On n’est jamais trop prudent lorsqu’il s’agit de la sécurité en ligne d’une entreprise. Le nombre et la sophistication des menaces de cybersécurité augmentent à grande vitesse, et trois entreprises américaines sur quatre sont menacées d’une cyberattaque importante (incidents ayant un impact significatif sur la situation financière d’une entreprise). Par conséquent, de nombreuses entreprises jettent un regard critique sur leurs pratiques actuelles en matière de sécurité des informations.
Après tout, les comptes en ligne de votre entreprise contiennent une quantité significative d’informations personnelles, financières et confidentielles, et une violation de ces données entraîne souvent une perte de revenus. Une simple procédure peut permettre à la plupart des entreprises d’améliorer la discipline des employés en matière de cybersécurité à tous les niveaux : la validation en deux étapes.
Qu’est-ce que la validation en deux étapes ?
La validation en deux étapes est le processus de vérification de l’identité d’un utilisateur afin de lui accorder l’accès à un système informatique ou à un compte en ligne. Il existe trois principaux « facteurs » pour la validation :
- Un facteur de connaissance (quelque chose que vous connaissez, comme un mot de passe ou un code secret).
- Un facteur de propriété (quelque chose que vous possédez, comme un appareil mobile ou une carte d’identité).
- Un facteur d’inhérence (quelque chose que vous êtes, comme une empreinte digitale ou votre voix).
Il existe également des facteurs géographiques et des facteurs temporels, mais ils sont beaucoup plus rares. La validation en deux étapes implique simplement que votre système de sécurité utilise deux de ces facteurs.
En d’autres termes, la validation en deux étapes constitue un second niveau de sécurité, en plus de votre mot de passe ou de votre code secret. Si après vous être connecté à l’aide de votre mot de passe, on vous a déjà demandé de saisir un code numérique envoyé sur votre appareil mobile pour prouver votre identité, alors vous connaissez déjà la validation en deux étapes.
Mais la réception d’un code par SMS n’est pas la seule méthode de validation en deux étapes. Il existe un large éventail d’options, comme les applications d’authentification, les notifications push, les jetons logiciels, l’authentification par la voix, etc. Dans la plupart des cas toutefois, le niveau de sécurité supplémentaire est souvent un code envoyé par SMS.
Qu’est-ce qu’une application d’authentification ?
Vous connaissez peut-être les types les plus courants de validation en deux étapes, comme les SMS, les messages vocaux et les notifications push, mais vous connaissez peut-être moins les applications d’authentification. En fait, c’est relativement simple.
Qu’est-ce qu’une application d’authentification ? Il s’agit d’une application mobile qui génère des codes de validation numériques pouvant être utilisés pour confirmer votre identité au moment de votre connexion à un site Web ou une application. Il existe de nombreuses applications d’authentification différentes parmi lesquelles choisir, notamment l’application Google Authenticator et Duo Mobile, qui suivent toutes à peu près la même procédure.
Les applications d’authentification sont généralement considérées comme une forme un peu plus sécurisée de validation en deux étapes que la simple réception d’un code secret par SMS. Cela s’explique par le fait que, techniquement parlant, les SMS ne sont pas quelque chose que vous possédez, mais quelque chose que l’on vous envoie.
De ce fait, des pirates pourraient piéger votre opérateur et lui demander la portabilité de votre numéro de téléphone mobile vers une autre carte SIM (un type de fraude que l’on appelle « SIM Swap »). En supposant qu’il possède déjà votre mot de passe, un pirate pourrait ainsi accéder à votre compte. À l’inverse, les codes de validation des applications d’authentification expirent très rapidement (en général après 20 ou 30 secondes) et le code reste dans l’application.
Comment fonctionne la validation en deux étapes ?
Une fois configurée dans votre système, que vous utilisiez une application d’authentification, des notifications push ou des SMS, la validation en deux étapes est relativement simple à utiliser. Voici les étapes du processus de validation en deux étapes en lui-même :
- L’utilisateur est invité à se connecter sur le site Web ou à l’application.
- Il saisit son nom d’utilisateur et son mot de passe, c’est le premier facteur de sécurité.
- Une fois que le site reconnaît l’utilisateur, ce dernier est invité à lancer la seconde étape du processus de connexion. À cette étape, l’utilisateur doit prouver qu’il a en sa possession une carte d’identité ou un smartphone par exemple : c’est le second facteur de sécurité, dans ce cas le facteur de propriété. Dans la plupart des cas, les utilisateurs reçoivent un code de sécurité à usage unique qu’ils peuvent utiliser pour confirmer leur identité.
- Enfin, l’utilisateur saisit la clé de sécurité, et une fois que le site l’authentifie, l’accès est accordé.
Pourquoi utiliser la validation en deux étapes ?
L’importance de sécuriser les fichiers et le contenu de votre entreprise ne peut pas être surestimée. On estime que les dommages mondiaux de la cybercriminalité s’élèveront à près de 15,63 milliards de dollars par an d’ici à 2029. Les coûts associés à la cybercriminalité comprennent la destruction ou l’utilisation abusive des données, le vol d’argent, les perturbations post-attaque, le vol de propriété intellectuelle et la perte de productivité.
Il faut également prendre en compte les dépenses potentielles associées à la restauration des données piratées, aux enquêtes et à l’impact sur la réputation de la marque.
Les menaces devenant de plus en plus sophistiquées, le reste du monde met en place la validation en deux étapes en masse. Par conséquent, les entreprises n’adoptant pas cette approche risquent de se retrouver vulnérables face aux attaques de pirates malveillants. C’est comme si vous ne portiez pas de ceinture de sécurité simplement parce que la voiture est équipée d’airbags. Techniquement, vous êtes protégé, mais pas autant que vous pourriez l’être.
