Authentification multifacteur : quelle adoption selon les profils utilisateurs ?
Selon le dernier le dernier baromètre annuel du CESIN réalisé avec Opinion Way sur la cybersécurité des entreprises françaises, avec le développement du télétravail qui s'est poursuivi en 2021, 90 % des organisations ont accéléré le recours à l'authentification multifacteur.
La modernisation de l'infrastructure d'authentification représente une tâche considérable, mais une fois terminée, le déploiement peut se concentrer sur l'adoption par les utilisateurs.
Grâce à des plans de communication clairs et à des approches stratégiques, les entreprises sont à même d'éviter ou d'atténuer les obstacles à l'adoption par les utilisateurs avant qu'ils ne surviennent. L'objectif consiste en effet à faire de l'option sûre l'option la plus simple. Toutefois, pour y parvenir, les organisations doivent tenir compte des différents profils qui composent leurs effectifs et s'y adapter.
Les perfectionnistes
Les perfectionnistes sont bien intentionnés, mais ils causent parfois des problèmes en faisant de la sécurité IT leur cheval de bataille. Ils sont susceptibles de ressentir de la frustration parce qu'ils sont avertis, et n'ont généralement pas besoin, ou ne veulent pas, de tutoriels IT standard.
Ces utilisateurs font également souvent partie d'un petit groupe au sein de l'entreprise qui a peut-être été négligé lors de l'évaluation des besoins. Lorsqu'ils demandent de l'aide, le service d'assistance n'a pas toujours de solution à leur proposer, ou quand ils contactent le service IT par email, ils se retrouvent souvent dans une situation de frustration, car les premières questions qui leur sont posées sont basiques.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Dans le cas où leurs tentatives pour obtenir de l'aide sont infructueuses, ils décident de se débrouiller seuls. De leur point de vue, l'entreprise ne leur fournit pas les outils dont ils ont besoin pour accomplir leur travail. Ils se voient donc en droit de télécharger tout ce dont ils ont besoin. Mais que faire si les perfectionnistes procèdent à un téléchargement à partir d'une source suspecte et créent un point de vulnérabilité pour l'ensemble de l'entreprise ? Ou s'ils ignorent une politique censée les protéger, eux et l'entreprise ?
Le moment clé du parcours des perfectionnistes est celui où ils demandent de l'aide, mais où le service d'assistance n'est pas en mesure de les aider ou ne dispose pas d'une voie d'escalade établie. Il existe plusieurs façons d'éviter cela :
> Comprendre tous les utilisateurs - pas seulement une majorité. Chaque type d'utilisation doit être pris en considération, même ceux qui peuvent impliquer des outils plus techniques que d'autres au sein de l'entreprise.
> Prévoir un processus de demande d'approvisionnement qui propose des exceptions approuvées et un examen rapide. Les options techniques proposées devraient être assorties des protocoles d'authentification les plus solides disponibles. Si les perfectionnistes ont la possibilité de cliquer sur quelques boutons pour obtenir un résultat rapide, il n'y a aucune raison de sortir des sentiers battus.
> Répondre à la question « Pourquoi ce changement est-il important ? » au moyen d'une communication claire. Les utilisateurs techniques sont plus enclins à opérer un changement lorsqu'ils comprennent pourquoi il est important pour leur travail et leur entreprise.
> Ne pas prévoir pas de déploiement ou de perturbation importante à un moment inopportun, comme la fin du trimestre ou pendant les périodes de vacances. C'est une question de bon sens : le travail de l'équipe de sécurité consiste à garantir la fluidité des opérations et à perturber le moins possible les flux de travail.
Les traditionalistes
Une personne qui ne consulte aucune information provenant de l'équipe de sécurité peut causer autant de problèmes que l'utilisateur qui cherche des solutions de contournement. Il se peut que les traditionalistes n'assistent pas aux formations sur la sécurité, ne lisent pas les emails de l'équipe de sécurité ou ne se familiarisent pas avec les nouveaux processus d'authentification, car ils estiment que cela n'a pas d'incidence directe sur leur travail (du moins pas avant le jour de la « mise à niveau forcée »).
