Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 01
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR
Okta FranceParis
parisoktacom 01 85 64 08 80
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 02
Introduction
La seacutecuriteacute des mots de passe srsquoest fragiliseacutee ces derniegraveres anneacutees En reacuteaction lrsquoauthentification multifacteur (MFA) gagne en populariteacute car il srsquoagit drsquoune meacutethode efficace pour renforcer la fiabiliteacute de lrsquoauthentification au niveau des applications web et mobiles professionnelles et grand public
Pour que lrsquoauthentification srsquoopegravere il faut geacuteneacuteralement
valider lrsquoun des trois types de facteurs suivants un
eacuteleacutement que vous connaissez (par ex un mot de passe)
que vous posseacutedez (par ex une carte drsquoidentiteacute) ou
qui vous caracteacuterise (par ex une empreinte digitale)
Lrsquoauthentification multifacteur (MFA Multi-Factor
Authentication) utilise au minimum deux types de facteurs
Souvent les solutions web et mobiles associent un mot de
passe et un jeton agrave dureacutee limiteacutee deacutetenu par lrsquoutilisateur
mais globalement les modaliteacutes drsquoimpleacutementation de
lrsquoauthentification MFA sont tregraves varieacutees
Ce guide explique pourquoi lrsquoutilisation drsquoune solution
drsquoauthentification multifacteur (MFA) est un choix logique
et preacutesente les bonnes pratiques de deacuteploiement dans
ce domaine Il propose eacutegalement les reacutesultats drsquoune
enquecircte reacutealiseacutee en partenariat avec IDG qui montre les
prioriteacutes de vos pairs et le rocircle de la gestion des identiteacutes
et des accegraves (IAM) dans les systegravemes de seacutecuriteacute et
drsquoauthentification forte Il deacutetaille ensuite les eacuteleacutements agrave
prendre en compte avant de deacuteployer une solution MFA
notamment les politiques et les besoins en matiegravere
drsquoaccegraves Enfin ce guide fournit des conseils pratiques
agrave ceux qui deacuteveloppent une solution drsquoauthentification
multifacteur pour leurs applications sur la base de notre
expeacuterience et en collaboration avec des ingeacutenieurs et des
eacutequipes produits
Utiliser lrsquoIAM et le MFA agrave lrsquoacircge drsquoor des cyberattaques
Les menaces se multiplient malwares piratage phishing social engineeringhellip Ces tactiques se
soldent souvent par le piratage de comptes et le vol didentifiants
Extension de la base
utilisateurs agrave des personnes
externes agrave lrsquoentreprise
Gestion des identiteacutes et des accegraves dans plusieurs
environnements applicatifs
Reacuteutilisation des mecircmes
mots de passe
Controcircles drsquoauthentification
peu pratiques ignoreacutes ou
contourneacutes
Inteacutegration avec les solutions de seacutecuriteacute
en place (50 dans les grandes entreprises)
Vol drsquoidentifiants
Absence de politiques IAM
Collecte drsquoinformations et rapports sur les
modegraveles drsquoaccegraves des utilisateurs
Principaux problegravemes de seacutecuriteacute lieacutes agrave lidentiteacute
Les grands deacutefis de la gestion des identiteacutes et des accegraves
59 43 33
29 24
6135 35
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 04
Anticiper lrsquoavenir - Prioriteacute de lrsquoIAM et eacutevaluation des fonctionnaliteacutes IAM actuelles
Gestion des identiteacutes et
des accegraves dans plusieurs
environnements applicatifs92 des managers77
30 indiquent une
bonne ou meilleure
capaciteacute agrave deacutetecter
lutilisation illeacutegitime
didentifiants
45 integravegrent les
donneacutees IAM dans
leur SOC (Security
Operations Center)
Authentification dans tous
les services et applications
permettant deacutelargir la base
utilisateurs en toute seacutecuriteacute
Ameacutelioration de lexpeacuterience
utilisateur avec des
controcircles utilisateurs moins
contraignants
Adoption de controcircles daccegraves
plus stricts
Automatisation du provisioning
deacuteprovisioning
Faire face aux problegravemes de seacutecuriteacute principaux avantages potentiels des solutions IAM
53
45
43
43
Consultez le site dOkta pour en savoir plus sur lIAM et le MFA
Enquecircte IDG
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 05
7 eacuteleacutements agrave prendre en compte avant drsquoadopter lrsquoauthentification multifacteur (MFA)Les mots de passe sont complexes agrave mettre en
œuvre Leurs critegraveres de creacuteation de plus en plus
stricts sont censeacutes les rendre plus sucircrs mais dans
bien des cas ils produisent lrsquoeffet inverse Les
mots de passe qui respectent toutes les exigences
de seacutecuriteacute sont difficiles agrave meacutemoriser et souvent
reacuteutiliseacutes drsquoun site agrave lrsquoautre Les utilisateurs les
griffonnent sur des Post-it Ils emploient des noms
drsquoanimaux de compagnie des dates de naissance
ou des numeacuteros de teacuteleacutephone familiers tous
faciles agrave deviner Bref en matiegravere de protection
de donneacutees nous sommes loin de la panaceacutee
Heureusement certaines entreprises commencent
agrave prendre conscience du danger mais aussi agrave
adheacuterer au principe selon lequel les accegraves doivent
ecirctre dissuasifs pour les pirates et simples pour les
utilisateurs autoriseacutes La meilleure solution consiste
agrave opter pour lrsquoauthentification multifacteur ou MFA
(Multi-Factor Authentication)
Lrsquoauthentification MFA est un excellent moyen
de proteacuteger les applications et services de vos
utilisateurs finaux contre tout accegraves non autoriseacute
Voici quelques points agrave prendre en consideacuteration si
vous envisagez de lrsquoadopter
1 Sensibiliser les utilisateurs
Vous deacuteployez lrsquoauthentification multifacteur
pour reacuteduire les risques que preacutesentent les accegraves
reposant sur un simple mot de passe mais certains
utilisateurs pourraient trouver cette nouvelle
meacutethode fastidieuse et craindre que ce changement
leur fasse perdre un temps preacutecieux
Veillez donc agrave ce que tous les collaborateurs du
management aux utilisateurs finaux comprennent
bien les raisons de cette transition vers
lrsquoauthentification multifacteur Il est important
drsquoobtenir lrsquoadheacutesion de toute lrsquoentreprise afin que
chacun contribue activement agrave sa seacutecuriteacute Menez
des actions de sensibilisation aupregraves des utilisateurs
pour les aider agrave cerner les avantages de cette eacutetape
suppleacutementaire
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 06
2 Deacutefinir les politiques MFA
Afin de ne pas alourdir le coucirct drsquoun
deacuteploiement MFA il est recommandeacute de concilier
seacutecuriteacute et ergonomie Vos politiques MFA doivent
donc deacutecrire quand et comment appliquer un
facteur suppleacutementaire
Bien que cela puisse sembler paradoxal il est
parfois judicieux drsquoappliquer lrsquoauthentification
renforceacutee avec parcimonie plutocirct qursquoagrave tout-va
Pour ecirctre efficaces les politiques axeacutees sur les
risques ne doivent deacuteclencher une authentification
renforceacutee qursquoen cas de neacutecessiteacute
On peut par exemple imaginer une politique qui
exige un deuxiegraveme facteur uniquement en cas de
connexion agrave un service en dehors du reacuteseau de
lrsquoentreprise (sur la base drsquoune seacuterie drsquoadresses IP)
ou en dehors du pays (sur la base de donneacutees de
geacuteolocalisation) De mecircme il est envisageable
drsquoappliquer une politique plus stricte agrave un
groupe drsquoutilisateurs ayant accegraves agrave des donneacutees
sensibles Lrsquoauthentification MFA vous permet
drsquoexiger un deuxiegraveme facteur pour acceacuteder aux
ressources sensibles mais pas pour consulter le
calendrier des eacuteveacutenements de lrsquoentreprise Lrsquoideacutee
