Construire un avenir plus sécurisé peut sembler risqué : les clients s'adapteront-ils facilement à des garde-fous plus stricts ? Réfléchissons à l'authentification multi-facteurs. De plus en plus, il est clair que l'AMF présente un excellent équilibre entre sécurité et commodité lorsqu'il s'agit de protéger nos données.

Cependant, des points de douleur subsistent. La direction pourrait croire que demander aux gens de penser au-delà du mot de passe est un pont trop loin. Mais environ deux tiers des personnes qui connaissent l'AMF l'utilisent régulièrement, selon notre rapport 2023 Oh Behave. Et 94% des personnes qui l'ont activé continuent de l'utiliser. Nos données ne soutiennent pas l'idée que l'AMF est trop demander aux gens. Bien fait, c'est rapide et pratique.

Alors que l'adoption de l'authentification multi-facteurs (AMF) augmente, Salesforce est une excellente étude de cas récente sur la façon de mettre en œuvre l'AMF à travers une vaste base de clients qui s'étend sur de nombreuses industries. 

Le 1er février 2022, Salesforce a commencé à exiger de tous les clients qu'ils utilisent l'AMF pour accéder à ses produits, qui incluent des plateformes B2B populaires telles que Sales Cloud, Service Cloud et Einstein. 

Nous avons demandé à Salesforce pourquoi ils ont décidé d'exiger l'adoption de l'AMF pour tous leurs produits, quels étaient les défis de cette initiative, et comment l'exigence fonctionne deux ans après sa première mise en œuvre. 

AMF : Augmenter la sécurité pour tous

L'exigence de l'AMF provient initialement d'un besoin de sécurité au-delà d'un mot de passe. En tant que technologie, les mots de passe datent des années 1960, et ils ne sont plus un moyen efficace de sécuriser les comptes. Un mot de passe est un système de facteur unique pour l'authentification, tandis que l'authentification multi-facteurs (comme le nom l'indique) nécessite plusieurs formes d'informations d'identification. Habituellement, cela inclut un mot de passe et un autre facteur, qui pourrait être une empreinte digitale, une connexion à une application d'authentification autonome, ou un nouveau système de clé de passe. 

"La confiance est notre première valeur, et rien n'est plus important que la confiance et le succès de nos clients. Nous croyons que la protection des données des clients est une responsabilité partagée entre Salesforce et nos clients," a expliqué Lynn Simons, directrice senior de l'engagement en matière de sécurité chez Salesforce. "À mesure que les cyberattaques deviennent plus courantes, les mots de passe ne fournissent plus de protections suffisantes contre l'accès non autorisé aux comptes." 

L'AMF fournit une couche supplémentaire de protection contre les menaces de sécurité courantes, telles que le phishing, le bourrage d'informations d'identification et les prises de contrôle de comptes. La mise en œuvre de l'AMF augmente la sécurité tant pour le client que pour Salesforce.

La stratégie

Exiger l'AMF pour tous ses produits non seulement demandait un savoir-faire technique, mais aussi signifiait que Salesforce devait convaincre les parties prenantes que c'était la bonne chose à faire. Heureusement, les preuves des avantages de l'AMF sont accablantes – l'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) affirme que l'utilisation de l'AMF sur un compte réduit la probabilité d'un piratage de 99 % !

"Salesforce croit que l'AMF est un élément critique pour sécuriser l'accès aux comptes," a poursuivi Lynn.

Bien qu'il existe un risque potentiel de compromission du mot de passe, il est peu probable qu'un mauvais acteur puisse également deviner ou pirater un code depuis l'application d'authentification de l'utilisateur.

Depuis le 1er février 2022, les clients de Salesforce sont tenus d'utiliser l'AMF pour accéder aux produits Salesforce. Cela signifie que tous les utilisateurs internes qui se connectent aux produits Salesforce, y compris les solutions partenaires, via l'interface utilisateur doivent utiliser l'AMF pour chaque connexion.

Il est important de noter que les produits Salesforce incluent la fonctionnalité AMF sans coût supplémentaire.

Utiliser les facteurs les plus sécurisés

Bien que nous croyions que toute forme d'AMF est meilleure que pas d'AMF du tout, la vérité est que certains facteurs sont plus sécurisés que d'autres. Votre empreinte digitale est plus difficile à compromettre qu'un mot de passe simple à quatre caractères, par exemple. Avec leur initiative AMF, Salesforce a choisi de soutenir les méthodes les plus sécurisées. 

