Google s’engage à faire de l’authentification multifacteur un pilier central de sa stratégie de cybersécurité pour les consommateurs et les entreprises, les clés d’accès étant l’un de ses principaux outils pour renforcer la sécurité des comptes. L’agence de cybersécurité du ministère de la Sécurité intérieure approuve sûrement, car les engagements de Google suivent à la fois ses directives récentes et récemment publiées.

Le géant de la technologie a énuméré sept façons dont il met en œuvre le Secure by Design Pledge. L’engagement a été formulé par l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) plus tôt cette année, et Google est l’un des plus de 200 signataires, selon l’agence. article de blog.

Un livre blanc décrivant «Un aperçu de l’engagement de Google en faveur de la sécurité dès la conception» apporte des précisions.

La MFA occupe une place importante parmi les mesures de Google, notamment son évolution vers des mots de passe pour l’authentification sans mot de passe. Les mots de passe par défaut ne sont pas traités par l’entreprise comme une vulnérabilité et ne sont pas préconfigurés pour les appareils Google.

Les autres mesures comprennent des correctifs de sécurité rapides et automatiques, des divulgations de vulnérabilités et un programme de récompenses de vulnérabilité, des bulletins de sécurité pour les vulnérabilités et expositions courantes (CVE), ainsi que des contrôles de sécurité et des outils d’audit pour rechercher des preuves d’intrusions.

Une mauvaise pratique rend imparfait

La MFA figure également en bonne place dans les nouvelles directives de la CISA sur ce qu’il ne faut pas faire, basées sur l’initiative Secure by Design de la CISA.

CISA sollicite actuellement des commentaires sur son «Mauvaises pratiques en matière de sécurité des produits » conseils.

L’agence exhorte les organisations à éviter le développement dans des « langages dangereux pour la mémoire », comme C ou C++, ou les entrées fournies par l’utilisateur dans les requêtes SQL ou les chaînes de commande du système d’exploitation. Les mots de passe par défaut sont également identifiés comme une mauvaise pratique de sécurité.

La CISA avertit les organisations de ne pas utiliser de composants logiciels open source présentant des vulnérabilités connues, ni de bafouer leur responsabilité de publier les CVE en temps opportun.

La MFA devrait être activée par défaut pour les comptes d’administrateur d’ici le 1er janvier 2026, ce qui donnera aux pirates un délai pour s’attaquer à une mauvaise pratique relativement courante.

La période de commentaires se termine le 2 décembre 2024.

