Qu’est-ce que la validation en deux étapes ?

Qu’est-ce que la validation en deux étapes ?

On n’est jamais trop prudent lorsqu’il s’agit de la sécurité en ligne d’une entreprise. Le nombre et le niveau de sophistication des menaces de cybersécurité augmentent rapidement : dans ses rapports, Malwarebytes indique que les attaques contre les entreprises ont augmenté de 13 % en 2019. Par conséquent, de nombreuses entreprises jettent un regard critique sur leurs pratiques actuelles en matière de sécurité des informations. Après tout, les comptes en ligne de votre entreprise contiennent une quantité significative d’informations personnelles, financières et confidentielles, et une violation de ces données entraîne souvent une perte de revenus. Une simple procédure peut permettre à la plupart des entreprises d’améliorer la discipline des employés en matière de cybersécurité à tous les niveaux : la validation en deux étapes.

Qu’est-ce que la validation en deux étapes ?

Authentifier un utilisateur revient à confirmer son identité afin de lui accorder l’accès à un système informatique ou à un compte en ligne. Ce type de validation compte trois facteurs principaux : un facteur de connaissance (quelque chose que vous connaissez, comme un mot de passe ou un code PIN), un facteur de propriété (quelque chose que vous possédez, comme un appareil mobile ou une carte d’identité) et un facteur d’inhérence (quelque chose que vous êtes, comme une empreinte digitale ou votre voix). Il existe également des facteurs géographiques et des facteurs temporels, mais ils sont beaucoup plus rares. Avec la validation en deux étapes, votre système de sécurité utilise deux de ces facteurs.

En d’autres termes, la validation en deux étapes constitue un second niveau de sécurité, en plus de votre mot de passe ou de votre code PIN. Si après vous être connecté à l’aide de votre mot de passe, on vous a déjà demandé de saisir un code numérique envoyé sur votre appareil mobile pour prouver votre identité, alors vous connaissez déjà la validation en deux étapes. Mais la réception d’un code par SMS n’est pas la seule méthode de validation en deux étapes. Il existe un large éventail d’options, notamment les applications d’authentification, les notifications push, les jetons logiciels, l’authentification par la voix, etc. Dans la plupart des cas toutefois, le niveau de sécurité supplémentaire est souvent un code envoyé par SMS.

Qu’est-ce qu’une application d’authentification ?

Vous connaissez peut-être les types les plus courants de validation en deux étapes, comme les SMS, les messages vocaux et les notifications push, mais vous connaissez peut-être moins les applications d’authentification. En fait, c’est relativement simple. Qu’est-ce qu’une application d’authentification ? Essentiellement, il s’agit d’une application mobile qui génère des codes de validation numériques pouvant être utilisés pour confirmer votre identité au moment de votre connexion à un site Web ou une application. Il existe de nombreuses applications d’authentification, notamment Google Authenticator, Duo Mobile et Authenticator, qui suivent toutes à peu près la même procédure.

Les applications d’authentification sont généralement considérées comme une forme un peu plus sécurisée de validation en deux étapes que la simple réception d’un code par SMS. C’est parce que techniquement parlant, les SMS ne sont pas quelque chose que vous possédez, mais quelque chose que l’on vous envoie. De ce fait, des pirates pourraient piéger votre opérateur et lui demander la portabilité de votre numéro de téléphone mobile vers une autre carte SIM (un type de fraude que l’on appelle "SIM Swap"). En supposant qu’il possède déjà votre mot de passe, un pirate pourrait ainsi accéder à votre compte. À l’inverse, les codes de validation des applications d’authentification expirent très rapidement (en général après 20 ou 30 secondes) et le code reste dans l’application.

Comment fonctionne la validation en deux étapes ? Une fois configurée dans votre système, que vous utilisiez une application d’authentification, des notifications push ou des SMS, la validation en deux étapes est relativement simple à utiliser. Voici les étapes du processus de validation en deux étapes en lui-même :

1. L’utilisateur est invité à se connecter sur le site Web ou à l’application.
   
2. Il saisit son nom d’utilisateur et son mot de passe, c’est le premier facteur de sécurité.
   
3. Une fois que le site reconnaît l’utilisateur, ce dernier est invité à lancer la seconde étape du processus de connexion. À cette étape, l’utilisateur doit prouver qu’il a en sa possession une carte d’identité ou un smartphone par exemple : c’est le second facteur de sécurité, dans ce cas le facteur de propriété. Dans la plupart des cas, les utilisateurs reçoivent un code de sécurité à usage unique qu’ils peuvent utiliser pour confirmer leur identité.
   
4. Enfin, l’utilisateur saisit la clé de sécurité, et une fois que le site l’authentifie, l’accès est accordé.

Pourquoi utiliser la validation en deux étapes ?

En matière de sécurité en ligne, le facteur d’authentification le plus courant est de loin la combinaison nom d’utilisateur/mot de passe. En d’autres termes, la plupart des systèmes n’utilisent qu’une authentification à un seul facteur. Même si les mots de passe sont la norme depuis des dizaines d’années en matière de sécurité des informations, plusieurs raisons justifient l’arrêt de leur utilisation. Pour commencer, les mots de passe sont relativement faciles à deviner. La plupart des gens n’ont pas une excellente mémoire, et dans nombre de cas, les mots de passe que nous choisissons sont vraiment faciles à deviner : "motdepasse", "12345", "azerty", etc.

