateurs, car simple à utiliser et à déployer. Le principe de l’authentification forte et sans mot de passe est fondé sur le fait qu’une clé cryptographique privée n'existe que sur du matériel physiquement en votre possession (comme une clé USB ou bien un smartphone). Ainsi, cette clé n’est pas stockée dans un service d’authentification centralisé (tel qu’un annuaire). Ce dernier ne contient au final que la clé publique qui est associée à votre clé privée. Pour déverrouiller cette paire de clés publique et privée, qui est requise pour accéder à un service numérique, il suffit dès lors de s’authentifier localement sur l’appareil enregistré avec un simple geste biométrique, ou la saisie d’un code PIN.
C’est dans ce cadre que Microsoft a travaillé en étroite collaboration avec l'Alliance FIDO et ses membres pour s'aligner sur une norme et une expérience utilisateurs commune nommée « pass-keys » (clé d’accès qui agit comme alternative sécurisée aux mots de passe). En effet, la mission de l’alliance FIDO depuis sa création en 2012 est de remplacer les mots de passe par une méthode alternative plus simple et plus robuste. Le fait que FIDO2 soit un standard permet aux développeurs de logiciel et matériel de plus facilement implémenter dans leurs propres produits ce mécanisme afin d’offrir aux utilisateurs cette méthode de connexion très sûre.
Récemment Microsoft a ainsi annoncé son intention de démocratiser l’authentification sans mot de passe auprès des organisations et des particuliers. Il suffit pour cela de télécharger l'application Microsoft Authenticator sur son téléphone, ou bien d'utiliser la fonction Windows Hello sur son ordinateur, ou encore d'utiliser des clés de sécurité FIDO2, dont notamment celles produites par Yubico, Feitian ou encore par les Français Thales et NEOWAVE. Le code PIN ou le geste biométrique complètent cette authentification forte. À partir d’octobre 2022, tous les utilisateurs d'un service Cloud Microsoft seront invités à s'inscrire à l'authentification multi-facteurs en utilisant l'application Microsoft Authenticator : une fois terminé, ce déploiement protégera 60 millions de comptes supplémentaires (à peu près la population de la France !) contre les attaques d'identité les plus courantes.
Comment améliorer la sécurité de vos comptes en ligne ?
Microsoft Authenticator est une application gratuite pour mobile (Android et iOS) qui permet de se connecter facilement et de manière sécurisée à tous vos comptes en ligne, grâce au support de l’authentification sans mot de passe de préférence mais également grâce à un générateur de codes à usage unique pour les sites proposant l’authentification à deux facteurs aux services tiers (Google, Facebook, LinkedIn, Dropbox, Amazon, Slack, Twitter ou GitHub).
Très simple à configurer, l’application offre aussi la possibilité de sauvegarder l’ensemble de ses paramètres : sans crainte d’égarer vos mots de passe et vos comptes en cas de changement de smartphone ou de perte, car ces derniers sont chiffrés à la fois sur votre appareil et sur le Cloud. Par ailleurs, Microsoft Authenticator prend en charge la norme des « codes secrets temporels à usage unique » (également appelée TOTP ou OTP). Ainsi, vous pouvez ajouter n’importe quel compte en ligne qui prend en charge cette norme et l’ajouter à Microsoft Authenticator.
Pour les applications métiers, (ex : SIRH , Intranet, formulaire,…) un collaborateur souhaitant se connecter sans mot de passe peut utiliser Windows Hello for Business ou bien une clé de sécurité FIDO2.
Concrètement il suffit à chaque agent d'insérer sa clé FIDO2 préconfigurée dans le port USB de son ordinateur ; cette clé étant associée à l'identité de l'agent terrain, il pourra d’abord confirmer qu'il s'agit bien d'une personne réelle en appuyant sur un bouton de la clé, puis confirmer son identité en saisissant un code PIN ou via un geste biométrique qui sera vérifié localement.
En quelques secondes à peine, chaque agent terrain peut donc s'authentifier en toute sécurité et effectuer ses tâches quotidiennes. Et lorsqu’un même ordinateur est partagé par plusieurs agents (par exemple : en milieu hospitalier ou pour des agents de terrain), on comprend aisément qu’au-delà de la simplicité d’authentification et de connexion à son propre espace de travail, c’est surtout la capacité de renforcer globalement la sécurité de l’organisation qui prévaut.
Vous n'aurez donc plus jamais à vous soucier de vos mots de passe et vous vous assurez pour vous comme pour votre entité un niveau de sécurité optimum pour renforcer votre posture de sécurité.
Pour en savoir plus sur les principes de la cybersécurité et comprendre les fondamentaux, retrouvez la vidéo ici « La cybersécurité, mon futur métier »
