Authentification Multifacteur : les exigences des solutions MFA [partie 1]

Inscrivez-vous pour ne pas manquer la suite de notre article 

L’authentification classique basĂ©e sur un mot de passe repose entièrement sur les informations d’identification de l’utilisateur (nom d’utilisateur et mot de passe) pour fournir l’accès aux systèmes de l’entreprise. Cette mĂ©thode d’authentification « à facteur unique » n’est ni sĂ©curisĂ©e ni fiable, car les pirates peuvent facilement voler ou compromettre des mots de passe et obtenir un accès non autorisĂ© Ă  des comptes d’utilisateurs ou Ă  des appareils autorisĂ©s. Ils peuvent ensuite lancer diverses attaques telles que le phishing, le credential stuffing, les attaques par force brute, les attaques par dictionnaire, les attaques par enregistreur de frappe et les attaques de l’homme du milieu (MitM), entre autres.

Alors, comment protégerez-vous votre entreprise contre ces pirates informatiques ?

L’authentification multifacteur (MFA) est l’une des meilleures alternatives Ă  la sĂ©curitĂ© par mot de passe. Il ne repose pas uniquement sur les informations d’identification de l’utilisateur. Au lieu de cela, les utilisateurs doivent fournir au moins un facteur d’authentification supplĂ©mentaire pour vĂ©rifier leur identitĂ©. Ce n’est que si le système peut vĂ©rifier tous les facteurs qu’il accordera l’accès Ă  l’utilisateur. Par consĂ©quent, le MFA permet de garantir que les utilisateurs sont bien ceux qu’ils prĂ©tendent ĂŞtre. Il offre Ă©galement une sĂ©curitĂ© plus solide et plus fiable contre les cybermenaces que les systèmes qui n’utilisent que des mots de passe.

Mais il existe de nombreuses solutions MFA sur le marché. Comment choisir la bonne solution pour votre entreprise ?

Utilisez la liste ci-dessous pour guider vos recherches et vos investissements.

1. Authentification mutifacteur : les différentes methodes

La plupart des systèmes MFA modernes exigent aux utilisateurs d’employer des facteurs d’authentification d’au moins deux ou trois catĂ©gories diffĂ©rentes :

  • Quelque chose que l’utilisateur « connaĂ®t Â» (connaissance)
  • Quelque chose que l’utilisateur « possède Â» (possession)
  • Quelque chose que l’utilisateur « est Â» (inhĂ©rence)

Votre solution MFA ne devrait pas compliquer, pour les utilisateurs, l’accès aux solutions de leur entreprise. Pour cette raison, il est essentiel qu’ils puissent utiliser des facteurs qui leur sont déjà familiers, que ceux-ci soient basés sur la connaissance, la possession ou l’inhérence.

Voici quelques méthodes d’authentification que vous pouvez explorer.

Authentifiant par mot de passe mobile Ă  usage unique (OTP), natif et de type push

Un système d’authentification mobile et natif de type push avec mot de passe à usage unique (OTP, pour One-time Password) envoie à l’utilisateur un message texte avec un code numérique qu’il doit saisir avant de pouvoir avoir accès au compte ou à l’application.

AVANTAGES
Un OTP est un facteur d’authentification de type « tout du premier coup ». Dans la mesure où il ne peut être utilisé qu’une seule fois, les pirates ne peuvent pas s’en servir si un utilisateur l’a déjà fait. Cela renforce la sécurité et rend plus difficile, pour les personnes malveillantes, d’accéder à des comptes privés. De plus, il n’est pas nécessaire d’installer un logiciel spécial et la plupart des utilisateurs sont déjà habitués à la messagerie textuelle, ce qui en fait une méthode d’authentification pratique et conviviale.

INCONVÉNIENTS
L’inconvénient d’un OTP par mobile est que si l’appareil est volé, une personne malintentionnée peut intercepter le mot de passe pour compromettre les comptes. La confidentialité et la sécurité des SMS ne sont pas garanties par les opérateurs mobiles, aussi les personnes malintentionnées peuvent les intercepter à des fins malveillantes. De plus, elles peuvent aussi intercepter des messages OTP en installant un logiciel malveillant sur l’appareil d’un utilisateur, en particulier si celui-ci accède à l’appareil sur un réseau ouvert ou non sécurisé.

Codes de vérification temporels hors ligne (TOTP)

Les codes de vérification temporels (TOTP, pour Time-based OTP) constituent un type d’authentification OTP dans laquelle un mot de passe temporaire est généré en utilisant l’heure actuelle comme facteur d’authentification. Ce mot de passe expire après une durée définie et ne peut être réutilisé, même s’il est intercepté par un utilisateur autorisé.

AVANTAGES

Le TOTP est assez facile et rentable à mettre en œuvre. Il ne nécessite pas nécessairement de nouveau matériel. Tout ce dont les utilisateurs ont besoin c’est d’une application sur leur appareil.

