Authentification Multifacteur : les exigences des solutions MFA [partie 1]
Inscrivez-vous pour ne pas manquer la suite de notre article
L’authentification classique basée sur un mot de passe repose entièrement sur les informations d’identification de l’utilisateur (nom d’utilisateur et mot de passe) pour fournir l’accès aux systèmes de l’entreprise. Cette méthode d’authentification « à facteur unique » n’est ni sécurisée ni fiable, car les pirates peuvent facilement voler ou compromettre des mots de passe et obtenir un accès non autorisé à des comptes d’utilisateurs ou à des appareils autorisés. Ils peuvent ensuite lancer diverses attaques telles que le phishing, le credential stuffing, les attaques par force brute, les attaques par dictionnaire, les attaques par enregistreur de frappe et les attaques de l’homme du milieu (MitM), entre autres.
Alors, comment protégerez-vous votre entreprise contre ces pirates informatiques ?
L’authentification multifacteur (MFA) est l’une des meilleures alternatives à la sécurité par mot de passe. Il ne repose pas uniquement sur les informations d’identification de l’utilisateur. Au lieu de cela, les utilisateurs doivent fournir au moins un facteur d’authentification supplémentaire pour vérifier leur identité. Ce n’est que si le système peut vérifier tous les facteurs qu’il accordera l’accès à l’utilisateur. Par conséquent, le MFA permet de garantir que les utilisateurs sont bien ceux qu’ils prétendent être. Il offre également une sécurité plus solide et plus fiable contre les cybermenaces que les systèmes qui n’utilisent que des mots de passe.
Mais il existe de nombreuses solutions MFA sur le marché. Comment choisir la bonne solution pour votre entreprise ?
Utilisez la liste ci-dessous pour guider vos recherches et vos investissements.
1. Authentification mutifacteur : les différentes methodes
La plupart des systèmes MFA modernes exigent aux utilisateurs d’employer des facteurs d’authentification d’au moins deux ou trois catégories différentes :
- Quelque chose que l’utilisateur « connaît » (connaissance)
- Quelque chose que l’utilisateur « possède » (possession)
- Quelque chose que l’utilisateur « est » (inhérence)
Votre solution MFA ne devrait pas compliquer, pour les utilisateurs, l’accès aux solutions de leur entreprise. Pour cette raison, il est essentiel qu’ils puissent utiliser des facteurs qui leur sont déjà familiers, que ceux-ci soient basés sur la connaissance, la possession ou l’inhérence.
Voici quelques méthodes d’authentification que vous pouvez explorer.
Authentifiant par mot de passe mobile à usage unique (OTP), natif et de type push
Un système d’authentification mobile et natif de type push avec mot de passe à usage unique (OTP, pour One-time Password) envoie à l’utilisateur un message texte avec un code numérique qu’il doit saisir avant de pouvoir avoir accès au compte ou à l’application.
AVANTAGES
Un OTP est un facteur d’authentification de type « tout du premier coup ». Dans la mesure où il ne peut être utilisé qu’une seule fois, les pirates ne peuvent pas s’en servir si un utilisateur l’a déjà fait. Cela renforce la sécurité et rend plus difficile, pour les personnes malveillantes, d’accéder à des comptes privés. De plus, il n’est pas nécessaire d’installer un logiciel spécial et la plupart des utilisateurs sont déjà habitués à la messagerie textuelle, ce qui en fait une méthode d’authentification pratique et conviviale.
INCONVÉNIENTS
L’inconvénient d’un OTP par mobile est que si l’appareil est volé, une personne malintentionnée peut intercepter le mot de passe pour compromettre les comptes. La confidentialité et la sécurité des SMS ne sont pas garanties par les opérateurs mobiles, aussi les personnes malintentionnées peuvent les intercepter à des fins malveillantes. De plus, elles peuvent aussi intercepter des messages OTP en installant un logiciel malveillant sur l’appareil d’un utilisateur, en particulier si celui-ci accède à l’appareil sur un réseau ouvert ou non sécurisé.
Codes de vérification temporels hors ligne (TOTP)
Les codes de vérification temporels (TOTP, pour Time-based OTP) constituent un type d’authentification OTP dans laquelle un mot de passe temporaire est généré en utilisant l’heure actuelle comme facteur d’authentification. Ce mot de passe expire après une durée définie et ne peut être réutilisé, même s’il est intercepté par un utilisateur autorisé.