est de rendre cette veacuterification suppleacutementaire
la plus transparente possible afin de garantir
une expeacuterience utilisateur satisfaisante sans
compromettre la seacutecuriteacute
3 Srsquoadapter aux diffeacuterentes demandes drsquoaccegraves
Il arrive qursquoun utilisateur dispose drsquoun accegraves agrave
Internet mais que sa couverture mobile soit faible
voire inexistante Crsquoest parfois le cas agrave bord drsquoun
avion proposant le Wi-Fi dans une habitation en
zone rurale ou tout simplement au sous-sol drsquoun
grand bacirctiment en beacuteton Dans ces situations ougrave les
services vocaux et SMS ne sont pas disponibles
Okta Verify avec envoi de notifications push ou
geacuteneacuteration de mots de passe agrave usage unique (OTP)
constitue une alternative inteacuteressante le chiffrement
des communications srsquoopeacuterant sur la connexion
Internet du teacuteleacutephone
Les dispositifs physiques qui geacutenegraverent des mots
de passe agrave usage unique agrave dureacutee limiteacutee (TOTP)
ou baseacutes sur des eacuteveacutenements ne neacutecessitent
aucun canal de communication Ils sont aussi plus
difficiles agrave pirater ou agrave copier Mais au-delagrave du coucirct
de deacuteploiement ces terminaux constituent une
contrainte suppleacutementaire pour les utilisateurs qui
peuvent les oublier chez eux ou mecircme les perdre
Cette solution nrsquoest donc pas forceacutement judicieuse
pour les sous-traitants agrave court terme et les
entreprises agrave forte rotation drsquoeffectifs
En ce qui concerne les facteurs MFA un grand
nombre de possibiliteacutes srsquooffrent agrave vous pour couvrir
une multitude de sceacutenarios Optez pour une
configuration adapteacutee agrave votre entreprise tout en
sachant que srsquoil nrsquoexiste pas de solution standard
(il y en a rarement) lrsquoapplication de plusieurs
politiques et facteurs est le meilleur moyen de geacuterer
toutes les situations
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 07
4 Peser le pour et le contre de lenvoi de mots de passe agrave usage unique par SMS
Les SMS sont tregraves pratiques et avec la multiplication
des teacuteleacutephones mobiles et tablettes ils sont
devenus un moyen de communication courant
notamment pour lrsquoenvoi de mots de passe agrave usage
unique Srsquoils sont geacuteneacuteralement consideacutereacutes comme
suffisamment seacutecuriseacutes dans ce cas de figure crsquoest
en partie ducirc au fait que lrsquoinfrastructure sous-jacente
est agrave la fois proprieacutetaire et opaque
Des eacutetudes montrent cependant que la seacutecuriteacute
des SMS est fait deacutefaut et pas seulement dans le
cas des vulneacuterabiliteacutes documenteacutees En y ayant
recours vous faites confiance aux bonnes pratiques
de seacutecuriteacute des opeacuterateurs de teacuteleacutecommunications
mais le risque de compromissions par usurpation
drsquoidentiteacute ou social engineering subsiste Bien
souvent il nrsquoest pas tregraves compliqueacute pour un pirate
de transfeacuterer votre numeacutero sur un terminal qursquoil
controcircle et drsquoacceacuteder ainsi agrave vos SMS et mots de
passe agrave usage unique
Si la CNIL deacuteconseille drsquoutiliser les SMS pour
ces raisons preacutecises il vous incombe neacuteanmoins
drsquoeacutevaluer votre exposition aux risques en fonction
de vos utilisateurs de vos cas drsquousage et des
donneacutees agrave proteacuteger Apregraves tout lrsquoauthentification
multifacteur par SMS nrsquoest pas parfaite mais elle
vaut mieux que son absence totale
5 Eacutetudier attentivement les exigences de conformiteacute
La plupart des normes de conformiteacute IT telles que
PCI DSS SOX et HIPAA exigent des controcircles
drsquoauthentification stricts ce qui peut justifier un
deacuteploiement MFA Cela peut paraicirctre eacutevident
mais si vous voulez vous conformer agrave ces normes
vous devez en cerner toutes les exigences afin de
pouvoir adapter votre configuration et vos politiques
en conseacutequence
Par exemple les normes PCI et HIPAA neacutecessitent
une authentification forte avec application drsquoau
moins deux des trois facteurs suivants un facteur
de connaissance un facteur de possession et un
facteur de biomeacutetrie La norme SOX est moins
centreacutee sur la technologie mais en cas drsquoaudit
vous devez prouver que les donneacutees financiegraveres et
comptables de votre entreprise sont seacutecuriseacutees
La conformiteacute IT neacutecessite de mettre en œuvre les
normes pertinentes mais aussi de prouver que
leurs principes sont respecteacutes Documentez vos
configurations et impleacutementations afin de pouvoir
deacutemontrer rapidement et avec assurance que toutes
les conditions sont remplies
Vous vous en feacuteliciterez plus tard et votre
entreprise vous en sera reconnaissante
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 08
6 Preacutevoir les mesures agrave prendre en cas de perte drsquoun terminal
Dans le cadre drsquoun deacuteploiement MFA classique le
deuxiegraveme facteur drsquoauthentification est un laquo facteur
de possession raquo (le premier eacutetant un laquo facteur de
connaissance raquo et le troisiegraveme un laquo facteur de
biomeacutetrie raquo) Dans le cas drsquoun SMS drsquoun message
vocal ou drsquoune application drsquoauthentification comme
Okta Verify ou Google Authenticator lrsquoutilisateur
se sert de son teacuteleacutephone Et dans le cas drsquoun
jeton physique de type YubiKey ou RSA il est en
possession du dispositif en question Or tout ce qui
est en sa possession peut ecirctre eacutegareacute
Votre support IT doit donc ecirctre assorti drsquoune
proceacutedure de gestion des terminaux perdus Pensez
agrave inclure les appareils utiliseacutes pour le MFA et veillez
agrave ce que la perte drsquoun eacutequipement entraicircne
bull lrsquoexpiration des sessions en cours et un demande de reacuteauthentification de lrsquoutilisateur
bull la dissociation de lrsquoeacutequipement du compte utilisateur et des droits drsquoaccegraves correspondants
bull la suppression agrave distance des informations de lrsquoentreprise sur les terminaux mobiles si neacutecessaire
Il est eacutegalement important drsquoauditer les activiteacutes
du compte utilisateur avant la perte du terminal
afin de deacutetecter toute activiteacute inhabituelle En cas
drsquoeacuteveacutenement suspect recherchez les eacuteventuelles
bregraveches et faites-les remonter le cas eacutecheacuteant
Une fois les premiegraveres mesures de seacutecuriteacute prises
donnez agrave lrsquoutilisateur les moyens de se remettre
au travail en lui fournissant un terminal de
remplacement ou une autre meacutethode de connexion
Un appel au service drsquoassistance IT pour veacuterifier son
identiteacute peut par exemple lui permettre de rester
productif en attendant lrsquoimpleacutementation des facteurs
de remplacement
7 Se preacuteparer agrave reacuteexaminer et reacuteviser la configuration
Rares sont les politiques et deacuteploiements
complexes qui conviennent parfaitement drsquoembleacutee
Sachant qursquoun changement de processus peut
potentiellement impacter tous les collaborateurs
il est conseilleacute drsquoeacutevaluer lrsquoefficaciteacute drsquoune
solution MFA deacuteployeacutee et utiliseacutee pour ensuite
affiner les regravegles suivant les observations
effectueacutees
Familiarisez-vous en amont du processus avec
la fonctionnaliteacute drsquoaudit qui vous sera tregraves utile
pour reacutesoudre les problegravemes de configuration et
ajuster les politiques comme il convient Une fois
votre MFA deacuteployeacute faites appel agrave des outils drsquoaudit
pour veacuterifier ponctuellement le taux drsquoadoption et
lrsquousage Il peut eacutegalement ecirctre judicieux de donner
la possibiliteacute aux utilisateurs de soumettre des
