Construire un avenir plus sûr peut sembler risqué : les clients s’adapteront-ils facilement à des garde-fous plus stricts ? Pensons à l’authentification multifacteur. De plus en plus, il est clair que la MFA offre un excellent équilibre entre sécurité et praticité lorsqu’il s’agit de protéger nos données.

Des points de friction subsistent toutefois. La direction pourrait penser qu’il est excessif de demander aux gens de penser au-delà du mot de passe. Mais environ deux tiers des personnes qui connaissent la MFA l’utilisent régulièrement, selon notre rapport 2023 Oh Behave. Et 94 % des personnes qui l’ont activée continuent de l’utiliser. Nos données ne corroborent pas l’idée que la MFA soit trop demandée. Bien mise en œuvre, elle est rapide et pratique.

Alors que l’adoption de l’authentification multifacteur (MFA) augmente, Salesforce constitue une excellente étude de cas récente sur la manière de mettre en œuvre la MFA auprès d’une vaste clientèle couvrant de nombreux secteurs. 

Le 1er février 2022, Salesforce a commencé à exiger de tous ses clients l’utilisation de la MFA lors de l’accès à ses produits, qui comprennent des plateformes B2B populaires comme Sales Cloud, Service Cloud et Einstein. 

Nous avons demandé à Salesforce pourquoi elle avait décidé d’imposer l’adoption de la MFA pour tous ses produits, quels étaient les défis de cette initiative et comment cette exigence fonctionne deux ans après sa mise en place initiale.  

MFA : renforcer la sécurité pour tous

L’exigence de MFA est d’abord née d’un besoin de sécurité au-delà du mot de passe. En tant que technologie, les mots de passe remontent aux années 1960 et ne constituent plus un moyen efficace de sécuriser les comptes. Un mot de passe est un système d’authentification à facteur unique, tandis que l’authentification multifacteur (comme son nom l’indique) exige plusieurs formes d’information d’identification. En général, cela inclut un mot de passe et un autre facteur, qui peut être une empreinte digitale, une connexion à une application d’authentification autonome ou un nouveau système de clés d’accès. 

"La confiance est notre valeur numéro un, et rien n’est plus important que la confiance et la réussite de nos clients. Nous pensons que la protection des données clients est une responsabilité partagée par Salesforce et nos clients", a expliqué Lynn Simons, directrice principale de l’engagement en matière de sécurité chez Salesforce. "À mesure que les cyberattaques deviennent plus fréquentes, les mots de passe ne fournissent plus de protections suffisantes contre les accès non autorisés aux comptes." 

La MFA offre une couche supplémentaire de protection contre les menaces de sécurité courantes, comme l’hameçonnage, le credential stuffing et la prise de contrôle de comptes. La mise en œuvre de la MFA renforce la sécurité à la fois pour le client et pour Salesforce.

La stratégie

Imposer la MFA sur l’ensemble de ses produits ne nécessitait pas seulement une expertise technique, mais signifiait aussi que Salesforce devait convaincre les parties prenantes qu’il s’agissait de la bonne décision. Heureusement, les preuves des avantages de la MFA sont accablantes – la Cybersecurity & Infrastructure Security Agency (CISA) des États-Unis affirme qu’utiliser la MFA sur un compte réduit de 99 % le risque de piratage !

"Salesforce estime que la MFA est un élément essentiel pour sécuriser l’accès aux comptes", a poursuivi Lynn.

Bien qu’il existe un risque potentiel de compromission du mot de passe, il est très peu probable qu’un acteur malveillant puisse également deviner ou pirater un code provenant de l’application d’authentification de l’utilisateur.

Depuis le 1er février 2022, les clients de Salesforce sont tenus d’utiliser la MFA pour accéder aux produits Salesforce. Cela signifie que tous les utilisateurs internes qui se connectent aux produits Salesforce, y compris les solutions partenaires, via l’interface utilisateur, doivent utiliser la MFA à chaque connexion.

Point important, les produits Salesforce incluent la fonctionnalité MFA sans coût supplémentaire.

Utiliser les facteurs les plus sécurisés

Bien que nous estimions que toute forme de MFA vaut mieux que pas de MFA du tout, la vérité est que certains facteurs sont plus sûrs que d’autres. Votre empreinte digitale est plus difficile à compromettre qu’un mot de passe facile de quatre caractères, par exemple. Avec son initiative MFA, Salesforce a choisi de prendre en charge les méthodes les plus sûres. 