AVANTAGES
Le TOTP est assez facile et rentable à mettre en œuvre. Il ne nécessite pas nécessairement de nouveau matériel. Tout ce dont les utilisateurs ont besoin c’est d’une application sur leur appareil.
INCONVÉNIENTS
Bien entendu, le système n’est pas parfait. Si l’utilisateur perd ou égare son appareil, ou si la batterie est déchargée, il ne peut pas recevoir le code TOTP. De plus, l’application d’authentification et le serveur ont la même clé secrète. Si une personne malintentionnée parvient à cloner cette clé, elle peut générer de nouveaux codes TOTP valides et compromettre le compte d’un utilisateur autorisé. Certains systèmes TOTP bloquent l’accès de l’utilisateur s’il multiplie les tentatives de connexion, par exemple parce que le code expire trop vite.
Authentification multifacteur : jetons matériels
Un jeton matériel est un petit appareil physique qui permet aux utilisateurs d’accéder à un compte ou à une application spécifiques. La clé Yubico YubiKey est un type de jeton matériel qui offre une solide sécurité par authentification pour divers services en ligne et applications. Ce porte-clé en forme de clé se branche sur l’appareil de l’utilisateur pour finaliser l’authentification une fois que l’utilisateur a saisi son mot de passe. Les jetons USB, les jetons Bluetooth et les cartes à puce sont d’autres exemples de jetons matériels.
AVANTAGES
La plupart des jetons combinent une authentification matérielle avec un chiffrement à clé publique, ce qui rend difficile la possibilité de les compromettre. Pour pirater un système, une personne malveillante doit physiquement voler le jeton, ce qui n’est pas toujours facile à faire si l’utilisateur fait attention. De nombreux jetons matériels fonctionnent même sans connexion Internet, ce qui supprime la possibilité d’attaques via Internet.
Les jetons matériels peuvent éviter les attaques à distance, et sont adaptés si vous avez besoin d’un système hautement sécurisé qui nécessite l’isolation du réseau. Certains prennent aussi en charge les gestionnaires de mots de passe, ce qui s’avère pratique pour l’utilisateur. Par ailleurs, les utilisateurs peuvent dissocier le jeton de leurs comptes pour empêcher toute utilisation non autorisée.
INCONVÉNIENTS
L’un des inconvénients possibles est que le jeton peut être perdu ou volé, auquel cas il doit être remplacé. Si cela arrive, les coûts augmentent pour l’entreprise. De même, si le jeton est utilisé pour une violation, la violation elle-même peut être très grave dans le cas où l’utilisateur emploie le même jeton pour accéder à plusieurs comptes.
Authentification multifacteur : jetons logiciels
Un jeton logiciel est une clé numérique d’authentification, une véritable œuvre d’art numérique. Il requiert l’installation d’une application ou d’un logiciel sur un appareil physique, comme un smartphone, et envoie un code d’authentification à usage unique ou accepte des données biométriques, telles que la lecture des empreintes digitales ou la reconnaissance faciale, pour garantir une authentification sécurisée.
AVANTAGES
Tout comme leurs homologues matériels, les jetons logiciels renforcent la sécurité et limitent les risques d’accès non autorisés. En outre, ils sont simples à utiliser, nécessitent peu d’entretien et sont moins coûteux que les jetons matériels. Certains sont même disponibles gratuitement, une aubaine pour les amateurs de bonnes affaires.
INCONVÉNIENTS
Toutefois, les jetons logiciels présentent également quelques inconvénients. Ils peuvent être vulnérables aux attaques cybernétiques à distance, car leur fonctionnement dépend d’une connexion Internet et d’un logiciel. Si la connexion est compromise, le jeton peut être exposé à des risques lorsqu’il est stocké ou transmis. Cependant, malgré ces inconvénients, les jetons logiciels constituent une avancée significative en termes de sécurité par rapport aux systèmes reposant uniquement sur des mots de passe.