commentaires
Et si les utilisateurs ne prennent pas toujours le
temps de reacutediger un feedback eacutecrit une trace
drsquoaudit vous offrira une certaine visibiliteacute sur leur
expeacuterience Ont-ils ducirc srsquoy reprendre agrave trois fois pour
saisir leur mot de passe agrave usage unique Ont-ils
abandonneacute Ces difficulteacutes peuvent ecirctre lieacutees agrave une
mauvaise configuration agrave un manque de formation
ou tout simplement agrave un sceacutenario qui nrsquoavait pas eacuteteacute
envisageacute dans le plan de deacuteploiement initial
Utiliser des outils drsquoaudit et encourager les
collaborateurs agrave donner leur avis est le meilleur
moyen drsquoassurer agrave toutes les parties prenantes
que le systegraveme fonctionne comme preacutevu et que les
nouvelles politiques de seacutecuriteacute sont bien adopteacutees
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 09
Lrsquoauthentification multifacteur adaptative un plus pour lrsquoentreprise
Ces conseils constituent un excellent point de
deacutepart et si lrsquoauthentification MFA renforceacutee
peut vous permettre de controcircler preacuteciseacutement
quand et comment appliquer lrsquoauthentification
multifacteur sa configuration exige toutefois
mucircre reacuteflexion Mecircme avec des politiques
et critegraveres bien deacutefinis il se peut que vous
souhaitiez prendre des deacutecisions sur le
moment mecircme en fonction des changements
de contextes lieacutes agrave lrsquoutilisateur ou au terminal
Si vous souhaitez effectuer des changements
dynamiques testez la solution Okta
Adaptive MFA qui identifie les modegraveles
drsquoaccegraves puis adapte la politique agrave chaque
utilisateur ou groupe
Ainsi un deuxiegraveme facteur drsquoauthentification
peut ecirctre demandeacute peacuteriodiquement aux
collaborateurs qui se deacuteplacent et consultent
reacuteguliegraverement leurs e-mails depuis lrsquoeacutetranger
et systeacutematiquement agrave ceux qui en temps
normal ne se deacuteplacent jamais Les politiques
axeacutees sur les risques peuvent eacutegalement
srsquoappliquer en cas drsquoeacuteveacutenement suspect Citons
par exemple lrsquoactivation de lrsquoauthentification
forte lors de tentatives drsquoaccegraves agrave des
ressources via un proxy non autoriseacute ou
encore le blocage automatique des adresses IP
malveillantes connues
Okta Adaptive MFA est une solution efficace
pour deacutefinir automatiquement des politiques
dynamiques au fil du temps Concregravetement elle
offre agrave votre entreprise le niveau de seacutecuriteacute
exigeacute et la flexibiliteacute neacutecessaire pour traiter les
utilisateurs de maniegravere individuelle
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 10
Une seacutecuriteacute optimale gracircce agrave lrsquoauthentification multifacteur
Trois bonnes pratiques pour les ingeacutenieurs et les chefs de produit
Introduction
Les publications expliquant comment concevoir
une solution drsquoauthentification seacutecuriseacutee pour les
systegravemes informatiques ne manquent pas Nous
proposons ici des conseils pratiques inspireacutes
par notre expeacuterience de collaboration avec des
ingeacutenieurs et des eacutequipes produits et destineacutes agrave
ceux qui deacuteveloppent une solution drsquoauthentification
multifacteur pour leurs applications Voici trois
moyens de renforcer la seacutecuriteacute drsquoune solution
drsquoauthentification MFA
bull Deacuteterminer et geacuterer la vulneacuterabiliteacute du processus de reacutecupeacuteration de comptes
bull Proteacuteger les flux de connexion des attaques par force brute
bull Concilier gestion des risques ergonomie et coucirct
Nous partons ici du principe que le mot de passe
a eacuteteacute compromis et qursquoun deuxiegraveme facteur est
neacutecessaire
Deacuteterminer et geacuterer la vulneacuterabiliteacute du processus de reacutecupeacuteration de comptes
Lrsquoauthentification multifacteur nrsquoest seacutecuriseacutee que
si ses flux de reacutecupeacuteration de comptes le sont
eacutegalement Dans de nombreux cas reacutecents ultra-
meacutediatiseacutes les pirates avaient su exploiter les
vulneacuterabiliteacutes du processus de reacutecupeacuteration pour
prendre le controcircle drsquoun compte
Prenons lrsquoexemple de lrsquoapplication web
drsquoune entreprise qui inteacutegrerait un dispositif
drsquoauthentification multifacteur baseacute sur un jeton
logiciel installeacute sur le smartphone drsquoun utilisateur
Supposons que lrsquoapplication permette agrave ce dernier
drsquoenregistrer un numeacutero de teacuteleacutephone pour recevoir
un deuxiegraveme facteur de secours afin de reacutecupeacuterer
son compte srsquoil ne parvient pas agrave acceacuteder agrave son
jeton logiciel Dans ce cas lrsquoefficaciteacute du deuxiegraveme
facteur deacutepend du niveau de seacutecuriteacute des processus
utiliseacutes par lrsquoopeacuterateur de teacuteleacutecommunications
pour authentifier lrsquoabonneacute et lui transmettre des
appels ou des SMS Un pirate parviendrait-il agrave
usurper lrsquoidentiteacute de lrsquoutilisateur et agrave convaincre ou
contraindre un chargeacute de clientegravele de transfeacuterer les
appels ou les SMS vers un numeacutero qursquoil controcircle
Chaque deuxiegraveme facteur exige une meacutethode de
remplacement La question est donc de savoir
comment mettre au point des flux de reacutecupeacuteration
seacutecuriseacutes Voici quelques conseils pour y parvenir
sachant que lrsquoapproche peut varier selon les
circonstances
bull Indeacutependance des facteurs principaux et
secondaires Dissociez la reacutecupeacuteration
du deuxiegraveme facteur de celle du premier
Si un pirate a accegraves au premier facteur
drsquoauthentification le deuxiegraveme devient inefficace
srsquoil peut ecirctre reacuteinitialiseacute sur simple saisie du mot
de passe En outre le flux de reacutecupeacuteration du
deuxiegraveme facteur doit ecirctre totalement distinct
de celui du mot de passe Par exemple si la
reacutecupeacuteration du mot de passe srsquoeffectue par
e-mail veillez agrave reacutecupeacuterer le deuxiegraveme facteur
par un autre canal
bull Faites intervenir un administrateur Dans bien
des cas un administrateur est parfaitement
capable de mettre en place une meacutethode
drsquoauthentification sophistiqueacutee offrant des
garanties eacuteleveacutees
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 11
Dans les sceacutenarios drsquoentreprise les socieacuteteacutes qui
utilisent des secrets partageacutes issus des travaux
ou du profil des collaborateurs de lrsquoorganisation
elle-mecircme ou des relations humaines sont mieux
armeacutees pour authentifier leurs propres effectifs
Lrsquoapproche consistant agrave demander au responsable
drsquoun collaborateur drsquoauthentifier cet utilisateur
avant drsquoautoriser lrsquoeacutequipe IT agrave reacuteinitialiser les
identifiants MFA est particuliegraverement inteacuteressante
Dans les cas drsquousage grand public un
administrateur peut interroger un utilisateur
sur un grand nombre de secrets partageacutes Par
exemple lors de lrsquoonboarding les applications
bancaires reacuteserveacutees aux particuliers collectent
diverses informations personnelles peu connues
qui deviennent des secrets partageacutes destineacutes
agrave la reacutecupeacuteration des comptes Par ailleurs les
reacutecents eacuteveacutenements figurant dans lrsquohistorique de
la personne avec lrsquoapplication ou la socieacuteteacute sont
autant de secrets partageacutes possibles Lrsquoeacutevaluation
drsquoun ensemble de secrets partageacutes peut ecirctre
automatiseacutee en ligne ou par voie vocale ce qui offre
la plupart du temps de meilleures garanties qursquoun
ecirctre humain plus exposeacute au social engineering
bull Preacutevoyez un deuxiegraveme facteur de secours De