Peut-être ne font-ils pas confiance à l'équipe de sécurité ou pensent-ils que collaborer avec elle leur fera perdre un temps précieux. Quelles que soient leurs motivations, les utilisateurs traditionalistes constituent une part importante de la culture organisationnelle et il convient donc de mettre en place un plan solide pour les cibler au mieux :
> La répétition et l'utilisation de canaux de communication au niveau de l'équipe sont essentielles. Si les traditionalistes reçoivent des mises à jour régulières sur les événements et le moment où ils se déroulent, ils ont la possibilité de se préparer et de faire part de leurs préoccupations avant le jour de la mise à niveau forcée.
Plutôt que de les inonder d'emails émanant de l'équipe de sécurité ou de personnes qu'ils ne connaissent pas, mieux vaut passer par leurs supérieurs directs pour transmettre les communications, y compris lors des réunions générales qui sont de bonnes opportunités pour aborder ces questions et sensibiliser.
> Dans la mesure du possible, la mise à jour de sécurité doit être intégrée dans les flux de travail existants. Les traditionalistes souhaitent simplement suivre le chemin qu'ils ont toujours emprunté. Il n'est pas toujours possible d'intégrer harmonieusement le déploiement de l'authentification multifacteur dans les flux de travail, mais lorsque ce sera le cas, les frictions causées par les traditionalistes et l'ensemble des utilisateurs seront beaucoup moins importantes.
Les utilisateurs prudents
Les utilisateurs prudents, contrairement à leurs collaborateurs traditionalistes, n'ignorent pas les appels à l'action et comprennent qu'une mise à niveau de la sécurité est prévue. Cependant, ils craignent que cela ne perturbe leur flux de travail ou peut-être ont-ils déjà vécu une mauvaise expérience avec le service d'assistance ou les mises à niveau de sécurité. Ils préfèrent alors éviter de la répéter. Il sera peut-être nécessaire de leur accorder plus d'attention car ils adoptent une approche attentiste plutôt que proactive, et les convaincre que la mise à jour doit avoir lieu :
> Toutes les méthodes de communication précédemment mentionnées s'appliquent aux utilisateurs prudents, mais il est utile de rendre l'intégration du flux de travail aussi imperceptible que possible.
> Rédiger une version des communications de base qui leur est spécialement destinée. Les utilisateurs prudents agiront éventuellement s'ils comprennent que l'intégration du flux de travail est indolore et que le changement apporté peut réellement améliorer leur routine quotidienne. Cette approche devrait également préciser les essais effectués pour les assurer que le changement n'aura pas d'effets indésirables pour eux.
> Proposer des ressources supplémentaires comme pour les perfectionnistes, notamment des sessions de formation en personne (ou par visioconférence), qui démontrent à quel point la transition sera facile.
> Dans le cas où quelques utilisateurs prudents espèrent encore que la mise à niveau disparaîtra d'elle-même, il est important de préciser que la mise à niveau de leur équipement ou de leur logiciel est assortie d'une date et d'une heure butoirs. En général, ce type d'échéance a pour effet de motiver les derniers récalcitrants, mais préparer son service d'assistance à un afflux d'utilisateurs de dernière minute est toutefois primordial.
La plupart de l'ensemble de ces tâches sont effectuées avant même le début d'un projet. Souvent, la réussite d'un projet de sécurité repose sur une confiance préalablement instaurée dans l'équipe de sécurité. En permettant aux collaborateurs de donner un visage humain à la requête, c'est-à-dire en les aidant à faire connaissance avec leur équipe de sécurité en personne ou lors d'une visioconférence, les entreprises peuvent gagner en efficacité lorsque les transitions difficiles ou les changements de flux de travail se produiront.
Dans les années à venir, à mesure qu'une part croissante du budget de l'entreprise sera consacrée aux mises à niveau nécessaires de la sécurité de l'authentification multifacteur, les équipes de sécurité devront formuler une stratégie qui leur permettra d'établir un lien avec tous les utilisateurs, et pas seulement avec ceux qui sont déjà engagés.
Sur le même thème
Voir tous les articles Cybersécurité