Les entreprises les plus ciblées par les cyberattaques adoptent le MFA résistant au phishing

Les recherches menées par Okta Security ont montré que les entreprises ciblées par des cybercriminels prolifiques adoptent presque systématiquement des méthodes résistantes au phishing pour leurs inscriptions utilisateurs. Au vu de leur coût réduit et de leur relative simplicité d’implémentation, pourquoi attendre d’être la cible d’une attaque avant d’appliquer des authentificateurs plus forts ?

D’après une étude d’Okta, si le taux de croissance de l’adoption du MFA connaît un ralentissement, l’utilisation de méthodes MFA résistantes au phishing telles qu’Okta FastPass et FIDO2 est en plein essor.

Globalement, les clients Okta adoptent avec enthousiasme l’authentification multifacteur (MFA). En janvier 2024, le rapport Okta The Secure Sign-In Trends Report 2024 a révélé que 91 % des administrateurs Okta et 66 % des utilisateurs professionnels Okta employaient le MFA pour se connecter à leurs applications. 

Dans la sphère de l’identité collaborateurs, toujours selon ce rapport, le facteur à plus forte croissance était Okta FastPass, qui est passé de 2 % en 2023 à 6 % en 2024 pour tous les utilisateurs Okta, et de 5 % à 13 % pour les administrateurs Okta au cours de l’année écoulée. Ce sont des millions d’utilisateurs qui profitent désormais d’une authentification sans mot de passe. Plus de 5 % des utilisateurs sur la plateforme Okta se sont connectés plusieurs fois à l’aide d’authentificateurs passwordless et résistants au phishing, sans jamais devoir saisir le moindre mot de passe !

Les conclusions de nos recherches suggèrent qu’en matière de MFA, les entreprises connaissent une sécurité à deux vitesses. Pourquoi un grand nombre de clients adoptent-ils la résistance au phishing pour l’ensemble des utilisateurs, tandis que la vaste majorité des entreprises continuent à utiliser des mots de passe et des codes à usage unique ?

Cette année, Okta Security a pris part à une étude visant à identifier les raisons pour lesquelles FastPass et FIDO2 connaissent une croissance beaucoup plus rapide que n’importe quelle autre méthode de connexion. 

Nous savons d’expérience que ces méthodes de connexion sont plus pratiques pour les utilisateurs : FastPass peut être configuré pour proposer un facteur de possession et d’inhérence en moins de 4 secondes, ce qui est nettement plus rapide que la combinaison de mots de passe et de codes à usage unique. Nous savons également que de nombreux organismes de réglementation et de conseil, comme la CISA (Cyber Security and Infrastructure Security Agency) et l’ACSC (Australian Cyber Security Centre), recommandent désormais l’adoption d’un MFA résistant au phishing pour les entreprises qui souhaitent démontrer leur engagement à établir un programme de sécurité mature.

Okta Security a pour intention de déterminer si l’exposition à un grand nombre de cyberattaques peut également jouer un rôle dans la hausse de l’adoption de facteurs résistants au phishing. Okta est idéalement placé pour offrir cette visibilité, pour diverses raisons :

• Nous disposons d’une base de référence solide grâce à plusieurs années de collecte de données anonymisées sur les taux d’adoption du MFA pour l’ensemble du service Okta Workforce Identity Cloud, dont les résultats sont publiés chaque année dans le rapport Okta « The Secure Sign-In Trends Report ».
• Nous disposons de méthodes fiables pour regrouper et attribuer la responsabilité de campagnes de phishing à des attaquants spécifiques. Chaque jour, Okta Security avertit de nombreux clients de l’existence d’infrastructures de phishing imitant leur page de connexion. Nous avons envoyé des milliers d’alertes, dont près de 600 ces trois derniers mois.

Forts de ces données, nous pouvons analyser un groupe statistiquement significatif de clients dont nous savons qu’ils ont été ciblés par un cybercriminel spécifique, et comparer les taux d’utilisation des authentificateurs résistants au phishing lors de l’inscription utilisateur, respectivement avant et après la première attaque. Nous pouvons également comparer ces taux aux taux d’adoption observés pour l’ensemble du service Okta Workforce Identity Cloud. Notre hypothèse de départ était que les entreprises les plus souvent attaquées et aguerries choisiraient des authentificateurs plus forts au fil du temps. 

Dans le cadre de notre étude, nous avons choisi de nous concentrer sur Scatter Swine. Scatter Swine est le nom attribué en 2022 par Okta à un acteur malveillant prolifique et à un groupe d’individus baptisés par d’autres organisations du nom de Scattered Spider, Muddled Libra ou Octo Tempest. Ces cybercriminels lancent un feu nourri d’attaques dirigées contre une cible déterminée, enregistrant souvent plusieurs domaines et visant des dizaines, voire des centaines de collaborateurs par des messages de phishing par SMS.

Dans le cadre de notre étude, nous nous sommes intéressés à 35 entreprises dont il est établi qu’elles ont été ciblées par ce groupe entre 2022 et début 2024. Nous avons comparé le taux d’adoption de facteurs résistants au phishing antérieur au jour où elles ont été averties pour la première fois par Okta d’une attaque imminente, à ce même taux enregistré en mars 2024.

Les résultats

Notre hypothèse était en grande partie correcte.

Le taux d’adoption médian des facteurs résistants au phishing dans ces entreprises était déjà de 23 %, soit le double de celui du client Okta moyen. Bon nombre de ces entreprises étaient des entreprises technologiques modernes qui, de manière générale, ont tendance à appliquer des critères de sécurité plus stricts que la moyenne.

Une fois que ces entreprises ont pris conscience d’être activement ciblées, le taux d’adoption médian de ces authentificateurs forts a bondi de 23 % à 95 %. La grande majorité est passée de la protection d’une poignée d’utilisateurs à privilèges avec l’authentification FIDO2, à l’emploi de plusieurs authentificateurs résistants au phishing pour tous les utilisateurs. Dans de nombreuses entreprises, des clés de sécurité matérielles FIDO2 ont été conservées comme clés de récupération même lorsque l’entreprise a inscrit 100 % de ses utilisateurs au service Okta FastPass.

Quels autres critères démarquent ces entreprises hautement ciblées de leurs pairs ?

• Elles sont bien plus susceptibles d’ingérer leurs logs d’authentification en temps réel grâce au log streaming, ce qui suggère qu’elles appliquent une surveillance active de ces données télémétriques.
• Elles sont nettement plus susceptibles d’automatiser leurs processus d’identité, avec un nombre d’automatisations no-code Okta Workflows supérieur à moyenne.
• Elles sont plus susceptibles d’activer les protections de base disponibles dans Okta, comme ThreatInsight (qui prévient les attaques volumétriques). 

Pourquoi attendre d’être la cible d’une attaque avant d’agir ? Les attaquants ont désormais accès à des outils capables de contourner les formes les plus élémentaires du MFA, qui leur sont fournis par d’autres cybercriminels sous forme de service, ce qui augmente le volume et l’efficacité des campagnes de phishing. 

Dans ce contexte, nous estimons que toutes les entreprises se doivent d’adopter une authentification résistante au phishing. Nos recherches suggèrent qu’une authentification sans mot de passe et résistante au phishing peut être déployée rapidement, et qu’elle favorise une réduction immédiate des risques. 

Le meilleur retour que nous recevons de nos clients est qu’après avoir mis en place une authentification résistante au phishing, ils ne se préoccupent plus de catégories entières d’attaques.

Pour en savoir plus sur les méthodes, tactiques et cibles de phishing courantes et découvrir comment détecter et prévenir les attaques, consultez notre guide ultime de la prévention du phishing.