Pourquoi ne pas se fier aux mots de passe « forts » ?
En matière de sécurité en ligne, le facteur d’authentification le plus courant est de loin la combinaison nom d’utilisateur/mot de passe. En d’autres termes, la plupart des systèmes n’utilisent que l’authentification à un seul facteur. Même si les mots de passe sont la norme depuis des dizaines d’années en matière de sécurité des informations, plusieurs raisons justifient l’arrêt de leur utilisation.
1. La plupart des gens n’ont pas une bonne mémoire
Malheureusement, c’est un fait. Dans de nombreux cas, les mots de passe que nous choisissons sont vraiment faciles à deviner : « mot de passe », « 12345 », « azerty », etc.
2. Les gens possèdent plus de comptes en ligne qu’à l’époque où les mots de passe ont fait leur apparition
Ainsi, il y a souvent tout simplement trop de mots de passe à retenir. Cela peut entraîner un « recyclage des mots de passe » : lorsque le même mot de passe est utilisé pour plusieurs comptes, les pirates ont plus de facilités à y accéder.
3. Certains sites Web utilisent des questions de sécurité
Par exemple, la question « Quel est le nom de jeune fille de votre mère ? » constitue une sorte de deuxième facteur. Toutefois, compte tenu de la quantité d’informations personnelles disponibles en ligne, les pirates parviennent souvent à deviner les réponses à ces questions relativement basiques.
Il est important de noter que les questions de sécurité sont seulement un deuxième facteur de connaissance et que cette pratique ne constitue pas une véritable validation en deux étapes. En fait, vous vous contentez de doubler votre mot de passe d’un second mot de passe. Ainsi, cette méthode est beaucoup plus proche d’une forme d’authentification ne faisant pas intervenir différents facteurs, mais simplement plusieurs étapes.
Ce qu’il faut retenir, c’est que les mots de passe représentent la forme de sécurité la plus faible, ce qui explique l’adoption de la validation en deux étapes comme la nouvelle norme des entreprises en matière de sécurité.
Au-delà de la validation en deux étapes
Les avantages associés à la validation en deux étapes sont importants. Mais elle n’est pas le seul mécanisme de protection des informations. Loin de là.
Après tout, cette technique n’est pas infaillible. Si un pirate souhaitait avoir accès à vos systèmes informatiques, une fouille physique de vos locaux pourrait lui permettre de mettre la main sur la carte d’identité d’un employé ou sur un appareil de stockage oublié contenant des mots de passe.
De plus, les pirates peuvent intercepter les SMS grâce à des e‑mails de phishing, ce qui leur permettrait potentiellement de contourner le deuxième facteur d’authentification. En fin de compte, l’efficacité de la validation en deux étapes dépend de l’élément le plus faible du processus de sécurité.
Alternatives à la validation en deux étapes
Quelles sont les autres solutions disponibles ? Il se trouve que la validation en deux étapes ne représente qu’une partie d’un concept plus large : l’authentification multifacteur.
En théorie, vous pourriez trouver l’authentification à trois, quatre ou cinq facteurs, voire plus. Même si la majorité des utilisateurs n’utilisera probablement jamais une authentification au-delà de deux facteurs, les personnes travaillant dans des environnements haute sécurité pourraient devoir utiliser une validation en trois étapes, qui implique généralement l’utilisation d’un facteur d’inhérence, comme une empreinte digitale ou un scan de l’iris.
Comment appliquer la validation en deux étapes avec Dropbox
Évidemment, la validation en deux étapes peut présenter de nombreux avantages pour votre entreprise, mais le déploiement de cette technique dans l’ensemble de votre entreprise peut vous paraître intimidant. Fort heureusement, cette démarche n’est pas nécessairement compliquée.
Dropbox propose la validation en deux étapes. Si vous activez cette fonctionnalité, Dropbox vous demandera, à vous et à votre équipe, de fournir une deuxième forme d’authentification (par exemple, un code secret à six chiffres ou une clé de sécurité) dès que vous vous connecterez à votre compte ou que vous associerez un nouvel appareil comme une tablette, un ordinateur ou un téléphone.
En outre, Dropbox propose un certain nombre de fonctionnalités de protection par mot de passe qui peuvent vous aider à sécuriser et à contrôler les informations sensibles de votre entreprise. Vous pouvez également définir des délais de validité pour les liens partagés et protéger vos PDF et dossiers par mot de passe.
Avec Dropbox, vous pouvez aussi mettre en place d’autres mesures de cybersécurité pour protéger vos fichiers encore plus efficacement. La protection des données dans le cloud est notre priorité absolue, et la sécurité cloud est un complément idéal à la validation en deux étapes. Grâce aux différents niveaux de protection répartis sur une infrastructure cloud distribuée, tous vos fichiers en ligne bénéficient du même niveau de protection. De plus, vous pouvez utiliser le stockage cloud chiffré pour vous conformer à la plupart des réglementations mondiales.
Sécurisez vos données et bénéficiez de la validation en deux étapes avec Dropbox
Le fait de compter sur un seul mot de passe pour protéger vos fichiers et vos données vous rend vulnérable face à des menaces qui pourraient être évitées. Avec la validation en deux étapes, il est beaucoup plus difficile pour les acteurs malveillants d’accéder à votre contenu.
Que vous soyez déjà un utilisateur Dropbox à la recherche d’un supplément de tranquillité d’esprit ou que vous ayez besoin d’une solution de stockage cloud avec plusieurs niveaux de protection, Dropbox a la solution qu’il vous faut.
Créez un compte pour bénéficier dès aujourd’hui de la validation en deux étapes.