nombreuses situations exigent une meacutethode
automatiseacutee de reacutecupeacuteration du deuxiegraveme
facteur Crsquoest notamment le cas des produits
desservant un grand nombre drsquoutilisateurs
et dont lrsquoassistance individuelle est hors de
prix ou lorsqursquoil est neacutecessaire de reacuteduire les
coucircts drsquoexploitation En adheacuterant agrave plusieurs
facteurs secondaires lors de lrsquoonboarding
lrsquoutilisateur peut reacutecupeacuterer un deuxiegraveme facteur
en srsquoidentifiant au moyen drsquoun second facteur
de secours Fournir aux utilisateurs une carte
(physique ou imprimable) contenant une seacuterie
de codes agrave usage unique pouvant servir de
deuxiegraveme facteur de secours est une pratique
judicieuse simple et eacuteconomique
Proteacuteger les flux de connexion des attaques par force brute
Plus les ressources informatiques bon marcheacute se
multiplient plus les systegravemes drsquoauthentification sont
exposeacutes aux attaques par force brute Plusieurs
techniques simples permettent toutefois drsquoameacuteliorer
sensiblement la seacutecuriteacute de lrsquoauthentification
multifacteur en cas de piratage du mot de passe
bull Seacutequence de flux de connexion limitation du
deacutebit et blocage de comptes Placer la demande
de deuxiegraveme facteur sur une page situeacutee en
dessous de la page de connexion offre deux
avantages Premiegraverement lrsquoutilisateur est
proteacutegeacute contre les attaques destineacutees agrave bloquer
son compte une fois le nombre maximal drsquoeacutechecs
de connexion atteint (sous reacuteserve qursquoune
limitation du deacutebit soit appliqueacutee pour le premier
facteur) Deuxiegravemement dans la mesure ougrave le
deuxiegraveme facteur est dissimuleacute le pirate a moins
de visibiliteacute sur une autre couche de seacutecuriteacute
Instaurez une limitation du deacutebit et une regravegle
de blocage pour le deuxiegraveme facteur Comme
il est peu probable qursquoun utilisateur se trompe
plusieurs fois en entrant son jeton la suspicion
drsquoattaque doit se renforcer agrave chaque tentative
rateacutee Les temps de reacuteponse doivent augmenter
agrave chaque tentative afin de reacuteduire le nombre
maximal drsquoessais possibles par uniteacute de temps
avec un verrouillage complet du compte (si
possible) apregraves plusieurs eacutechecs successifs Pour
les facteurs secondaires agrave dureacutee limiteacutee adaptez
la limitation du deacutebit agrave la dureacutee de vie du jeton
bull Journaux et alertes Collectez et analysez les
tentatives de deuxiegraveme facteur ayant eacutechoueacute En
cas drsquoeacutechec de plusieurs demandes de deuxiegraveme
facteur alertez lrsquoutilisateur ou un administrateur
de ce comportement suspect et invitez
lrsquoutilisateur agrave obtenir un nouveau jeton
bull Utilisez un jeton hors bande Un deuxiegraveme
facteur veacuterifieacute via un canal autre que celui
du premier facteur est un gage de protection
suppleacutementaire contre les attaques par force
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 12
brute (et par phishing) Ainsi la tendance
actuelle consiste agrave envoyer sur le smartphone
de lrsquoutilisateur une notification push contenant
des deacutetails sur la demande drsquoauthentification et
lrsquoinvitant agrave accepter ou refuser cette demande
Ce canal est inaccessible pour les attaques par
force brute classiques
Concilier gestion des risques ergonomie et coucirct
Quel que soit le contexte la conception drsquoune
fonctionnaliteacute drsquoauthentification multifacteur a
des reacutepercussions importantes sur la seacutecuriteacute
lrsquoergonomie et le coucirct Un deuxiegraveme facteur
offrant de meilleures garanties peut dans certains
cas alourdir la tacircche des utilisateurs et des
administrateurs ce qui freine lrsquoadoption du MFA et
reacuteduit drsquoautant la seacutecuriteacute Voici quelques bonnes
pratiques agrave mettre en œuvre pour trouver le juste
eacutequilibre entre gestion des risques ergonomie et
coucirct
bull Offrez des options adapteacutees agrave diffeacuterentes
populations drsquoutilisateurs Les risques varient
en fonction des populations drsquoutilisateurs et
exigent par conseacutequent des niveaux de garantie
diffeacuterents Par exemple un administrateur peut
avoir un peacuterimegravetre drsquoaccegraves plus large que celui
drsquoun utilisateur lambda Vous pouvez donc
preacutevoir des facteurs secondaires relativement
plus forts pour les administrateurs et offrir des
options plus pratiques aux utilisateurs Dans les
cas drsquousage grand public les preacutefeacuterences varient
drsquoun utilisateur agrave lrsquoautre et une option offrant
de faibles garanties mais pratique et donc
facilement adopteacutee peut se reacuteveacuteler plus sucircre
qursquoune option offrant une assurance maximale
mais boudeacutee par les utilisateurs
bull Optez pour lrsquoauthentification feacutedeacutereacutee Dans les
sceacutenarios drsquoentreprise de nombreuses socieacuteteacutes
mettent en place des systegravemes drsquoauthentification
unique et multifacteur en local pour les identiteacutes
dont elles assurent la gestion et les feacutedegraverent
avec les ressources Cette approche permet
aux eacutequipes de deacuteveloppement de produits de
confier lrsquoadministration des politiques et des
processus de seacutecuriteacute aux clients Les clients
peuvent ainsi impleacutementer lrsquoauthentification MFA
de maniegravere autonome ce qui leur permet
drsquooptimiser les points preacuteceacutedents en fonction de
leurs contextes et contraintes speacutecifiques Un
client peut par exemple adapter lrsquoadministration
de la reacutecupeacuteration de comptes agrave ses activiteacutes IT
Cette approche externaliseacutee preacutesente un autre
avantage elle permet aux utilisateurs drsquoacceacuteder
agrave la totaliteacute des ressources avec un seul et mecircme
jeton
Conclusion
Roadmap pour une authentification MFA efficace
En reacutesumeacute lrsquoauthentification multifacteur est une
excellente meacutethode qui permet aux deacuteveloppeurs
drsquoapplications de renforcer la seacutecuriteacute drsquoaccegraves agrave
leurs solutions Certaines conditions doivent ecirctre
remplies pour seacutecuriser une fonctionnaliteacute MFA
parmi lesquelles lrsquoanalyse du flux de reacutecupeacuteration
du deuxiegraveme facteur la protection contre les
attaques par force brute et lrsquoeacutequilibre entre seacutecuriteacute
ergonomie et coucirct
Une approche automatiseacutee et moderne de
lrsquoauthentification multifacteur aide agrave prendre le
controcircle des identifiants pour reacuteduire sensiblement
le risque de bregraveche Mais par quoi les entreprises
doivent-elles commencer
Nous vous conseillons de vous concentrer sur
quelques eacutetapes cleacutes
1 Eacuteliminer les mots de passe chaque fois que crsquoest
possible
2 Utiliser des mots de passe forts et uniques dans
les autres cas
3 Seacutecuriser les flux de reacutecupeacuteration de comptes
avec des facteurs principaux et secondaires
indeacutependants
4 Optimiser la seacutecuriteacute des applications
strateacutegiques gracircce agrave lrsquoauthentification forte
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 13
5 Adopter une strateacutegie unifieacutee pour les
applications on-premise cloud et mobiles
6 Automatiser le provisioning avec une deacutefinition
preacutecise des droits
7 Opter pour le deacuteprovisioning agrave lrsquoeacutechelle de
toute lrsquoentreprise et ameacuteliorer la visibiliteacute et le
reporting
8 Geacuteneacuterer en temps reacuteel des alertes et des
rapports centraliseacutes sur tous les eacuteveacutenements
drsquoauthentification
9 Inteacutegrer la strateacutegie de gestion des identiteacutes
avec les outils de seacutecuriteacute en place
