Pourquoi les start-ups en phase de démarrage doivent utiliser l'authentification multifactorielle

Chaque start-up est unique : il n'existe pas de liste universelle de tâches adaptée à toutes les entreprises. Mais, quelle que soit la nature de votre entreprise, la sécurité revêt toujours une importance primordiale et doit être l'une des toutes premières préoccupations à résoudre. Après tout, pour la plupart des start-ups, votre ressource la plus précieuse est constituée de vos données (idées, charges de travail et applications) et vous devez les protéger. Nous disons souvent aux start-ups de faire beaucoup d'erreurs, mais pas des erreurs fatales. Une faille de sécurité peut être fatale.

Bien qu'il n'existe aucun moyen de protéger vos données à 100 %, la seule chose que vous devez absolument faire est d'utiliser l'authentification multifactorielle (MFA) pour sécuriser vos comptes. La MFA est une méthode d'authentification qui oblige l'utilisateur à fournir au moins deux facteurs de vérification pour accéder à une ressource. Les start-ups évoluent parfois si vite qu'elles ne prennent pas le temps de configurer la MFA. Cependant, nous vous recommandons vivement de la configurer pour protéger les ressources AWS si tel n'est pas encore le cas.

Risques liés au DÉFAUT de configuration de la MFA

• Vulnérabilité : un seul mot de passe ne suffit pas, quelle que soit sa complexité. Les pirates informatiques ont des moyens de déchiffrer les mots de passe.
• Non-conformité : la MFA peut être un élément obligatoire des normes de conformité.
• Réputation de votre entreprise : vous ne voulez pas avoir à répondre aux questions de vos clients sur les raisons pour lesquelles vous ne disposez pas de protocoles de sécurité suffisants pour protéger à la fois votre entreprise et leurs données personnelles.

MFA sur AWS

La MFA fournit un niveau de sécurité supplémentaire, car elle oblige les utilisateurs à fournir une authentification unique à partir d'un mécanisme MFA pris en charge par AWS, en plus de leurs informations d'identification habituelles (nom d'utilisateur et mot de passe) lors de l'accès aux sites Web ou aux services AWS, ainsi qu'à ne pas partager leurs mots de passe. Les clients peuvent activer la MFA pour l'utilisateur root et les utilisateurs IAM de leur compte AWS. Lorsque vous activez la MFA pour l'utilisateur root, cela n'affecte que ses informations d'identification. Les utilisateurs IAM du compte sont des identités distinctes dotées de leurs propres informations d'identification, et chaque identité possède sa propre configuration MFA.

Types de MFA

AWS prend en charge trois types de dispositifs MFA : les dispositifs MFA virtuels, les clés de sécurité U2F et les dispositifs MFA matériels. Les dispositifs MFA virtuels sont des applications logicielles, généralement exécutées sur un appareil mobile, qui génèrent des codes d'authentification uniques sécurisés utilisés dans le cadre du processus de connexion. Les clés de sécurité U2F et les dispositifs MFA matériels sont des appareils physiques nécessaires pour accéder aux comptes auxquels ils sont associés. Ces appareils physiques sont considérés comme les options les plus sûres pour la MFA, et ils peuvent être stockés dans un coffre-fort pour plus de sécurité. Bien que les dispositifs MFA virtuels puissent être plus pratiques en raison de la compatibilité avec les téléphones mobiles et constituent une bonne option dans la plupart des cas, ils sont considérés comme moins sécurisés que les appareils physiques. À tout le moins, nous vous recommandons d'utiliser un dispositif MFA virtuel en attendant l'approbation de l'achat de matériel ou son arrivée.

Vous pouvez également consulter le guide de l'utilisateur de Gestion des identités et des accès AWS pour plus d'informations sur l'utilisation de la MFA.

En raison de la grande importance de la MFA, AWS fournit également un dispositif MFA gratuitement aux titulaires de comptes éligibles. Vous pourrez utiliser des dispositifs MFA pour accéder en toute sécurité à plusieurs comptes AWS, ainsi qu'à d'autres applications utilisant des jetons. Vous pouvez en savoir plus sur nos initiatives de sécurité ici.