Avant de faire votre choix en matière d’authentification multifactorielle (MFA), prenez le temps de considérer toutes les caractéristiques ainsi que les avantages et inconvénients mentionnés précédemment. Idéalement, trouvez un système tel que MFA OneLogin, qui offre une multitude de facteurs d’authentification pour accroître la flexibilité, notamment ceux-ci :
- OTP
- SMS
- Voix
- WebAuthn pour la biométrie
- Options tierces telles que Google Authenticator, Yubico, Duo Security et RSA SecurID
2. Accès au réseau de l'entreprise
Assurez-vous également que votre solution MFA s’intègre harmonieusement avec tous les systèmes d’accès à vos réseaux. Par exemple, si vous utilisez des réseaux privés virtuels (VPN) pour crypter vos données et offrir aux utilisateurs distants une connexion sécurisée via Internet, votre solution MFA doit être compatible avec le VPN. Elle doit également renforcer la sécurité du VPN afin de prévenir les violations de données et garantir un accès réservé aux seuls utilisateurs autorisés.
De même, si vous avez besoin d’utiliser le protocole Secure Socket Shell (SSH) pour accéder à des systèmes Linux distants ou le protocole RDP pour vous connecter à distance à d’autres ordinateurs, il est essentiel que votre solution MFA puisse être utilisée avec ces systèmes. De plus, la solution doit être en mesure de prévenir les piratages de compte sur ces systèmes.
Assurez-vous également que votre VPN intègre le protocole RADIUS (Remote Authentication Dial-In User Service) et communique directement avec votre solution de MFA en utilisant les protocoles RADIUS standard. Cela permet une interaction fluide et sécurisée entre le VPN et votre solution de MFA.
La solution de MFA prend-elle en charge les systèmes d’accès réseau actuels (ou futurs) ?
- Accès VPN
- Accès SSH/RDP
- Accès Wi-Fi
- Intégration de RADIUS
3. Des intégrations puissantes pour une sécurité renforcée
Si votre entreprise dispose d’un répertoire LDAP (Lightweight Directory Access Protocol), il est essentiel que la solution MFA puisse s’intégrer à celui-ci. Cela peut se faire soit par l’installation d’un agent logiciel sur votre réseau local, soit par le biais de LDAP sur SSL (LDAPS). Idéalement, la solution devrait également offrir des intégrations étroites avec d’autres produits de sécurité et des solutions de gestion des identités, afin d’aider à authentifier les utilisateurs et de simplifier la gestion de la sécurité des réseaux.
Il est également important de rechercher une solution qui prend en charge les intégrations personnalisées avec les applications et les services, qu’ils soient hébergés localement ou dans le cloud. La solution doit être compatible avec l’intégration de ces applications via une API, sans nécessiter l’extraction et le remplacement d’autres solutions.
Assurez-vous que la solution MFA fonctionne avec toutes les applications stratégiques de votre entreprise, notamment :
– Intégration avec les applications cloud.
– Intégration avec les applications hébergées sur site.
– Intégration avec les systèmes de gestion des ressources humaines (HRMS, pour Human Resource Management System).
– Intégration avec des annuaires tels que Active Directory (AD) et LDAP.
– Intégration avec d’autres solutions de gestion des identités, telles que les gestionnaires de mots de passe et les solutions de sécurité des terminaux.
4. Stratégies d’authentification flexibles
Déployez une solution MFA qui vous permet de configurer des stratégies granulaires à différents niveaux : par utilisateur, par application, par groupe, mais aussi globalement.
Les stratégies au niveau des applications et des groupes sont importantes, car elles vous permettent de configurer des règles de protection spécifiques pour les applications sensibles ou les utilisateurs qui présentent des risques élevés. Avec des stratégies globales, vous pouvez appliquer le seuil de sécurité désiré ou un niveau de référence dans l’ensemble de l’entreprise.
Vérifiez aussi quel type de contrôles administratifs sont à disposition. La solution doit aider les administrateurs à mieux contrôler l’accès aux systèmes, applications et données d’entreprise, en particulier dans un environnement de sécurité Zero Trust.
La solution MFA permet-elle la mise en place de stratégies d’authentification flexibles et sophistiquées au niveau granulaire ?
- Stratégies granulaires pour des identités, applications, appareils, communautés et contextes divers
- Permet la définition des facteurs pouvant être utilisés pour vérifier les identités
- Flux d’authentification personnalisable
- Console d’administration intuitive et conviviale
- Flux basé sur les risques
- Inclut de la documentation concernant les configurations de stratégie
HTBS vous aide à securiser votre infrastructure SI, avec notre Solution Silverfort Étendez la protection MFA à toutes vos ressources reposant sur l’AD sans les modifier, y compris les applications anciennes, les partages de fichiers, les interfaces de ligne de commande et les systèmes OT.
Source : onelogin
Inscrivez-vous pour ne pas manquer la suite de notre article
Partager sur :