"Salesforce propose des solutions MFA qui trouvent le juste équilibre entre sécurité renforcée et confort d’utilisation", a déclaré Lynn. 

Les méthodes de vérification prises en charge par Salesforce comprennent :

• Application Salesforce Authenticator : cette option d’application mobile propriétaire a été créée comme une solution rapide et fluide basée sur de simples notifications push intégrées au processus de connexion Salesforce.

• Applications d’authentification tierces : vous pouvez également satisfaire à l’exigence de MFA en utilisant d’autres applications mobiles autonomes, en particulier des applications qui génèrent des codes temporaires basés sur l’algorithme OATH TOTP (mot de passe à usage unique basé sur le temps).

• Clés de sécurité : ce sont des dispositifs physiques qui utilisent la cryptographie à clé publique – les smartphones les plus populaires d’aujourd’hui intègrent ces clés. 

• Authentificateurs intégrés : un service d’authentification intégré à un appareil de bureau ou mobile, comme Windows Hello, Face ID ou Touch ID. Cette option implique souvent des données biométriques, des identifiants difficiles à falsifier et uniques pour vous, comme votre empreinte digitale ou votre visage.

Certains seconds facteurs ne sont pas aussi robustes et sont intrinsèquement plus vulnérables à l’interception, à l’usurpation et à d’autres attaques. Pour cette raison, Salesforce a décidé de ne pas utiliser ces options comme facteurs MFA :

• Questions de sécurité : elles pourraient être devinées à partir d’informations publiquement disponibles sur l’utilisateur. 

• Codes à usage unique envoyés par e-mail, SMS ou appel téléphonique : si l’un de ces comptes est compromis, l’utilité de leur MFA devient nulle. De plus, ces méthodes sont plus facilement compromises par des attaques de fatigue MFA. 

Si vous exigez la MFA, nous sommes d’accord pour dire qu’autant utiliser dès maintenant les options les plus robustes disponibles.

Résultats

En 2024, Salesforce affiche un taux d’inscription de 100 % parmi ses employés, a confirmé Lynn. Tous les produits logiciels de Salesforce, appelés clouds, offrent la MFA, et la quasi-totalité ont aidé les clients à sécuriser leurs données en imposant ou en activant automatiquement la MFA pour leurs utilisateurs.

"Grâce au partenariat de nos clients et à leur engagement à protéger l’accès aux comptes utilisateurs, le programme d’activation automatique de la MFA a connu un succès exceptionnel", a noté Lynn.

Conclusion : la sécurité est un sport d’équipe

Depuis deux décennies, le NCA a pour mission de donner à chacun en ligne les moyens d’accroître la sécurité numérique. Nous avons tous un rôle à jouer– les entreprises, les gouvernements, les sites web et les individus. L’exigence de MFA mise en place avec succès par Salesforce montre comment un seul changement positif peut avoir des effets en cascade dans le monde entier – on estime que 150 000 entreprises utilisent Salesforce dans le monde, et désormais tous leurs employés et clients utilisent la MFA. 

"La sécurité est un sport d’équipe – et n’est efficace que lorsque tout le monde est sur la même longueur d’onde", a suggéré Lynn. 

Bonnes pratiques

Lynn a recommandé quelques bonnes pratiques pour les entreprises qui cherchent à déployer une stratégie MFA sur le long terme.

• Comprenez vos équipes : pour les responsables informatiques, la première étape consiste à comprendre les effectifs de l’entreprise, leurs interactions avec les technologies essentielles et les points de vulnérabilité potentiels du système.

• Proposez des options qui s’intègrent aux flux de travail existants : plutôt que de déployer une technologie unique pour toutes les équipes, améliorer les solutions existantes et proposer des solutions adaptées à une variété de flux de travail augmentera la probabilité que la MFA fonctionne pour tout le monde. Salesforce a, par exemple, lancé sa propre application d’authentification qui s’intègre à ses produits. 

• Facilitez la tâche des administrateurs : investissez dans la création de supports d’apprentissage adaptés et d’un accompagnement à l’activation pour aider ceux qui gèrent la MFA à traverser la transition en toute fluidité. 

Pour plus d’informations, Lynn recommande ce module sur Trailhead, la plateforme d’apprentissage en ligne gratuite de Salesforce. Le NCA propose également de nombreuses ressources sur la MFA.