Mesures essentielles d'authentification de huit : Dernière mise à jour de l'Australian Signals Directorate (ASD)

Frederik Mennes,

Dans un contexte de menaces en constante évolution, il est primordial de garder une longueur d'avance sur les cybercriminels. L'Australian Signals Directorate (ASD) est en première ligne pour aider les organisations australiennes à renforcer leur position en matière de cybersécurité. L'une de ses initiatives phares, Essential Eight, a récemment été mise à jour pour tenir compte de la nature dynamique des cybermenaces.

Dans ce blog, nous explorons l'importance de l'Essential Eight et les principales mises à jour introduites par l'ASD en novembre 2023, en mettant l'accent sur les nouvelles exigences dans le domaine de l'authentification multifactorielle (MFA).

Les huit éléments essentiels : Stratégies et niveaux de maturité

L'Essential 8 est un ensemble de stratégies recommandées par l'ASD pour atténuer les cybermenaces. Introduites pour la première fois en 2017 par le Centre australien de cybersécurité (ACSC), ces stratégies offrent un cadre de cybersécurité solide pour améliorer la résilience d'une organisation face à une variété de cyberrisques.

L'Essential Eight comprend des mesures pratiques et efficaces qui, lorsqu'elles sont mises en œuvre, visent à réduire considérablement le risque d'une cyberattaque réussie.

Les stratégies d'atténuation, les contrôles de sécurité et les contrôles techniques qui constituent les huit éléments essentiels sont les suivants :

  1. Mise à jour des applications : En règle générale, mettez régulièrement à jour et corrigez les applications afin de remédier aux vulnérabilités et d'empêcher leur exploitation.
  2. Mise à jour des systèmes d'exploitation : Veillez à ce que les systèmes d'exploitation soient dotés des derniers correctifs de sécurité afin d'empêcher l'exploitation des vulnérabilités.
  3. Authentification multifactorielle : Mettez en œuvre l'authentification multifactorielle pour ajouter une couche de sécurité supplémentaire à l'authentification des utilisateurs.
  4. Restreindre les privilèges administratifs : Limitez le nombre de comptes disposant de privilèges administratifs afin de minimiser l'impact potentiel d'informations d'identification compromises.
  5. Contrôle des applications : Empêchez l'exécution de codes et de programmes non approuvés/malveillants, y compris .exe, DLL, scripts (par exemple Windows Script Host, PowerShell et applications HTML) et installateurs.
  6. Limitation des macros Microsoft Office : Gérez et contrôlez les paramètres des macros Microsoft Office afin de réduire le risque de logiciels malveillants basés sur des macros.
  7. Durcissement des applications utilisateur : Configurez les navigateurs web et les systèmes de messagerie pour bloquer les contenus malveillants.
  8. Sauvegardes quotidiennes : Donnez la priorité aux sauvegardes régulières des données importantes et veillez à ce que les sauvegardes soient isolées du réseau afin d'atténuer l'impact de la perte de données.

Pour aider les organisations australiennes à adopter les huit éléments essentiels, un cadre composé de quatre niveaux de maturité (allant du niveau de maturité zéro au niveau de maturité trois) a été établi. Ces niveaux permettent d'évaluer la capacité d'une organisation à contrer des niveaux croissants de savoir-faire malveillant (outils, tactiques, techniques et procédures). Il est essentiel que les organisations évaluent le niveau auquel elles souhaitent atténuer ces menaces.

En général, le niveau de maturité 1 peut convenir aux petites et moyennes entreprises, le niveau de maturité 2 aux grandes entreprises et le niveau de maturité 3 aux fournisseurs d'infrastructures critiques et aux autres organisations qui opèrent dans des environnements où les menaces sont élevées.

Modifications de l'authentification multifactorielle

En novembre 2023, l'Australian Signals Directorate (ASD) a publié une mise à jour de son modèle de maturité Essential Eight. Cette mise à jour a coïncidé avec la publication par le gouvernement australien de la stratégie australienne de cybersécurité 2023-2030, qui vise à faire de l'Australie un leader mondial en matière de cybersécurité et de maturité de la sécurité d'ici 2030.

