Lors d’incidents, force est souvent de constater que la 2FA n’est pas prévue pour tout le monde. Récemment encore, des données ont été volées en masse parce que des administrateurs IT avaient mis en place un VPN séparé sans aucune 2FA vers des serveurs, alors que tous les autres employés y étaient soumis. Une prise de conscience et un contrôle de la part de la direction sont donc nécessaires.
2FA: simple, efficace, mais encore trop peu utilisée
La vérification en deux étapes offre une deuxième couche de sécurité en plus du mot de passe traditionnel. Même si ce mot de passe tombe entre de mauvaises mains, l’accès au système reste bloqué sans le deuxième moyen d’authentification (tel qu’une application ou un jeton d’accès (token) ). Pourtant, sa mise en œuvre reste à la traîne par rapport à d’autres mesures de base:
- Logiciels antivirus: 89,6 %
- Sauvegardes: 86,4 %
- Protection par pare-feu: 77 %
- Authentification à deux facteurs : 46,4%
Il est faux de penser que cela n’a pas beaucoup d’importance ! La 2FA n’est pas une garantie absolue, mais elle fait une énorme différence. Plus de 80% des incidents actuels auraient pu être évités grâce à la mise en œuvre correcte de cette mesure unique et essentielle.
De la prise de conscience à l’action
La mise en œuvre de la 2FA n’est ni complexe ni coûteuse. De nombreuses applications et services cloud populaires proposent cette option par défaut. Les organisations qui n’ont pas encore mis en place la 2FA courent un risque inutile. Le CCB invite donc les entreprises à:
- introduire obligatoirement la 2FA sur tous les comptes accessibles de l’extérieur, en particulier pour les e-mails, les plateformes cloud, les VPN et les interfaces d’administration.
- utiliser nos CyberFondamentaux pour une cyberdéfense solide
- Sensibiliser activement les employés à la sécurité des connexions.
Pour plus d’informations, des guides pratiques et de l’aide, les entreprises peuvent consulter le site ccb.belgium.be
Sources
- Enquête menée auprès de 250 entreprises belges par le Centre pour la cybersécurité Belgique, juillet 2025
- Safeonweb AT Work