Lancez-vous

Félicitations si vous avez déjà configuré l'authentification multifactorielle au sein de votre start-up. Vous avez une longueur d'avance ! Toutefois, si votre utilisation de la MFA présente des lacunes, le moment est venu de la configurer.

Suivez ces étapes pour configurer la MFA en quelques minutes.

Tout d'abord, connectez-vous à la console de gestion AWS et ouvrez la console IAM. Choisissez un utilisateur, puis cliquez sur l'onglet Informations d'identification de sécurité. Cliquez sur le bouton Gérer à côté de Dispositif MFA attribué.

Dans l'assistant de gestion des dispositifs MFA, choisissez le type de dispositif MFA. Dans cet exemple, nous vous montrerons comment configurer un dispositif MFA virtuel. Vous pouvez installer une application mobile conforme à la norme RFC 6238, un algorithme TOTP (mot de passe à usage unique à durée limitée) basé sur des normes, comme Authy, Duo Mobile et LastPass Authenticator. Ces applications génèrent un code d'authentification à six chiffres.

Cliquez sur Continuer, et sur la page suivante, IAM génère et affiche les informations de configuration du dispositif MFA virtuel, y compris un graphique de code QR. Le graphique est une représentation de la « clé de configuration secrète » disponible pour une saisie manuelle sur les appareils qui ne prennent pas en charge les codes QR.

Vérifiez si l'application MFA prend en charge les codes QR, puis effectuez l'une des opérations suivantes :

Dans l'assistant, choisissez Afficher le code QR, puis utilisez l'application pour scanner le code QR. Par exemple, vous pouvez choisir l'icône de l'appareil photo ou une option de scan de code similaire, puis utiliser l'appareil photo de l'appareil pour scanner le code.

Choisissez Afficher la clé secrète, puis saisissez la clé secrète dans votre application MFA.

À la fin, le dispositif MFA virtuel commence à générer des mots de passe à usage unique. Dans l'assistant de gestion du dispositif MFA, dans le champ MFA code 1 (Code MFA 1), saisissez le mot de passe à usage unique qui apparaît actuellement sur le dispositif MFA virtuel. Vous devez ensuite attendre jusqu'à 30 secondes pour que le dispositif génère un nouveau mot de passe à usage unique. Saisissez le deuxième mot de passe à usage unique dans le champ MFA Code 2 (Code MFA 2). Cliquez sur Attribuer une MFA.

Vous y êtes ! Vous pouvez consulter les informations relatives au dispositif MFA attribué sous l'onglet Informations d'identification de sécurité utilisateur. Si vous utilisez une clé de sécurité U2F ou un dispositif MFA matériel, la configuration sera très similaire. Vous obtenez le code à partir de la clé de sécurité ou du dispositif matériel plutôt que d'une application mobile. La prochaine fois que vous vous connecterez, vous utiliserez vos informations d'identification habituelles ainsi qu'un mot de passe MFA. Tout continuera de fonctionner comme avant. Il s'agit d'une étape simple et importante pour protéger votre compte.

En outre, il est tout aussi essentiel de mettre en œuvre ces mesures sur vos autres plateformes ainsi que dans votre vie personnelle. Après tout, si des pirates informatiques peuvent accéder à vos propres ressources numériques, cela pourrait constituer une passerelle vers l'exploitation de celles de votre entreprise. Les start-ups sont particulièrement vulnérables à cet égard, car au début, les ressources personnelles et celles de l'entreprise se chevauchent et s'entremêlent souvent de manière à la fois compréhensible et inattendue.

Les start-ups considèrent souvent la focalisation sur la sécurité comme un obstacle. Mais la mise en place d'une MFA est une étape essentielle de la croissance de votre entreprise, qui protégera vos ressources les plus précieuses et vous permettra de poursuivre votre réussite.