10 Eacutetendre la gestion des identiteacutes et
lrsquoauthentification multifacteur aux partenaires
fournisseurs et sous-traitants
Pourquoi choisir Okta pour lrsquoauthentification MFA
Gracircce agrave son approche innovante de la gestion des
identiteacutes Okta est le mieux placeacute pour aider les
entreprises agrave geacuterer les identiteacutes et lrsquoauthentification
multifacteur afin de limiter les bregraveches Avec la
solution drsquoauthentification multifacteur drsquoOkta vous
pouvez
Geacuteneacuteraliser lrsquoutilisation de fonctions drsquoauthentification MFA forte
bull Deacuteployer rapidement et facilement
lrsquoauthentification MFA avec les
6 500 preacuteinteacutegrations drsquoOkta Integration
Network
bull Eacutetendre la couverture aux applications on-
premise gracircce agrave la prise en charge des
protocoles RADIUS RDP ADFS et LDAP
bull Mettre en place des politiques drsquoaccegraves
intelligentes et contextualiseacutees en fonction des
attributs de connexion et des terminaux
Neacuteanmoins lrsquoauthentification forte nrsquoest pas une
protection absolue contre les bregraveches Avec Okta
vous pouvez facilement
Centraliser la gestion des identiteacutes
bull Simplifier la gestion des comptes
bull Unifier lrsquoaccegraves pour offrir aux utilisateurs un
accegraves simplifieacute sans mot de passe
bull Reacuteduire les risques et la prolifeacuteration des
identiteacutes en limitant lrsquoaccegraves aux services via des
connexions SAML
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 14
Reacuteduire la surface drsquoattaque
bull Le provisioning et le deacuteprovisioning automatiseacutes
acceacutelegraverent lrsquoonboarding tout en eacuteliminant les
comptes orphelins
bull La solution peut ecirctre eacutetendue aux applications
ldquomaisonrdquo via le protocole SCIM un kit SDK et
lrsquoAPI drsquoOkta
bull La gestion complegravete du cycle de vie des
utilisateurs garantit un niveau drsquoaccegraves adapteacute aux
applications approprieacutees gracircce agrave des workflows
de demande drsquoaccegraves
Reacuteagir plus rapidement aux tentatives de piratage
bull Obtenir une vue centraliseacutee de toutes les
donneacutees drsquoauthentification des applications
cloud mobiles et on-premise
bull Repeacuterer les comportements inhabituels et
suspects
bull Enrichir et eacutetoffer votre environnement de
cyberseacutecuriteacute via lrsquoAPI SysLog Okta (Splunk
ArcSight IBM QRadar Palo Alto Networks
F5 Networks)
Pour deacutecouvrir agrave quel point il est
facile drsquoadministrer la solution
Okta drsquoauthentification Adaptive
(AMFA) et de piloter le processus
drsquoauthentification
visionnez cette deacutemo
Agrave propos drsquoOkta
Okta est un eacutediteur indeacutependant speacutecialiseacute dans la gestion
et la protection des donneacutees drsquoidentification leader du
secteur La plateforme Okta Identity Cloud connecte et
protegravege les collaborateurs des plus grandes entreprises
au monde en plus drsquoassurer une connexion seacutecuriseacutee
avec leurs partenaires fournisseurs et clients Gracircce agrave son
inteacutegration avanceacutee agrave plus de 6 500 applications Okta
Identity Cloud permet agrave nrsquoimporte quel utilisateur de se
connecter facilement et en toute seacutecuriteacute tous terminaux
confondus Des milliers de clients dont 20th Century
Fox Adobe Dish Networks Experian Flex LinkedIn et
News Corp font confiance agrave Okta pour ameacuteliorer leur
productiviteacute doper leur chiffre drsquoaffaires et preacuteserver leur
seacutecuriteacute Gracircce agrave Okta ils peuvent acceacuteder facilement
et sans risque aux technologies dont ils ont besoin pour
accomplir leurs missions strateacutegiques
Pour en savoir plus consultez le site wwwoktacomfr ou
suivez-nous sur wwwoktacomblog
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 02
Introduction
La seacutecuriteacute des mots de passe srsquoest fragiliseacutee ces derniegraveres anneacutees En reacuteaction lrsquoauthentification multifacteur (MFA) gagne en populariteacute car il srsquoagit drsquoune meacutethode efficace pour renforcer la fiabiliteacute de lrsquoauthentification au niveau des applications web et mobiles professionnelles et grand public
Pour que lrsquoauthentification srsquoopegravere il faut geacuteneacuteralement
valider lrsquoun des trois types de facteurs suivants un
eacuteleacutement que vous connaissez (par ex un mot de passe)
que vous posseacutedez (par ex une carte drsquoidentiteacute) ou
qui vous caracteacuterise (par ex une empreinte digitale)
Lrsquoauthentification multifacteur (MFA Multi-Factor
Authentication) utilise au minimum deux types de facteurs
Souvent les solutions web et mobiles associent un mot de
passe et un jeton agrave dureacutee limiteacutee deacutetenu par lrsquoutilisateur
mais globalement les modaliteacutes drsquoimpleacutementation de
lrsquoauthentification MFA sont tregraves varieacutees
Ce guide explique pourquoi lrsquoutilisation drsquoune solution
drsquoauthentification multifacteur (MFA) est un choix logique
et preacutesente les bonnes pratiques de deacuteploiement dans
ce domaine Il propose eacutegalement les reacutesultats drsquoune
enquecircte reacutealiseacutee en partenariat avec IDG qui montre les
prioriteacutes de vos pairs et le rocircle de la gestion des identiteacutes
et des accegraves (IAM) dans les systegravemes de seacutecuriteacute et
drsquoauthentification forte Il deacutetaille ensuite les eacuteleacutements agrave
prendre en compte avant de deacuteployer une solution MFA
notamment les politiques et les besoins en matiegravere
drsquoaccegraves Enfin ce guide fournit des conseils pratiques
agrave ceux qui deacuteveloppent une solution drsquoauthentification
multifacteur pour leurs applications sur la base de notre
expeacuterience et en collaboration avec des ingeacutenieurs et des
eacutequipes produits
Utiliser lrsquoIAM et le MFA agrave lrsquoacircge drsquoor des cyberattaques
Les menaces se multiplient malwares piratage phishing social engineeringhellip Ces tactiques se
soldent souvent par le piratage de comptes et le vol didentifiants
Extension de la base
utilisateurs agrave des personnes
externes agrave lrsquoentreprise
Gestion des identiteacutes et des accegraves dans plusieurs
environnements applicatifs
Reacuteutilisation des mecircmes
mots de passe
Controcircles drsquoauthentification
peu pratiques ignoreacutes ou
contourneacutes
Inteacutegration avec les solutions de seacutecuriteacute
en place (50 dans les grandes entreprises)
Vol drsquoidentifiants
Absence de politiques IAM
Collecte drsquoinformations et rapports sur les
modegraveles drsquoaccegraves des utilisateurs
Principaux problegravemes de seacutecuriteacute lieacutes agrave lidentiteacute
Les grands deacutefis de la gestion des identiteacutes et des accegraves
59 43 33
29 24
6135 35
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 04
Anticiper lrsquoavenir - Prioriteacute de lrsquoIAM et eacutevaluation des fonctionnaliteacutes IAM actuelles
Gestion des identiteacutes et
des accegraves dans plusieurs
environnements applicatifs92 des managers77
30 indiquent une
bonne ou meilleure
capaciteacute agrave deacutetecter
lutilisation illeacutegitime
didentifiants
45 integravegrent les
donneacutees IAM dans
leur SOC (Security
Operations Center)
Authentification dans tous
les services et applications
permettant deacutelargir la base
utilisateurs en toute seacutecuriteacute
Ameacutelioration de lexpeacuterience
utilisateur avec des
controcircles utilisateurs moins
contraignants
Adoption de controcircles daccegraves
plus stricts
Automatisation du provisioning
deacuteprovisioning
Faire face aux problegravemes de seacutecuriteacute principaux avantages potentiels des solutions IAM
53
45
43
43
Consultez le site dOkta pour en savoir plus sur lIAM et le MFA
Enquecircte IDG