Les changements les plus importants liés à l'authentification multifactorielle sont les suivants :

  1. Normalisation des facteurs d'authentification : Dans la version précédente du modèle de maturité Essential Eight, le niveau de maturité 1 ne précisait pas les types de facteurs d'authentification pour l'AMF, ce qui a conduit à l'adoption de formes potentiellement plus faibles, telles que les questions de sécurité, qui ne sont généralement pas reconnues comme des facteurs d'authentification valides. La mise à jour de novembre 2023 remédie à ce problème en introduisant une norme minimale exigeant "quelque chose que les utilisateurs ont" en plus de "quelque chose que les utilisateurs savent", s'alignant ainsi sur les facteurs d'authentification reconnus.
  2. MFA pour les portails web : Les organisations australiennes sont désormais tenues d'imposer l'utilisation de l'AFM pour protéger les portails web stockant des données sensibles sur les clients. Cet amendement vise à renforcer la sécurité et à minimiser les incidents de cybersécurité tels que les violations de données en décourageant l'utilisation d'une authentification par mot de passe faible, en particulier pour les services en ligne qui traitent des données personnelles, de santé ou liées à l'identité. En outre, une approche consistant à offrir l'option d'une MFA résistante à l'hameçonnage aux clients ayant des niveaux de maturité inférieurs, tout en exigeant son utilisation pour les clients ayant des niveaux de maturité supérieurs, a également été adoptée. Ce changement concerne les niveaux de maturité 1 à 3.
  3. Adoption d'une AMF résistante à l'hameçonnage : en réponse à l'augmentation des attaques contre des implémentations d'AMF plus faibles, à la montée en puissance de normes internationales telles que FIDO2/WebAuthn, ainsi qu'aux changements de politique cybernétique des partenaires internationaux de la DSA (par exemple, le gouvernement américain), les exigences en matière d'AMF ont été renforcées pour exiger l'utilisation d'une AMF résistante à l'hameçonnage par les organisations d'un niveau de maturité moins élevé. Cela a une incidence sur le niveau de maturité deux.
  4. Authentification des postes de travail : Un ajout important est l'obligation pour les utilisateurs de s'authentifier sur leur poste de travail en utilisant une forme d'AMF résistante au phishing, telle que des clés de sécurité, des cartes à puce ou Windows Hello for Business. Cette exigence s'applique aussi bien au niveau de maturité 2 qu'au niveau de maturité 3.

L'authentification résistante au phishing est l'une des stratégies clés pour renforcer la cybersécurité

Des tendances similaires sont observées dans d'autres régions du monde. Aux États-Unis, le décret 14028 de la Maison Blanche de mai 2021 oblige les agences du gouvernement fédéral américain et leurs fournisseurs à utiliser l'authentification multifactorielle (MFA). Publié moins d'un an plus tard, le mémorandum M-22-09 du Bureau de la gestion et du budget (OMB) de la Maison Blanche exige que les agences gouvernementales américaines utilisent une MFA résistante à l'hameçonnage pour leur personnel.

De même, en Europe, la directive révisée sur la sécurité des réseaux et de l'information (NIS2) exige que les organisations des secteurs critiques considèrent l'authentification forte comme un facteur clé pour atténuer les risques de cybersécurité. Dans le secteur des services financiers, la prochaine réglementation sur les services de paiement (PSR) pourrait entraîner de nouvelles exigences en matière d'authentification. Nous garderons l'œil ouvert pour voir si les normes techniques réglementaires de la PSR feront référence à l'authentification résistante à l'hameçonnage.

Conclusion

La mise à jour du modèle de maturité Essential Eight place l'authentification multifactorielle, et en particulier l'authentification résistante au phishing, au premier plan des mesures de cybersécurité, soulignant ainsi son importance dans l'atténuation d'un large éventail de cybermenaces et dans la lutte contre la cybercriminalité.

OneSpan salue l'initiative de l'Australian Signals Directorate qui a choisi d'utiliser l'AMF résistante au phishing pour mieux protéger ses organisations et ses citoyens contre les cybermenaces et pour améliorer la cyberrésilience.

Pour plus d'informations sur les huit éléments essentiels de l'ASD, cliquez ici.
Pour en savoir plus sur les produits d'authentification résistants au phishing de OneSpan, cliquez ici.

Dispositif Digipass FX1 BIO

DIGIPASS FX1 BIO : Authentification sans mot de passe, résistante au phishing, pour un personnel sécurisé

Protégez votre personnel et protégez les données et les applications contre les attaques grâce à notre dernier authentificateur FIDO avec lecteur d'empreintes digitales.

En savoir plus

Frederik dirige le Security Competence Center de OneSpan, où il est responsable des aspects de sécurité des produits et de l'infrastructure de OneSpan. Il possède une connaissance approfondie des technologies d'authentification, de gestion des identités, de réglementation et de sécurité pour les applications cloud et mobiles.