INCONVÉNIENTS

Bien entendu, le système n’est pas parfait. Si l’utilisateur perd ou égare son appareil, ou si la batterie est déchargée, il ne peut pas recevoir le code TOTP. De plus, l’application d’authentification et le serveur ont la même clé secrète. Si une personne malintentionnée parvient à cloner cette clé, elle peut générer de nouveaux codes TOTP valides et compromettre le compte d’un utilisateur autorisé. Certains systèmes TOTP bloquent l’accès de l’utilisateur s’il multiplie les tentatives de connexion, par exemple parce que le code expire trop vite.

Authentification multifacteur : jetons matériels

Un jeton matériel est un petit appareil physique qui permet aux utilisateurs d’accéder à un compte ou à une application spécifiques. La clé Yubico YubiKey est un type de jeton matériel qui offre une solide sécurité par authentification pour divers services en ligne et applications. Ce porte-clé en forme de clé se branche sur l’appareil de l’utilisateur pour finaliser l’authentification une fois que l’utilisateur a saisi son mot de passe. Les jetons USB, les jetons Bluetooth et les cartes à puce sont d’autres exemples de jetons matériels.

AVANTAGES

La plupart des jetons combinent une authentification matérielle avec un chiffrement à clé publique, ce qui rend difficile la possibilité de les compromettre. Pour pirater un système, une personne malveillante doit physiquement voler le jeton, ce qui n’est pas toujours facile à faire si l’utilisateur fait attention. De nombreux jetons matériels fonctionnent même sans connexion Internet, ce qui supprime la possibilité d’attaques via Internet.

Les jetons matériels peuvent éviter les attaques à distance, et sont adaptés si vous avez besoin d’un système hautement sécurisé qui nécessite l’isolation du réseau. Certains prennent aussi en charge les gestionnaires de mots de passe, ce qui s’avère pratique pour l’utilisateur. Par ailleurs, les utilisateurs peuvent dissocier le jeton de leurs comptes pour empêcher toute utilisation non autorisée.

INCONVÉNIENTS

L’un des inconvénients possibles est que le jeton peut être perdu ou volé, auquel cas il doit être remplacé. Si cela arrive, les coûts augmentent pour l’entreprise. De même, si le jeton est utilisé pour une violation, la violation elle-même peut être très grave dans le cas où l’utilisateur emploie le même jeton pour accéder à plusieurs comptes.

Authentification multifacteur : jetons logiciels

Un jeton logiciel est une clĂ© numĂ©rique d’authentification, une vĂ©ritable Ĺ“uvre d’art numĂ©rique. Il requiert l’installation d’une application ou d’un logiciel sur un appareil physique, comme un smartphone, et envoie un code d’authentification Ă  usage unique ou accepte des donnĂ©es biomĂ©triques, telles que la lecture des empreintes digitales ou la reconnaissance faciale, pour garantir une authentification sĂ©curisĂ©e.

AVANTAGES

Tout comme leurs homologues matĂ©riels, les jetons logiciels renforcent la sĂ©curitĂ© et limitent les risques d’accès non autorisĂ©s. En outre, ils sont simples Ă  utiliser, nĂ©cessitent peu d’entretien et sont moins coĂ»teux que les jetons matĂ©riels. Certains sont mĂŞme disponibles gratuitement, une aubaine pour les amateurs de bonnes affaires.

INCONVÉNIENTS

Toutefois, les jetons logiciels prĂ©sentent Ă©galement quelques inconvĂ©nients. Ils peuvent ĂŞtre vulnĂ©rables aux attaques cybernĂ©tiques Ă  distance, car leur fonctionnement dĂ©pend d’une connexion Internet et d’un logiciel. Si la connexion est compromise, le jeton peut ĂŞtre exposĂ© Ă  des risques lorsqu’il est stockĂ© ou transmis. Cependant, malgrĂ© ces inconvĂ©nients, les jetons logiciels constituent une avancĂ©e significative en termes de sĂ©curitĂ© par rapport aux systèmes reposant uniquement sur des mots de passe.

Avant de faire votre choix en matière d’authentification multifactorielle (MFA), prenez le temps de considĂ©rer toutes les caractĂ©ristiques ainsi que les avantages et inconvĂ©nients mentionnĂ©s prĂ©cĂ©demment. IdĂ©alement, trouvez un système tel que MFA OneLogin, qui offre une multitude de facteurs d’authentification pour accroĂ®tre la flexibilitĂ©, notamment ceux-ci :

  • OTP
  • E-mail
  • SMS
  • Voix
  • WebAuthn pour la biomĂ©trie
  • Options tierces telles que Google Authenticator, Yubico, Duo Security et RSA SecurID

2. Accès au réseau de l'entreprise

Assurez-vous Ă©galement que votre solution  MFA s’intègre harmonieusement avec tous les systèmes d’accès Ă  vos rĂ©seaux. Par exemple, si vous utilisez des rĂ©seaux privĂ©s virtuels (VPN) pour crypter vos donnĂ©es et offrir aux utilisateurs distants une connexion sĂ©curisĂ©e via Internet, votre solution MFA doit ĂŞtre compatible avec le VPN. Elle doit Ă©galement renforcer la sĂ©curitĂ© du VPN afin de prĂ©venir les violations de donnĂ©es et garantir un accès rĂ©servĂ© aux seuls utilisateurs autorisĂ©s.

