Authentification : Guide ISAC Santé pour les RSSI

Une plongée plus approfondie dans le Framework, en commençant par l’authentification.

Déclaration de portée

MFA. OTP. FIDO. SMS. PKI. Tous ces acronymes peuvent vous faire dire « Oh mon Dieu ! », mais ils sont tous importants à comprendre lorsqu’il s’agit de gérer l’authentification. Il est aujourd’hui inhabituel qu’une faille majeure se produise et que les systèmes d’authentification compromis ne jouent aucun rôle. L’authentification multifacteur (MFA) est essentielle pour stopper les attaques, mais comme nous le détaillerons dans cet article, toutes les MFA ne se valent pas et les attaquants rattrapent certains outils MFA de première génération. Les RSSI du secteur de la santé doivent garder une longueur d’avance.

Il s'agit du troisième volet de la série continue du H-ISAC visant à aider les RSSI à mettre en œuvre une approche centrée sur l'identité en matière de cybersécurité. Notre premier article, Identité pour le RSSI qui ne prête pas encore attention à l'identité, a expliqué pourquoi l'identité est importante. Nous avons poursuivi avec Un cadre H-ISAC pour la gestion des identités par les RSSI, décrivant comment les RSSI peuvent mettre en œuvre une approche globale de la sécurité centrée sur l'identité qui protégera contre les attaques modernes et soutiendra les principaux moteurs de l'entreprise.

Nous allons maintenant nous pencher plus en profondeur sur les différents aspects de ce cadre, en commençant par l’authentification. La plupart des professionnels de la cybersécurité savent que l’authentification est importante, mais beaucoup ne comprennent pas les différences entre les différents outils d’authentification ni la meilleure façon de la mettre en œuvre dans leur organisation. Ce document a été rédigé pour répondre à ces questions et comprend deux études de cas détaillant la manière dont différentes organisations de santé ont mis en œuvre une authentification forte.

Points clés à retenir

1. Les mots de passe seuls offrent une sécurité minimale ; l’authentification multifacteur est essentielle.
2. Toutes les MFA ne se valent pas. Les pirates ont trouvé des moyens de pirater des technologies d'authentification telles que les mots de passe à usage unique (OTP) qui reposent sur des « secrets partagés ». Dans la mesure du possible, utilisez des outils hautement sécurisés et résistants au phishing tels que FIDO ou l'infrastructure à clés publiques (PKI).
3. La facilité d'utilisation est importante. Les implémentations MFA sont difficiles si elles dégradent l'expérience utilisateur. Les solutions MFA modernes offrent des processus d'authentification simplifiés qui sont plus faciles à utiliser que les mots de passe.
4. Dans la mesure du possible, passez d'une MFA statique à une approche multicouche qui intègre la signature

Livre blanc sur l'authentification H ISAC
Taille: 7.6 MB Format: PDF

• Ressources et actualités connexes
• 30 cyberattaques récentes et leurs enseignements sur l'avenir de la cybersécurité
• Le mythe de Claude et ses implications pour le secteur de la santé
• Santé-Piratage du système de santé par l'ISAC 5/11/2026
• Guide du RSSI, volume 2 : Vulnérabilité du jeton 0Auth à l’origine de la faille de sécurité chez Salesforce
• Newsletter mensuelle – Mai 2026
• Analyse trimestrielle des menaces – T1 2026
• Ce que l'attaque Stryker révèle sur la sécurité des dispositifs médicaux
• Politiques et garanties pour une utilisation sûre de l'IA
• HSCC dévoile un guide sur les risques liés à l'IA tierce et la transparence de la chaîne d'approvisionnement
• Anthropic dévoile un dieu informatique magique 0-Day