Google Cloud devrait rendre l’authentification multifacteur (MFA) obligatoire pour tous les utilisateurs d’ici 2025, une décision visant directement à renforcer la sécurité en réponse à l’escalade des cybermenaces. À partir de ce mois-ci, Google déploiera des rappels et des ressources, invitant les clients à adopter la MFA. Ce plan d’application progressif souligne une tendance plus large du secteur : en matière de sécurité, s’appuyer uniquement sur les mots de passe appartient au passé.
Pourquoi Google exige-t-il la MFA sur Google Cloud ?
La motivation derrière la poussée de Google en faveur de la MFA est claire. Les cyberattaques se multiplient et les mauvaises pratiques de sécurité sont au centre de ces attaques. Rien qu’en 2024, plus d’un milliard de dossiers ont été volés lors de diverses violations. Parmi ceux-ci, les incidents les plus marquants ont eu lieu chez Change Healthcare et Snowflake, où des données sensibles ont été exposées en raison d’informations d’identification compromises dépourvues de MFA. La décision de Google témoigne de la reconnaissance du fait que les risques liés à la cybersécurité ont dépassé les mesures de protection traditionnelles.
Mayank Upadhyay, vice-président de l’ingénierie de Google, disposé La position de Google est claire : « Étant donné la nature sensible des déploiements cloud – et avec le phishing et le vol d’informations d’identification restant l’un des principaux vecteurs d’attaque observés par notre équipe Mandiant Threat Intelligence – nous pensons qu’il est temps d’exiger 2SV pour tous les utilisateurs de Google Cloud. » En appliquant la MFA, Google augmente les enjeux en matière de sécurité des comptes, reflétant une mentalité selon laquelle la cyber-résilience nécessite désormais plus que de simples mots de passe forts.
Comment Google prévoit de déployer MFA pour les utilisateurs du cloud
Google n’actionne pas un interrupteur du jour au lendemain. Au lieu de cela, il déploie l’AMF obligatoire par étapes, donnant aux utilisateurs et aux entreprises le temps de s’adapter. Voici à quoi s’attendre dans chaque phase :
- Phase 1 (novembre 2024) – Encouragement à activer l’AMF :
Google a commencé à intégrer des rappels et des conseils dans la console Google Cloud, encourageant les utilisateurs à configurer volontairement MFA. Des ressources sont disponibles pour aider les équipes à planifier, effectuer des tests et garantir un déploiement MFA fluide. Cette phase pose les bases, sensibilise et accompagne les clients dans ce qui deviendra éventuellement une exigence.
- Phase 2 (début 2025) – MFA devient obligatoire pour les connexions par mot de passe :
Début 2025, Google commencera à exiger la MFA pour tous les utilisateurs de Google Cloud se connectant avec un mot de passe. Cette exigence s’étend aux plates-formes de Google telles que Firebase et gCloud, ce qui signifie que les utilisateurs doivent vérifier leur identité avec une deuxième méthode d’authentification, qu’il s’agisse d’une clé de sécurité, d’une authentification basée sur une application ou d’une vérification biométrique.
- Phase 3 (Fin 2025) – Extension de MFA aux utilisateurs fédérés :
D’ici fin 2025, le mandat MFA de Google atteindra les utilisateurs fédérés, c’est-à-dire ceux qui se connectent via des fournisseurs d’identité tiers. Cette phase garantit que quelle que soit la méthode de connexion, les comptes sur Google Cloud sont protégés par une couche de sécurité supplémentaire. Pour les organisations utilisant des fournisseurs d’identité, l’exigence MFA de Google ajoute une couche de défense supplémentaire et unifiée sur tous les points d’accès.
Le déploiement progressif donne aux utilisateurs la possibilité d’intégrer la MFA sans perturber les opérations, ce qui leur laisse le temps de former les équipes et d’assurer la conformité de leur flux de travail.
La décision de Google suit les tendances du secteur en matière de sécurité
Ce changement de Google s’aligne sur les récentes évolutions des géants du cloud comme AWS et Microsoft. AWS a commencé à appliquer la MFA en juin 2024, et Azure de Microsoft a rapidement emboîté le pas. Avec Google Cloud rejoignant la tendance, il est clair que l’industrie technologique se rassemble autour de la MFA comme nouvelle norme de sécurité dans le cloud. Pour les utilisateurs de Google Cloud, ce changement peut sembler attendu depuis longtemps, compte tenu de la vaste expérience de l’entreprise en matière d’innovations en matière de sécurité.
Si les comptes Google grand public proposent depuis longtemps une MFA facultative, les enjeux sont différents dans le monde de l’entreprise. Les comptes professionnels hébergent souvent des données critiques et sensibles, ce qui en fait des cibles privilégiées pour les cyberattaques. Conscient de ces risques élevés, Google trace une ligne en exigeant que les utilisateurs professionnels renforcent leurs comptes. Comme l’a observé Upadhyay : « Aujourd’hui, les utilisateurs adoptent largement la 2SV dans tous les services Google », mais étant donné le niveau d’accès et les données impliquées, l’application obligatoire était « inévitable ».
MFA : Qu’est-ce qui motive la pression en faveur d’une authentification plus forte ?
La poussée en faveur de la MFA découle d’une réalité que la plupart des gens et des entreprises connaissent déjà : les mots de passe ne suffisent pas. Alors que les cyberattaques deviennent de plus en plus avancées et ciblent les faiblesses de l’infrastructure numérique, la MFA s’est avérée être l’une des méthodes les plus efficaces pour empêcher les accès non autorisés.
Des études soulignent l’efficacité de la MFA. Selon la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, la MFA réduit de 99 % le risque de compromission des comptes. Il oblige les utilisateurs à confirmer leur identité avec une deuxième forme de vérification – une étape supplémentaire qui arrête souvent les attaquants qui ont déjà obtenu un mot de passe.
Les récentes violations de données ont servi de mises en garde. Par exemple, Snowflake a fait face à une brèche qui a divulgué des données privées de clients comme Maître des billetssoulignant à quel point le manque d’AMF rend vulnérables même les grandes organisations. Le mandat de Google vise à combler ces lacunes et à créer un précédent que d’autres pourront suivre.
Ce que cela signifie pour les utilisateurs de Google Cloud
Pour les entreprises et les particuliers qui comptent sur Google Cloud, la MFA obligatoire implique de prendre au sérieux les ajustements de sécurité. L’adoption précoce est encouragée, en particulier pour les entreprises gérant plusieurs comptes d’utilisateurs. Google fournit des ressources dans sa console Cloud, guidant les utilisateurs dans la configuration de la MFA, la planification du déploiement et la formation des équipes.
La bonne nouvelle est que les utilisateurs disposent d’options. Google Cloud permet une gamme de méthodes MFA, depuis les applications d’authentification et les codes SMS jusqu’aux clés de sécurité physiques. Les utilisateurs fédérés, quant à eux, peuvent travailler avec leurs principaux fournisseurs d’identité pour intégrer MFA, leur permettant ainsi de maintenir un processus de connexion rationalisé.
Le calendrier progressif offre un certain degré de flexibilité. Les organisations peuvent utiliser ce temps pour garantir que les politiques MFA sont à la fois conformes et pratiques, minimisant ainsi les perturbations. Les ressources de Google visent à faciliter cette transition, mais les organisations devraient commencer à se préparer dès maintenant pour éviter les obstacles de dernière minute.
Crédit image en vedette : Kerem Gülen/Milieu du voyage