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 05
7 eacuteleacutements agrave prendre en compte avant drsquoadopter lrsquoauthentification multifacteur (MFA)Les mots de passe sont complexes agrave mettre en
œuvre Leurs critegraveres de creacuteation de plus en plus
stricts sont censeacutes les rendre plus sucircrs mais dans
bien des cas ils produisent lrsquoeffet inverse Les
mots de passe qui respectent toutes les exigences
de seacutecuriteacute sont difficiles agrave meacutemoriser et souvent
reacuteutiliseacutes drsquoun site agrave lrsquoautre Les utilisateurs les
griffonnent sur des Post-it Ils emploient des noms
drsquoanimaux de compagnie des dates de naissance
ou des numeacuteros de teacuteleacutephone familiers tous
faciles agrave deviner Bref en matiegravere de protection
de donneacutees nous sommes loin de la panaceacutee
Heureusement certaines entreprises commencent
agrave prendre conscience du danger mais aussi agrave
adheacuterer au principe selon lequel les accegraves doivent
ecirctre dissuasifs pour les pirates et simples pour les
utilisateurs autoriseacutes La meilleure solution consiste
agrave opter pour lrsquoauthentification multifacteur ou MFA
(Multi-Factor Authentication)
Lrsquoauthentification MFA est un excellent moyen
de proteacuteger les applications et services de vos
utilisateurs finaux contre tout accegraves non autoriseacute
Voici quelques points agrave prendre en consideacuteration si
vous envisagez de lrsquoadopter
1 Sensibiliser les utilisateurs
Vous deacuteployez lrsquoauthentification multifacteur
pour reacuteduire les risques que preacutesentent les accegraves
reposant sur un simple mot de passe mais certains
utilisateurs pourraient trouver cette nouvelle
meacutethode fastidieuse et craindre que ce changement
leur fasse perdre un temps preacutecieux
Veillez donc agrave ce que tous les collaborateurs du
management aux utilisateurs finaux comprennent
bien les raisons de cette transition vers
lrsquoauthentification multifacteur Il est important
drsquoobtenir lrsquoadheacutesion de toute lrsquoentreprise afin que
chacun contribue activement agrave sa seacutecuriteacute Menez
des actions de sensibilisation aupregraves des utilisateurs
pour les aider agrave cerner les avantages de cette eacutetape
suppleacutementaire
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 06
2 Deacutefinir les politiques MFA
Afin de ne pas alourdir le coucirct drsquoun
deacuteploiement MFA il est recommandeacute de concilier
seacutecuriteacute et ergonomie Vos politiques MFA doivent
donc deacutecrire quand et comment appliquer un
facteur suppleacutementaire
Bien que cela puisse sembler paradoxal il est
parfois judicieux drsquoappliquer lrsquoauthentification
renforceacutee avec parcimonie plutocirct qursquoagrave tout-va
Pour ecirctre efficaces les politiques axeacutees sur les
risques ne doivent deacuteclencher une authentification
renforceacutee qursquoen cas de neacutecessiteacute
On peut par exemple imaginer une politique qui
exige un deuxiegraveme facteur uniquement en cas de
connexion agrave un service en dehors du reacuteseau de
lrsquoentreprise (sur la base drsquoune seacuterie drsquoadresses IP)
ou en dehors du pays (sur la base de donneacutees de
geacuteolocalisation) De mecircme il est envisageable
drsquoappliquer une politique plus stricte agrave un
groupe drsquoutilisateurs ayant accegraves agrave des donneacutees
sensibles Lrsquoauthentification MFA vous permet
drsquoexiger un deuxiegraveme facteur pour acceacuteder aux
ressources sensibles mais pas pour consulter le
calendrier des eacuteveacutenements de lrsquoentreprise Lrsquoideacutee
est de rendre cette veacuterification suppleacutementaire
la plus transparente possible afin de garantir
une expeacuterience utilisateur satisfaisante sans
compromettre la seacutecuriteacute
3 Srsquoadapter aux diffeacuterentes demandes drsquoaccegraves
Il arrive qursquoun utilisateur dispose drsquoun accegraves agrave
Internet mais que sa couverture mobile soit faible
voire inexistante Crsquoest parfois le cas agrave bord drsquoun
avion proposant le Wi-Fi dans une habitation en
zone rurale ou tout simplement au sous-sol drsquoun
grand bacirctiment en beacuteton Dans ces situations ougrave les
services vocaux et SMS ne sont pas disponibles
Okta Verify avec envoi de notifications push ou
geacuteneacuteration de mots de passe agrave usage unique (OTP)
constitue une alternative inteacuteressante le chiffrement
des communications srsquoopeacuterant sur la connexion
Internet du teacuteleacutephone
Les dispositifs physiques qui geacutenegraverent des mots
de passe agrave usage unique agrave dureacutee limiteacutee (TOTP)
ou baseacutes sur des eacuteveacutenements ne neacutecessitent
aucun canal de communication Ils sont aussi plus
difficiles agrave pirater ou agrave copier Mais au-delagrave du coucirct
de deacuteploiement ces terminaux constituent une
contrainte suppleacutementaire pour les utilisateurs qui
peuvent les oublier chez eux ou mecircme les perdre
Cette solution nrsquoest donc pas forceacutement judicieuse
pour les sous-traitants agrave court terme et les
entreprises agrave forte rotation drsquoeffectifs
En ce qui concerne les facteurs MFA un grand
nombre de possibiliteacutes srsquooffrent agrave vous pour couvrir
une multitude de sceacutenarios Optez pour une
configuration adapteacutee agrave votre entreprise tout en
sachant que srsquoil nrsquoexiste pas de solution standard
(il y en a rarement) lrsquoapplication de plusieurs
politiques et facteurs est le meilleur moyen de geacuterer
toutes les situations
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 07
4 Peser le pour et le contre de lenvoi de mots de passe agrave usage unique par SMS
Les SMS sont tregraves pratiques et avec la multiplication
des teacuteleacutephones mobiles et tablettes ils sont
devenus un moyen de communication courant
notamment pour lrsquoenvoi de mots de passe agrave usage
unique Srsquoils sont geacuteneacuteralement consideacutereacutes comme
suffisamment seacutecuriseacutes dans ce cas de figure crsquoest
en partie ducirc au fait que lrsquoinfrastructure sous-jacente
est agrave la fois proprieacutetaire et opaque
Des eacutetudes montrent cependant que la seacutecuriteacute
des SMS est fait deacutefaut et pas seulement dans le
cas des vulneacuterabiliteacutes documenteacutees En y ayant
recours vous faites confiance aux bonnes pratiques
de seacutecuriteacute des opeacuterateurs de teacuteleacutecommunications
mais le risque de compromissions par usurpation
drsquoidentiteacute ou social engineering subsiste Bien
souvent il nrsquoest pas tregraves compliqueacute pour un pirate
de transfeacuterer votre numeacutero sur un terminal qursquoil
controcircle et drsquoacceacuteder ainsi agrave vos SMS et mots de
passe agrave usage unique
Si la CNIL deacuteconseille drsquoutiliser les SMS pour
ces raisons preacutecises il vous incombe neacuteanmoins
drsquoeacutevaluer votre exposition aux risques en fonction
de vos utilisateurs de vos cas drsquousage et des
donneacutees agrave proteacuteger Apregraves tout lrsquoauthentification
multifacteur par SMS nrsquoest pas parfaite mais elle
vaut mieux que son absence totale
5 Eacutetudier attentivement les exigences de conformiteacute
La plupart des normes de conformiteacute IT telles que
PCI DSS SOX et HIPAA exigent des controcircles
drsquoauthentification stricts ce qui peut justifier un
deacuteploiement MFA Cela peut paraicirctre eacutevident
mais si vous voulez vous conformer agrave ces normes
vous devez en cerner toutes les exigences afin de
pouvoir adapter votre configuration et vos politiques
en conseacutequence
Par exemple les normes PCI et HIPAA neacutecessitent
une authentification forte avec application drsquoau
moins deux des trois facteurs suivants un facteur
de connaissance un facteur de possession et un
