Pourquoi la 2FA est-elle (toujours) importante pour les services financiers ?

La cyberattaque massive qui a touché JP Morgan Chase a mis au jour la fragilité de l’infrastructure numérique des institutions financières. Dans le sillage de cette attaque historique, les pirates ont mis la main sur les informations personnelles de 76 millions de foyers et de 7 millions de petites entreprises. L’impact sur la réputation de la banque a été immense et immédiat. Au-delà des pertes financières directes, cette faille a ébranlé la confiance des clients dans l’ensemble du secteur.

La fuite de données de JP Morgan Chase n’était pourtant pas due à une technique de piratage sophistiquée ou inédite. Les attaquants sont simplement parvenus à accéder aux serveurs en utilisant des identifiants volés.

Aujourd’hui, le vol d’identifiants est toujours à l’origine des failles découlant d’attaques externes. Le problème n’a pas changé, et la solution reste la même : l’authentification à deux facteurs (2FA), qui garantit que les cybercriminels auront besoin de bien plus qu’un simple mot de passe pour accéder aux systèmes. Mesure de sécurité simple, mais puissante, la 2FA est une solution essentielle pour aider les entreprises du secteur de la finance à protéger leurs données sensibles, et plus important encore, à renforcer la confiance de leurs clients.

Le secteur des services financiers se trouve au premier plan d’un panorama des cybermenaces en mutation rapide. Les institutions financières regorgent de données à caractère personnel et d’informations financières sensibles, ce qui en fait des cibles de choix pour les cybercriminels, armés d’un arsenal toujours plus étendu de techniques d’attaques sophistiquées. Le secteur fait aujourd’hui face à un nouveau danger, à l’heure où les menaces gagnent en complexité. Les mesures de sécurité doivent elles aussi se fortifier pour s’adapter et répondre efficacement à ces problèmes.

L’authentification à deux facteurs pour le secteur de la finance est une mesure de défense stratégique. Pourquoi ?

La plupart des cyberattaques (à l’exception des attaques ciblant le périmètre) requièrent un certain niveau d’accès, avec le processus de connexion comme point d’origine : sans connexion, pas d’accès, et pas d’attaque.

Une simple combinaison nom d’utilisateur/mot de passe ne suffit plus. La 2FA exige une information supplémentaire pour vérifier l’identité des utilisateurs. Il peut s’agir de :

• Quelque chose que l’on connaît : c’est la forme d’authentification traditionnelle, qui prend la forme d’un mot de passe ou d’un code PIN.

• Quelque chose que l’on possède : ce type d’authentification à deux facteurs inclut les jetons physiques ou les cartes à puce. Par exemple, une banque peut fournir un jeton qui génère un nouveau code toutes les 30 secondes. Il est également possible d’envoyer au moment de la connexion un SMS sur le numéro de mobile que vous avez enregistré.

• Quelque chose que l’on est : cette méthode couvre les données biométriques, comme les empreintes digitales, la reconnaissance faciale ou la reconnaissance de l’iris.

• Un lieu où l’on se trouve : cette méthode s’appuie sur votre emplacement géographique. Par exemple, en comparant l’emplacement autorisé de l’utilisateur avec son emplacement de connexion réel.

• Quelque chose que l’on fait : cette méthode inclut les schémas, ou encore la façon d’interagir avec un écran tactile.

Essentiellement, chaque facteur offre aux utilisateurs un moyen supplémentaire et différent de valider leur identité. La combinaison de deux facteurs étagés renforce ainsi la posture globale de sécurité de l’organisation. (Microsoft estime même que la MFA permettrait d’éviter 99,9 % des attaques ciblant vos comptes.)

La 2FA est fondamentale pour les institutions financières pour quatre raisons clés :

Là encore, l’explication est logique : l’argent attire les convoitises. Dans tous les secteurs, une motivation principale de la plupart des acteurs malveillants reste le gain financier.

Par ailleurs, après le secteur de la santé, les fuites de données qui se produisent dans les institutions financières comptent parmi les plus coûteuses. Et le coût s’étend bien au-delà des pertes financières immédiates : une faille peut avoir un impact considérable sur la réputation de l’entreprise, la confiance des clients et la valeur de l’action.

Différents types de cyberattaques, dont le phishing, le vol d’identifiants et les ransomwares, nécessitent tous un certain niveau d’accès. C’est là que la 2FA prend toute sa mesure. Même si les pirates parviennent à compromettre des identifiants, la 2FA stoppe l’attaque avant qu’elle ne puisse causer des dégâts.

Enfin, les obligations de conformité insistent elles aussi de plus en plus souvent sur l’importance vitale de la protection du processus de connexion.

Conséquence : la 2FA est aujourd’hui fréquemment exigée par les instances réglementaires et les standards de conformité. Les instances réglementaires du monde entier durcissent leurs règles concernant l’accès aux données financières, et les amendes en cas de non-conformité peuvent être lourdes. En outre, le monde des assurances cyber risques reconnaît lui aussi la valeur de l’authentification multifacteur (MFA), et l’impose fréquemment dans ses conditions de prise en charge.

Quelles sont les exigences essentielles de 2FA pour la conformité des services financiers ?

Nous passons en revue ci-dessous différents standards de conformité destinés aux institutions financières et leur position vis-à-vis de la 2FA.

La directive sur la sécurité des réseaux et des systèmes d’information (NIS2) vise à renforcer la cybersécurité des entités critiques et essentielles en Europe. Elle impose des exigences accrues en matière de gestion des risques, de réponse aux incidents et de sécurité opérationnelle. L’authentification multifacteur (MFA) y est fortement recommandée, voire exigée, comme mesure clé pour protéger l’accès aux systèmes sensibles et prévenir les compromissions. En renforçant les contrôles d’accès, la MFA permet de réduire considérablement les risques d’intrusion, notamment via des attaques par phishing ou des vols d’identifiants.

La directive sur les services de paiement (DSP2) impacte tout l’écosystème du paiement en ligne en Europe, ainsi que l’accès aux comptes bancaires. Avec un objectif de renforcer la confiance des consommateurs dans les achats en ligne, elle applique des normes de sécurité plus strictes. Elle oblige l’authentification forte pour la consultation des comptes et les opérations de paiement électronique. En France, l’authentification forte est obligatoire dès 30 euros d’achat en ligne.

La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) consiste en un ensemble de directives visant à protéger les informations des titulaires de cartes et à éviter toute fuite de données. Établie par plusieurs grandes entreprises émettrices de cartes de crédit, cette norme s’applique à toutes les organisations qui gèrent les données des titulaires de cartes.

Le règlement général sur la protection des données (RGPD) a pour objet de protéger les données à caractère personnel des individus. Le RGPD impose des standards de confidentialité stricts ; il affirme le droit de chacun à la protection de la vie privée et répond à la perméabilité grandissante de la frontière entre vie publique et vie privée dans le monde actuel. Même si le RGPD n’exige pas explicitement la MFA, cette dernière aide considérablement les entreprises à satisfaire aux exigences du RGPD.