Astuces

Quelle est la différence entre l’A2F et l'AMF, et pourquoi est-ce important?

Coralie Lemasson

Faites de la place dans votre cœur pour Coralie, la réviseure et conseillère en marketing produit qui apporte une touche littéraire à chaque article qu'elle écrit pour Devolutions. Sa formation en enseignement de l'anglais l'a orientée vers une carrière qui lui permet de conjuguer sa passion pour les lettres avec son amour de la langue. En dehors des heures de bureau, Coralie profite des belles choses de la vie : cafés au lait, bons vins et décoration intérieure, sans oublier son obsession pour Star Trek, les jeux de société compliqués et les débats théologiques transcendants. Elle partage sa vie avec son fidèle canasson, Arrakis, qui est au moins aussi introverti, maladroit et gourmand qu'elle. Cette amitié singulière lui rappelle quotidiennement que, bien que les mots et leur signification soient importants, la bonne communication — la vraie — se passe de paroles; comme quoi les échanges fondés sur l'honnêteté et la bonne foi suffisent pour établir des rapports sains, que ce soit entre collègues ou entre une cavalière et sa monture.

Afficher plus d'articles

Bien que la situation globale dans le monde s’améliore (enfin!), celle des cybermenaces se dégrade considérablement. C’est ce que dévoile notre troisième rapport annuel sur le portrait de la sécurité informatique dans les PME de 2022-2023 :

  • Les deux tiers des PME (67 %) se disent maintenant plus inquiètes à propos de la sécurité des TI que l’an dernier.
  • La majorité des PME (60 %) ont essuyé au moins une cyberattaque au cours de la dernière année.
  • La popularité grandissante des modes de travail hybrides et à distance entraîne beaucoup d’inquiétudes concernant la sécurité des TI au sein des PME.

Il y a une bonne nouvelle en revanche : les PME (ainsi que tous les autres types d’organisations, y compris les grandes entreprises) n’ont pas à se croiser les doigts en espérant traverser sans encombre la tempête. Compte tenu des coûts élevés d’une brèche de données, les PME doivent être proactives et limiter les risques et les vulnérabilités (surtout lorsque les utilisateurs finaux sont impliqués). C’est là qu’interviennent deux méthodes de sécurité de gestion des identités et des accès primordiaux : l’authentification à deux facteurs (A2F) et l’authentification multifacteur (AMF).

Qu'est-ce que l'authentification à deux facteurs?

L’authentification à deux facteurs (A2F) permet d’identifier avec certitude les utilisateurs finaux en associant les informations d’identifiant attribuées (combinaison du nom d’utilisateur et du mot de passe) à un autre élément. Cet autre élément peut être :

  • Des identifiants de connexion supplémentaires connus uniquement de l’utilisateur final, tels que la réponse à une question de sécurité ou un code NIP;
  • Un code émis sur un appareil que l’utilisateur final a en sa possession comme son téléphone intelligent;
  • Des identifiants biométriques qui sont uniques à chaque utilisateur final comme les balayages de rétine et les empreintes digitales.

Qu’est-ce que l’authentification multifacteur?

L’authentification multifacteur renforce l’authentification à deux facteurs en invitant les utilisateurs finaux à confirmer leur identité au moyen de trois éléments ou plus. Par exemple, pour accéder à un compte, un appareil ou un réseau, un utilisateur final peut être invité à :

  • Saisir un code NIP;
  • Entrer un code envoyé sur son téléphone intelligent;
  • Faire analyser ses empreintes digitales.

À la différence de l’authentification à deux facteurs, l’utilisateur final se voit donner l’accès seulement si tous les éléments sont vérifiés. Lorsqu’un élément n’est pas validé (par exemple, si un utilisateur final saisit le bon NIP, a les bonnes empreintes digitales, mais entre le mauvais code), l’accès lui est interdit.

Certaines organisations déploient l’authentification multifacteur sans mot de passe, ce qui évite de devoir se fier à « quelque chose que l’utilisateur final connaît », en faveur de quelque chose que l'utilisateur final a en sa possession ou sur des identifiants de connexion biométriques.

Le chevauchement entre les deux méthodes

Il est fréquent de voir ces deux termes être utilisés indistinctement. S’agit-il d’une erreur? Pas nécessairement. Techniquement, l’ensemble des méthodes A2F sont aussi des méthodes AMF. En effet, la lettre « M » signifie « multi » (« 2 » est donc inclus dans « multi »). Toutefois, ce ne sont pas toutes les méthodes AMF qui sont des méthodes A2F.