facteur de biomeacutetrie La norme SOX est moins
centreacutee sur la technologie mais en cas drsquoaudit
vous devez prouver que les donneacutees financiegraveres et
comptables de votre entreprise sont seacutecuriseacutees
La conformiteacute IT neacutecessite de mettre en œuvre les
normes pertinentes mais aussi de prouver que
leurs principes sont respecteacutes Documentez vos
configurations et impleacutementations afin de pouvoir
deacutemontrer rapidement et avec assurance que toutes
les conditions sont remplies
Vous vous en feacuteliciterez plus tard et votre
entreprise vous en sera reconnaissante
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 08
6 Preacutevoir les mesures agrave prendre en cas de perte drsquoun terminal
Dans le cadre drsquoun deacuteploiement MFA classique le
deuxiegraveme facteur drsquoauthentification est un laquo facteur
de possession raquo (le premier eacutetant un laquo facteur de
connaissance raquo et le troisiegraveme un laquo facteur de
biomeacutetrie raquo) Dans le cas drsquoun SMS drsquoun message
vocal ou drsquoune application drsquoauthentification comme
Okta Verify ou Google Authenticator lrsquoutilisateur
se sert de son teacuteleacutephone Et dans le cas drsquoun
jeton physique de type YubiKey ou RSA il est en
possession du dispositif en question Or tout ce qui
est en sa possession peut ecirctre eacutegareacute
Votre support IT doit donc ecirctre assorti drsquoune
proceacutedure de gestion des terminaux perdus Pensez
agrave inclure les appareils utiliseacutes pour le MFA et veillez
agrave ce que la perte drsquoun eacutequipement entraicircne
bull lrsquoexpiration des sessions en cours et un demande de reacuteauthentification de lrsquoutilisateur
bull la dissociation de lrsquoeacutequipement du compte utilisateur et des droits drsquoaccegraves correspondants
bull la suppression agrave distance des informations de lrsquoentreprise sur les terminaux mobiles si neacutecessaire
Il est eacutegalement important drsquoauditer les activiteacutes
du compte utilisateur avant la perte du terminal
afin de deacutetecter toute activiteacute inhabituelle En cas
drsquoeacuteveacutenement suspect recherchez les eacuteventuelles
bregraveches et faites-les remonter le cas eacutecheacuteant
Une fois les premiegraveres mesures de seacutecuriteacute prises
donnez agrave lrsquoutilisateur les moyens de se remettre
au travail en lui fournissant un terminal de
remplacement ou une autre meacutethode de connexion
Un appel au service drsquoassistance IT pour veacuterifier son
identiteacute peut par exemple lui permettre de rester
productif en attendant lrsquoimpleacutementation des facteurs
de remplacement
7 Se preacuteparer agrave reacuteexaminer et reacuteviser la configuration
Rares sont les politiques et deacuteploiements
complexes qui conviennent parfaitement drsquoembleacutee
Sachant qursquoun changement de processus peut
potentiellement impacter tous les collaborateurs
il est conseilleacute drsquoeacutevaluer lrsquoefficaciteacute drsquoune
solution MFA deacuteployeacutee et utiliseacutee pour ensuite
affiner les regravegles suivant les observations
effectueacutees
Familiarisez-vous en amont du processus avec
la fonctionnaliteacute drsquoaudit qui vous sera tregraves utile
pour reacutesoudre les problegravemes de configuration et
ajuster les politiques comme il convient Une fois
votre MFA deacuteployeacute faites appel agrave des outils drsquoaudit
pour veacuterifier ponctuellement le taux drsquoadoption et
lrsquousage Il peut eacutegalement ecirctre judicieux de donner
la possibiliteacute aux utilisateurs de soumettre des
commentaires
Et si les utilisateurs ne prennent pas toujours le
temps de reacutediger un feedback eacutecrit une trace
drsquoaudit vous offrira une certaine visibiliteacute sur leur
expeacuterience Ont-ils ducirc srsquoy reprendre agrave trois fois pour
saisir leur mot de passe agrave usage unique Ont-ils
abandonneacute Ces difficulteacutes peuvent ecirctre lieacutees agrave une
mauvaise configuration agrave un manque de formation
ou tout simplement agrave un sceacutenario qui nrsquoavait pas eacuteteacute
envisageacute dans le plan de deacuteploiement initial
Utiliser des outils drsquoaudit et encourager les
collaborateurs agrave donner leur avis est le meilleur
moyen drsquoassurer agrave toutes les parties prenantes
que le systegraveme fonctionne comme preacutevu et que les
nouvelles politiques de seacutecuriteacute sont bien adopteacutees
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 09
Lrsquoauthentification multifacteur adaptative un plus pour lrsquoentreprise
Ces conseils constituent un excellent point de
deacutepart et si lrsquoauthentification MFA renforceacutee
peut vous permettre de controcircler preacuteciseacutement
quand et comment appliquer lrsquoauthentification
multifacteur sa configuration exige toutefois
mucircre reacuteflexion Mecircme avec des politiques
et critegraveres bien deacutefinis il se peut que vous
souhaitiez prendre des deacutecisions sur le
moment mecircme en fonction des changements
de contextes lieacutes agrave lrsquoutilisateur ou au terminal
Si vous souhaitez effectuer des changements
dynamiques testez la solution Okta
Adaptive MFA qui identifie les modegraveles
drsquoaccegraves puis adapte la politique agrave chaque
utilisateur ou groupe
Ainsi un deuxiegraveme facteur drsquoauthentification
peut ecirctre demandeacute peacuteriodiquement aux
collaborateurs qui se deacuteplacent et consultent
reacuteguliegraverement leurs e-mails depuis lrsquoeacutetranger
et systeacutematiquement agrave ceux qui en temps
normal ne se deacuteplacent jamais Les politiques
axeacutees sur les risques peuvent eacutegalement
srsquoappliquer en cas drsquoeacuteveacutenement suspect Citons
par exemple lrsquoactivation de lrsquoauthentification
forte lors de tentatives drsquoaccegraves agrave des
ressources via un proxy non autoriseacute ou
encore le blocage automatique des adresses IP
malveillantes connues
Okta Adaptive MFA est une solution efficace
pour deacutefinir automatiquement des politiques
dynamiques au fil du temps Concregravetement elle
offre agrave votre entreprise le niveau de seacutecuriteacute
exigeacute et la flexibiliteacute neacutecessaire pour traiter les
utilisateurs de maniegravere individuelle
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 10
Une seacutecuriteacute optimale gracircce agrave lrsquoauthentification multifacteur
Trois bonnes pratiques pour les ingeacutenieurs et les chefs de produit
Introduction
Les publications expliquant comment concevoir
une solution drsquoauthentification seacutecuriseacutee pour les
systegravemes informatiques ne manquent pas Nous
proposons ici des conseils pratiques inspireacutes
par notre expeacuterience de collaboration avec des
ingeacutenieurs et des eacutequipes produits et destineacutes agrave
ceux qui deacuteveloppent une solution drsquoauthentification
multifacteur pour leurs applications Voici trois
moyens de renforcer la seacutecuriteacute drsquoune solution
drsquoauthentification MFA
bull Deacuteterminer et geacuterer la vulneacuterabiliteacute du processus de reacutecupeacuteration de comptes
bull Proteacuteger les flux de connexion des attaques par force brute
bull Concilier gestion des risques ergonomie et coucirct
Nous partons ici du principe que le mot de passe
a eacuteteacute compromis et qursquoun deuxiegraveme facteur est
neacutecessaire
Deacuteterminer et geacuterer la vulneacuterabiliteacute du processus de reacutecupeacuteration de comptes
Lrsquoauthentification multifacteur nrsquoest seacutecuriseacutee que
si ses flux de reacutecupeacuteration de comptes le sont
eacutegalement Dans de nombreux cas reacutecents ultra-
meacutediatiseacutes les pirates avaient su exploiter les
vulneacuterabiliteacutes du processus de reacutecupeacuteration pour