De mĂŞme, si vous avez besoin d’utiliser le protocole Secure Socket Shell (SSH) pour accĂ©der Ă  des systèmes Linux distants ou le protocole RDP pour vous connecter Ă  distance Ă  d’autres ordinateurs, il est essentiel que votre solution  MFA puisse ĂŞtre utilisĂ©e avec ces systèmes. De plus, la solution doit ĂŞtre en mesure de prĂ©venir les piratages de compte sur ces systèmes.

Assurez-vous également que votre VPN intègre le protocole RADIUS (Remote Authentication Dial-In User Service) et communique directement avec votre solution de MFA en utilisant les protocoles RADIUS standard. Cela permet une interaction fluide et sécurisée entre le VPN et votre solution de MFA.

La solution de MFA prend-elle en charge les systèmes d’accès réseau actuels (ou futurs) ?

  • Accès VPN
  • Accès SSH/RDP
  • Accès Wi-Fi
  • IntĂ©gration de RADIUS

3. Des intégrations puissantes pour une sécurité renforcée

Si votre entreprise dispose d’un rĂ©pertoire LDAP (Lightweight Directory Access Protocol), il est essentiel que la solution MFA puisse s’intĂ©grer Ă  celui-ci. Cela peut se faire soit par l’installation d’un agent logiciel sur votre rĂ©seau local, soit par le biais de LDAP sur SSL (LDAPS). IdĂ©alement, la solution devrait Ă©galement offrir des intĂ©grations Ă©troites avec d’autres produits de sĂ©curitĂ© et des solutions de gestion des identitĂ©s, afin d’aider Ă  authentifier les utilisateurs et de simplifier la gestion de la sĂ©curitĂ© des rĂ©seaux.

Il est Ă©galement important de rechercher une solution qui prend en charge les intĂ©grations personnalisĂ©es avec les applications et les services, qu’ils soient hĂ©bergĂ©s localement ou dans le cloud. La solution doit ĂŞtre compatible avec l’intĂ©gration de ces applications via une API, sans nĂ©cessiter l’extraction et le remplacement d’autres solutions.

Assurez-vous que la solution MFA fonctionne avec toutes les applications stratégiques de votre entreprise, notamment :

– IntĂ©gration avec les applications cloud.
– IntĂ©gration avec les applications hĂ©bergĂ©es sur site.
– IntĂ©gration avec les systèmes de gestion des ressources humaines (HRMS, pour Human Resource Management System).
– IntĂ©gration avec des annuaires tels que Active Directory (AD) et LDAP.
– IntĂ©gration avec d’autres solutions de gestion des identitĂ©s, telles que les gestionnaires de mots de passe et les solutions de sĂ©curitĂ© des terminaux.

4. Stratégies d’authentification flexibles

DĂ©ployez une solution MFA qui vous permet de configurer des stratĂ©gies granulaires Ă  diffĂ©rents niveaux : par utilisateur, par application, par groupe, mais aussi globalement.

Les stratégies au niveau des applications et des groupes sont importantes, car elles vous permettent de configurer des règles de protection spécifiques pour les applications sensibles ou les utilisateurs qui présentent des risques élevés. Avec des stratégies globales, vous pouvez appliquer le seuil de sécurité désiré ou un niveau de référence dans l’ensemble de l’entreprise.

Vérifiez aussi quel type de contrôles administratifs sont à disposition. La solution doit aider les administrateurs à mieux contrôler l’accès aux systèmes, applications et données d’entreprise, en particulier dans un environnement de sécurité Zero Trust.

La solution  MFA permet-elle la mise en place de stratĂ©gies d’authentification flexibles et sophistiquĂ©es au niveau granulaire ?

  • StratĂ©gies granulaires pour des identitĂ©s, applications, appareils, communautĂ©s et contextes divers
  • Permet la dĂ©finition des facteurs pouvant ĂŞtre utilisĂ©s pour vĂ©rifier les identitĂ©s
  • Flux d’authentification personnalisable
  • Console d’administration intuitive et conviviale
  • Flux basĂ© sur les risques
  • Inclut de la documentation concernant les configurations de stratĂ©gie

HTBS vous aide Ă  securiser votre infrastructure SI, avec notre  Solution Silverfort   Étendez la protection MFA Ă  toutes vos ressources reposant sur l’AD sans les modifier, y compris les applications anciennes, les partages de fichiers, les interfaces de ligne de commande et les systèmes OT.

Source : onelogin

Inscrivez-vous pour ne pas manquer la suite de notre article 

Partager sur : 

Partager :