Google Cloud impose l'authentification multi-facteurs pour renforcer la sécurité des comptes

Dans un effort pour améliorer la sécurité des comptes, Google a annoncé qu'il imposera l'authentification multi-facteurs (MFA) obligatoire pour tous les utilisateurs de Google Cloud d'ici la fin de 2025. Actuellement, 70 % des utilisateurs de Google ont activé la MFA. Cette exigence s'appliquera à tous les utilisateurs de Google Cloud qui utilisent actuellement des mots de passe pour l'authentification ainsi qu'à tous les nouveaux utilisateurs, mais ne concernera pas les comptes Google grand public. La mise en œuvre se fera par étapes, à partir de ce mois-ci, avec l'objectif de rendre la MFA obligatoire pour tous les utilisateurs qui fédèrent l'authentification dans Google Cloud d'ici fin 2025.

La Phase 1, débutant ce mois-ci, consistera à informer les administrateurs de Google Cloud sur la préparation à cette transition. Cette phase vise à sensibiliser et à fournir des ressources pour planifier le déploiement et effectuer des tests. La Phase 2, prévue pour début 2025, exigera que tous les nouveaux utilisateurs et les utilisateurs existants de Google Cloud qui utilisent des mots de passe activent la MFA sur leurs comptes. Les notifications et les directives seront affichées dans Google Cloud Console, Firebase Console, gCloud, et d'autres plateformes.

La Phase 3, prévue pour la fin de 2025, obligera les utilisateurs qui fédèrent l'authentification dans Google Cloud à activer la MFA. Les utilisateurs pourront activer la MFA avec leur fournisseur d'identité principal avant d'accéder à Google Cloud ou ajouter une couche supplémentaire de MFA via le compte Google. Google a déclaré que des rappels utiles et des informations seront disponibles dans la console Google Cloud pour aider à sensibiliser, planifier le déploiement, effectuer des tests et activer la MFA de manière fluide pour les utilisateurs.

L'adoption de la MFA est l'une des recommandations clés de l'initiative "secure-by-design" de la Cybersecurity and Infrastructure Security Agency (CISA), et le passage à la MFA obligatoire se généralise dans l'industrie. En juillet, Snowflake a introduit une option permettant aux administrateurs d'imposer la MFA obligatoire pour tous les utilisateurs. Amazon a commencé à exiger la MFA obligatoire pour Amazon Web Services en juin, et Microsoft a annoncé son déploiement pour Microsoft Azure en août.

Bien que la CISA ait déclaré que la MFA réduit de 99 % les risques de piratage, il est important de se rappeler que la MFA n'est pas infaillible. "La MFA obligatoire est nécessaire mais insuffisante pour la sécurité des entreprises", déclare Jasson Casey, PDG de Beyond Identity. Les acteurs malveillants lancent de plus en plus d'opérations de phishing capables de contourner les MFA traditionnelles, ce qui pousse le NIST et la CISA à recommander l'adoption de MFA résistantes au phishing.

Source : Dark Reading