Erreur n°1 : ne pas procéder à une évaluation des risques
Toutes les applications n’exigent pas les mêmes niveaux de sécurité. Par exemple, une application qui gère des informations client ou financières sensibles peut nécessiter des mesures d’authentification plus strictes que des systèmes moins critiques. Dans certains cas une segmentation des utilisateurs avec une bonne gestion des droits est préférable.
Erreur n°2 : vérifier la compatibilité avec les systèmes actuels
Faire preuve de diligence raisonnable pour vous assurer que vos systèmes disposent d’options d’intégration avec un système d’authentification permet de réduire la complexité de mise en œuvre et d’améliorer la sécurité globale.
Erreur n°3 : exiger un seul facteur d’authentification
Une MFA avec smartphone c’est bien, mais s’il est indisponible, hors réseau, en panne … Exiger au moins deux facteurs d’authentification est préférable dans le paysage de la sécurité actuel. Une sélection de facteurs supplémentaires recommandés par exemple : jetons physiques, biométrie, appareils de confiance.
Erreur n°4 : oublier l’expérience utilisateur
Si le flux d’authentification d’un utilisateur est trop lourd et trop lourd, les utilisateurs seront frustrés. L’équilibre entre sécurité et accessibilité est crucial pour une expérience utilisateur positive. Lorsque vous envisagez des facteurs d’authentification avancés, privilégiez les solutions qui minimisent les étapes et réduisent les frictions. Des instructions claires, des interfaces conviviales et des options en libre-service améliorent l’expérience utilisateur.
Erreur n°5 : ne pas suivre les activités et les modes d’authentification
Sans un examen régulier ou des informations sur les comportements des utilisateurs, les organisations ne seront pas en mesure d’évaluer ou d’atténuer efficacement les risques. Une surveillance et une analyse régulières des activités d’authentification sont essentielles pour garantir une sécurité continue.
Erreur n°6 : négliger de former et d’éduquer les utilisateurs
La formation des utilisateurs est essentielle pour améliorer la sécurité globale. Autrement, les utilisateurs pourraient adopter des comportements à risque qui placeraient l’organisation dans une position plus vulnérable.
Erreur n°7 : négliger le mode « Offline »
Aujourd’hui, le télétravail change la donne. Lorsque les collaborateurs travaillent chez eux ou à l’extérieur, leur ordinateur portable peut se retrouver hors ligne pendant une période prolongée. Si vos administrateurs sont uniquement capables d’imposer la MFA pour le télétravail lorsque les utilisateurs sont en ligne, les accès hors ligne ne peuvent être protégés et deviennent une source de risque.
Peu importe que votre ordinateur (fixe ou portable) soit hors ligne : il contient des données et des paramètres de connectivité précieux et doit être protégé en cas de perte. Il est important de choisir d’un système de MFA qui permet d’appliquer le même niveau de sécurité à tous les utilisateurs, quel que soit leur niveau de connectivité ou leur emplacement.
Sources : ZATAZ et THE HACKER NEWS
Ressources
CNIL
Le répertoire des informations publiques (RIP) de la CNIL recense les documents communicables contenant des informations publiques. Certains documents, inachevés ou préparatoires à une décision en cours, ne sont pas publiables. En outre, les documents publiés peuvent être anonymisés afin de limiter les risques d’identification des personnes. Consulter le site web
AIPD
Réaliser ou non une analyse d’impact relative à la protection des données (AIPD) est une question clef à se poser avant toute mise en œuvre d’un traitement. Voici la rediffusion d’un webinaire sur le sujet qui pourra vous éclairer : AIPD Webinaire : un outil pour construire un traitement respectueux de la vie privée – Commission nationale de l’informatique et des libertés