"Salesforce offre des solutions AMF qui établissent un équilibre entre une sécurité forte et la commodité pour l'utilisateur," a déclaré Lynn. 

Les méthodes de vérification prises en charge par Salesforce incluent :

• Application Salesforce Authenticator : Cette option d'application mobile propriétaire a été créée comme une solution rapide et sans friction de notifications push simples intégrées au processus de connexion Salesforce.

• Applications d'authentification de tiers : Vous pouvez également répondre à l'exigence de l'AMF en utilisant d'autres applications mobiles autonomes, spécifiquement des applications qui génèrent des codes temporaires basés sur l'algorithme de mot de passe à usage unique basé sur le temps (TOTP) d'OATH.

• Clés de sécurité : Ce sont des dispositifs physiques qui utilisent la cryptographie à clé publique – les smartphones les plus populaires d'aujourd'hui ont ces clés intégrées. 

• Authentificateurs intégrés : Un service d'authentification intégré à un ordinateur de bureau ou un appareil mobile, tel que Windows Hello, Face ID ou Touch ID. Cette option implique souvent des biométries, des identifiants difficilement falsifiables qui vous sont uniques, comme votre empreinte digitale ou votre visage.

Certains facteurs secondaires ne sont pas aussi solides et sont intrinsèquement plus vulnérables à l'interception, à la falsification et à d'autres attaques. Pour cette raison, Salesforce a décidé de ne pas utiliser ces options AMF :

• Questions de sécurité : Celles-ci pourraient être devinées par des informations disponibles publiquement sur l'utilisateur. 

• Codes à usage unique envoyés par e-mail, message texte ou appel téléphonique : Si l'un de ces comptes est compromis, alors leur utilité pour l'AMF est nulle. De plus, ces méthodes sont plus facilement compromises par des attaques de fatigue de l'AMF. 

Si vous exigez l'AMF, nous convenons que vous pourriez aussi bien utiliser les options les plus fortes disponibles actuellement.

Résultats

À partir de 2024, Salesforce a un taux d'inscription de 100% parmi ses employés, a confirmé Lynn. Tous les produits logiciels de Salesforce, appelés clouds, offrent l'AMF, et presque tous ont aidé les clients à sécuriser leurs données en appliquant ou en activant automatiquement l'AMF pour leurs utilisateurs.

"Grâce au partenariat de nos clients et à leur engagement à protéger l'accès aux comptes utilisateurs, le programme d'activation automatique de l'AMF a été extrêmement réussi," a noté Lynn.

Conclusion : La sécurité est un sport d'équipe

Au cours des deux dernières décennies, la NCA s'est donnée pour mission de donner à tout le monde en ligne les moyens d'augmenter la sécurité numérique. Nous avons tous un rôle à jouer – les entreprises, les gouvernements, les sites Web et les individus. L'exigence réussie de l'AMF par Salesforce montre comment un changement positif peut avoir des effets d'entraînement dans le monde entier – on estime que 150 000 sociétés utilisent Salesforce dans le monde, et maintenant tous leurs employés et clients utilisent l'AMF. 

"La sécurité est un sport d'équipe – et n'est efficace que lorsque tout le monde est sur la même longueur d'onde," a suggéré Lynn. 

Meilleures pratiques

Lynn a recommandé quelques bonnes pratiques pour les entreprises tentant de déployer une stratégie AMF à long terme.

• Comprendre votre personnel : Pour les responsables informatiques, la première étape consiste à comprendre le personnel de l'entreprise, leurs interactions avec la technologie essentielle, et où se trouvent les vulnérabilités potentielles dans le système.

• Offrir des options qui s'intègrent dans les flux de travail existants : Plutôt que d'implémenter une seule technologie pour toutes les équipes, améliorer les solutions existantes et proposer des solutions qui conviennent à une variété de flux de travail rendra plus probable que l'AMF fonctionne pour tout le monde. Un exemple de cela serait Salesforce lançant sa propre application d'authentification qui s'intègre à ses produits. 

• Faciliter la tâche aux administrateurs : Investir dans le développement des bons matériels d'apprentissage et du soutien à l'habilitation pour permettre à ceux qui gèrent l'AMF de naviguer dans la transition sans heurts. 

Pour plus d'informations, Lynn recommande ce module sur Trailhead, la plateforme d'apprentissage en ligne gratuite de Salesforce. La NCA propose également de nombreuses ressources sur l'AMF.