Il est également important de rappeler que nous possédons beaucoup plus de comptes en ligne que cela n’était le cas quand les mots de passe ont fait leur apparition, ce qui veut dire que nous avons tout simplement trop de mots de passe à retenir. Cela peut entraîner un recyclage des mots de passe : lorsque le même mot de passe est utilisé pour plusieurs comptes, les pirates ont plus de facilités à y accéder. Si vous prenez en compte l’augmentation du nombre de cybercrimes et de violations de données, comme le vol de données dont Yahoo a été victime en 2013, qui a entraîné le piratage de trois milliards de comptes, il devient évident que les mots de passe ne constituent plus la forme de protection la plus sécurisée.

Plutôt que de se tourner vers une validation en deux étapes, la plupart des sites Web ont recours à une question de sécurité en guise de second facteur. Vous pourriez par exemple devoir répondre à une question du type "Quel est le nom de jeune fille de votre mère ?" ou "Quel est le nom de votre premier animal de compagnie ?". Mais cette pratique présente également des points faibles. Il y a tellement d’informations personnelles accessibles sur le Web que les pirates parviennent souvent à deviner les réponses à ces questions relativement basiques. En outre, il est important de noter que cette pratique ne constitue pas une véritable validation en deux étapes, car les questions de sécurité sont seulement un deuxième facteur de connaissance. En fait, vous vous contentez de doubler votre mot de passe d’un second mot de passe. Ainsi, cette approche est beaucoup plus proche d’une forme d’authentification ne faisant pas intervenir différents facteurs.

Ce qu’il faut retenir, c’est que les mots de passe représentent la forme de sécurité la plus faible, ce qui explique l’adoption de la validation en deux étapes comme le nouveau standard des entreprises en matière de sécurité.

Au-delà de la validation en deux étapes

Comme vous pouvez le constater, les avantages de la validation en deux étapes sont significatifs. Mais elle n’est pas le seul mécanisme de protection des informations. Loin de là. Après tout, cette technique n’est pas infaillible. Si un pirate souhaitait avoir accès à vos systèmes informatiques, une fouille physique de vos locaux pourrait lui permettre de mettre la main sur la carte d’identité d’un employé ou sur un appareil de stockage oublié contenant des mots de passe. De plus, les pirates peuvent intercepter les SMS grâce à des e‑mails de phishing, ce qui leur permettrait potentiellement de contourner le deuxième facteur d’authentification. En fin de compte, l’efficacité de la validation en deux étapes dépend de l’élément le plus faible du processus de sécurité.

Quelles sont les autres solutions disponibles ? Il se trouve que la validation en deux étapes ne représente qu’une partie d’un concept plus large : l’authentification multifacteur. En théorie, vous pourriez trouver l’authentification à trois, quatre ou cinq facteurs, voire plus. Même si la majorité des utilisateurs n’utilisera probablement jamais une authentification au-delà de deux facteurs, les personnes travaillant dans des environnements haute sécurité pourraient devoir utiliser une validation en trois étapes, qui implique généralement l’utilisation d’un facteur d’inhérence, comme une empreinte digitale ou un scan de l’iris.

Sécuriser les fichiers à l’aide de la validation en deux étapes

Vous ne pouvez pas sous-estimer l’importance de la protection des fichiers de votre entreprise. On estime que les dommages mondiaux de la cybercriminalité s’élèveront à près de 6 000 milliards de dollars par an d’ici 2021. Les coûts associés à la cybercriminalité incluent la destruction/l’utilisation malveillante des données, de l’argent volé, des perturbations post-attaque, le vol de propriété intellectuelle et une perte de productivité. Mais il faut également prendre en compte les dépenses potentielles associées à la restauration des données/systèmes piratés, aux enquêtes et à l’impact sur la réputation de la marque. Les menaces sont de plus en plus sophistiquées, et le reste du monde met en place la validation en deux étapes en masse. Par conséquent, les entreprises n’adoptant pas cette approche risquent de devenir vulnérables aux attaques de pirates malveillants. C’est comme si vous ne portiez pas de ceinture de sécurité simplement parce que la voiture est équipée d’airbags. Techniquement, vous êtes protégé, mais pas autant que vous pourriez l’être.

Comment appliquer la validation en deux étapes avec Dropbox

Évidemment, la validation en deux étapes peut présenter de nombreux avantages pour votre activité, mais le déploiement de cette technique dans l’ensemble de votre entreprise peut vous paraître intimidant. Fort heureusement, cette démarche n’est pas nécessairement compliquée. Dropbox propose la validation en deux étapes. Si vous activez cette fonctionnalité, Dropbox vous demandera, à vous et à votre équipe, de fournir une deuxième forme d’authentification (par exemple, un code secret à six chiffres ou une clé de sécurité) dès que vous vous connecterez à votre compte ou que vous associerez un nouvel appareil comme une tablette, un ordinateur ou un téléphone. De plus, Dropbox propose un certain nombre de fonctionnalités de protection par mot de passe qui peuvent vous aider à sécuriser et à contrôler les informations sensibles de votre entreprise. Vous pouvez également définir des délais de validité pour les liens partagés et protéger vos PDF et dossiers par mot de passe.

Avec Dropbox, vous pouvez aussi mettre en place d’autres mesures de cybersécurité pour protéger vos fichiers encore plus efficacement. La sécurité cloud de Dropbox constitue un complément idéal à la validation en deux étapes. En bref, la protection des données dans le cloud est la priorité de Dropbox. Grâce aux différents niveaux de protection répartis sur une infrastructure cloud distribuée, tous vos fichiers en ligne bénéficient du même niveau de protection. De plus, vous pouvez utiliser le stockage cloud chiffré de Dropbox pour vous conformer à la plupart des réglementations mondiales.

Conclusion

La validation en deux étapes offre un niveau de sécurité supplémentaire pour les fichiers en ligne de votre entreprise et protège vos données sensibles contre les menaces éventuelles.