Pourquoi la différence entre l’authentification à deux facteurs et l'authentification multifacteur est-elle importante?

Tout d’abord, il est pertinent de noter que les deux méthodes sont nettement supérieures à l’utilisation d’un seul élément, habituellement un mot de passe. 81% des brèches de données sont dues à la faiblesse des mots de passe. En dépit de nombreux avertissements, plusieurs utilisateurs finaux réutilisent leurs mots de passe sur de nombreux comptes professionnels et personnels et les partagent par des méthodes peu sûres (courriel, textos, etc.). La mise en place de l’A2F pour les organisations est donc une bonne pratique qui devrait être un incontournable.

L’AMF est habituellement plus robuste que l’A2F, car elle comporte un niveau de vérification de plus. Néanmoins, la sécurité supplémentaire peut détériorer l’expérience utilisateur (UX ou user experience en anglais). Ainsi, les utilisateurs finaux ressentent parfois une certaine frustration à l'égard de ces mesures, surtout s'ils doivent se connecter et se déconnecter de comptes et d'appareils au fil de la journée. Les utilisateurs finaux qui n’ont pas de connaissances techniques ou qui ont travaillé des années dans un environnement dépourvu d’AMF (sans A2F non plus) peuvent se sentir déroutés. En revanche, il est faux de déclarer que la courbe d’apprentissage de l’AMF est abrupte. Mais comme le dit le dicton : « les vieilles habitudes ont la vie dure »!

Dans quelle situation l’authentification à deux facteurs est-elle supérieure à l’authentification multifacteur?

Pourquoi soutenons-nous que l’AMF est « normalement » plus robuste que l’A2F? Eh bien parce que la robustesse et le bon fonctionnement de la sécurité en matière de gestion des identités et des accès ne dépendent pas nécessairement de la méthode utilisée. Ce sont plutôt les facteurs qui priment.

Prenons cet exemple : deux éléments d’authentification d’identité très forts sont la localisation (renforcée par le géorepérage) et la biométrie (balayages de rétine et analyse des empreintes digitales). En revanche, les textos, les réponses « secrètes » et les codes NIP sont des facteurs plutôt faibles (ils ne sont pas totalement inutiles, mais ils font partie des facteurs moins efficaces).

Une organisation qui met en place l’authentification à deux facteurs basée sur la location et sur la biométrie bénéficie indubitablement d’un système d’authentification de l’identité plus robuste qu’une organisation qui utilise l’authentification multifacteur reposant sur des textos, des réponses « secrètes » et des codes NIP. Ce qu’il faut retenir, c’est qu’il est généralement préférable d’avoir plus de facteurs.

En conclusion

L’A2F et l’AMF sont catégoriquement supérieures à l’authentification unique, qui ne consiste habituellement que d’un simple mot de passe. 81 % des brèches de données résultent de l’utilisation de mots de passe faibles. Qui plus est, de nombreux utilisateurs finaux se servent du même mot de passe pour plusieurs comptes personnels ou de travail, et ce, malgré les avertissements de leurs supérieurs. Il leur arrive également de divulguer leurs mots de passe à l’aide de méthodes non sécurisées (comme des courriels, des textes, etc.).

Bien entendu, les mots de passe uniques et robustes (ou mieux encore : des phrases passe) sont toujours de mise. Les organisations ne devraient cependant pas considérer l’A2F et l’AMF comme une simple pratique optimale, mais plutôt comme une nécessité pour réduire la vulnérabilité de leur entreprise dans un environnement qui regorge de plus en plus de cybermenaces.

Nous sommes heureux d’annoncer que la suite de produits Devolutions, incluant Remote Desktop Manager, Devolutions Server, et Password Hub Business, prend en charge l’A2F (veuillez noter que l’A2F pour Password Hub Business n’est possible qu'à l’aide d’un compte Devolutions, lequel gouverne aussi d’autres services tels que Devolutions Force, l’accès au forum, et plus encore). Des essais gratuits de tous nos produits sont disponibles. Veuillez communiquer avec nous pour plus de détails.

Articles similaires

Lire plus d'articles dans la section Astuces