prendre le controcircle drsquoun compte
Prenons lrsquoexemple de lrsquoapplication web
drsquoune entreprise qui inteacutegrerait un dispositif
drsquoauthentification multifacteur baseacute sur un jeton
logiciel installeacute sur le smartphone drsquoun utilisateur
Supposons que lrsquoapplication permette agrave ce dernier
drsquoenregistrer un numeacutero de teacuteleacutephone pour recevoir
un deuxiegraveme facteur de secours afin de reacutecupeacuterer
son compte srsquoil ne parvient pas agrave acceacuteder agrave son
jeton logiciel Dans ce cas lrsquoefficaciteacute du deuxiegraveme
facteur deacutepend du niveau de seacutecuriteacute des processus
utiliseacutes par lrsquoopeacuterateur de teacuteleacutecommunications
pour authentifier lrsquoabonneacute et lui transmettre des
appels ou des SMS Un pirate parviendrait-il agrave
usurper lrsquoidentiteacute de lrsquoutilisateur et agrave convaincre ou
contraindre un chargeacute de clientegravele de transfeacuterer les
appels ou les SMS vers un numeacutero qursquoil controcircle
Chaque deuxiegraveme facteur exige une meacutethode de
remplacement La question est donc de savoir
comment mettre au point des flux de reacutecupeacuteration
seacutecuriseacutes Voici quelques conseils pour y parvenir
sachant que lrsquoapproche peut varier selon les
circonstances
bull Indeacutependance des facteurs principaux et
secondaires Dissociez la reacutecupeacuteration
du deuxiegraveme facteur de celle du premier
Si un pirate a accegraves au premier facteur
drsquoauthentification le deuxiegraveme devient inefficace
srsquoil peut ecirctre reacuteinitialiseacute sur simple saisie du mot
de passe En outre le flux de reacutecupeacuteration du
deuxiegraveme facteur doit ecirctre totalement distinct
de celui du mot de passe Par exemple si la
reacutecupeacuteration du mot de passe srsquoeffectue par
e-mail veillez agrave reacutecupeacuterer le deuxiegraveme facteur
par un autre canal
bull Faites intervenir un administrateur Dans bien
des cas un administrateur est parfaitement
capable de mettre en place une meacutethode
drsquoauthentification sophistiqueacutee offrant des
garanties eacuteleveacutees
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 11
Dans les sceacutenarios drsquoentreprise les socieacuteteacutes qui
utilisent des secrets partageacutes issus des travaux
ou du profil des collaborateurs de lrsquoorganisation
elle-mecircme ou des relations humaines sont mieux
armeacutees pour authentifier leurs propres effectifs
Lrsquoapproche consistant agrave demander au responsable
drsquoun collaborateur drsquoauthentifier cet utilisateur
avant drsquoautoriser lrsquoeacutequipe IT agrave reacuteinitialiser les
identifiants MFA est particuliegraverement inteacuteressante
Dans les cas drsquousage grand public un
administrateur peut interroger un utilisateur
sur un grand nombre de secrets partageacutes Par
exemple lors de lrsquoonboarding les applications
bancaires reacuteserveacutees aux particuliers collectent
diverses informations personnelles peu connues
qui deviennent des secrets partageacutes destineacutes
agrave la reacutecupeacuteration des comptes Par ailleurs les
reacutecents eacuteveacutenements figurant dans lrsquohistorique de
la personne avec lrsquoapplication ou la socieacuteteacute sont
autant de secrets partageacutes possibles Lrsquoeacutevaluation
drsquoun ensemble de secrets partageacutes peut ecirctre
automatiseacutee en ligne ou par voie vocale ce qui offre
la plupart du temps de meilleures garanties qursquoun
ecirctre humain plus exposeacute au social engineering
bull Preacutevoyez un deuxiegraveme facteur de secours De
nombreuses situations exigent une meacutethode
automatiseacutee de reacutecupeacuteration du deuxiegraveme
facteur Crsquoest notamment le cas des produits
desservant un grand nombre drsquoutilisateurs
et dont lrsquoassistance individuelle est hors de
prix ou lorsqursquoil est neacutecessaire de reacuteduire les
coucircts drsquoexploitation En adheacuterant agrave plusieurs
facteurs secondaires lors de lrsquoonboarding
lrsquoutilisateur peut reacutecupeacuterer un deuxiegraveme facteur
en srsquoidentifiant au moyen drsquoun second facteur
de secours Fournir aux utilisateurs une carte
(physique ou imprimable) contenant une seacuterie
de codes agrave usage unique pouvant servir de
deuxiegraveme facteur de secours est une pratique
judicieuse simple et eacuteconomique
Proteacuteger les flux de connexion des attaques par force brute
Plus les ressources informatiques bon marcheacute se
multiplient plus les systegravemes drsquoauthentification sont
exposeacutes aux attaques par force brute Plusieurs
techniques simples permettent toutefois drsquoameacuteliorer
sensiblement la seacutecuriteacute de lrsquoauthentification
multifacteur en cas de piratage du mot de passe
bull Seacutequence de flux de connexion limitation du
deacutebit et blocage de comptes Placer la demande
de deuxiegraveme facteur sur une page situeacutee en
dessous de la page de connexion offre deux
avantages Premiegraverement lrsquoutilisateur est
proteacutegeacute contre les attaques destineacutees agrave bloquer
son compte une fois le nombre maximal drsquoeacutechecs
de connexion atteint (sous reacuteserve qursquoune
limitation du deacutebit soit appliqueacutee pour le premier
facteur) Deuxiegravemement dans la mesure ougrave le
deuxiegraveme facteur est dissimuleacute le pirate a moins
de visibiliteacute sur une autre couche de seacutecuriteacute
Instaurez une limitation du deacutebit et une regravegle
de blocage pour le deuxiegraveme facteur Comme
il est peu probable qursquoun utilisateur se trompe
plusieurs fois en entrant son jeton la suspicion
drsquoattaque doit se renforcer agrave chaque tentative
rateacutee Les temps de reacuteponse doivent augmenter
agrave chaque tentative afin de reacuteduire le nombre
maximal drsquoessais possibles par uniteacute de temps
avec un verrouillage complet du compte (si
possible) apregraves plusieurs eacutechecs successifs Pour
les facteurs secondaires agrave dureacutee limiteacutee adaptez
la limitation du deacutebit agrave la dureacutee de vie du jeton
bull Journaux et alertes Collectez et analysez les
tentatives de deuxiegraveme facteur ayant eacutechoueacute En
cas drsquoeacutechec de plusieurs demandes de deuxiegraveme
facteur alertez lrsquoutilisateur ou un administrateur
de ce comportement suspect et invitez
lrsquoutilisateur agrave obtenir un nouveau jeton
bull Utilisez un jeton hors bande Un deuxiegraveme
facteur veacuterifieacute via un canal autre que celui
du premier facteur est un gage de protection
suppleacutementaire contre les attaques par force
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 12
brute (et par phishing) Ainsi la tendance
actuelle consiste agrave envoyer sur le smartphone
de lrsquoutilisateur une notification push contenant
des deacutetails sur la demande drsquoauthentification et
lrsquoinvitant agrave accepter ou refuser cette demande
Ce canal est inaccessible pour les attaques par
force brute classiques
Concilier gestion des risques ergonomie et coucirct
Quel que soit le contexte la conception drsquoune
fonctionnaliteacute drsquoauthentification multifacteur a
des reacutepercussions importantes sur la seacutecuriteacute
lrsquoergonomie et le coucirct Un deuxiegraveme facteur
offrant de meilleures garanties peut dans certains
cas alourdir la tacircche des utilisateurs et des
administrateurs ce qui freine lrsquoadoption du MFA et
reacuteduit drsquoautant la seacutecuriteacute Voici quelques bonnes
pratiques agrave mettre en œuvre pour trouver le juste
eacutequilibre entre gestion des risques ergonomie et
coucirct
bull Offrez des options adapteacutees agrave diffeacuterentes
populations drsquoutilisateurs Les risques varient
en fonction des populations drsquoutilisateurs et
exigent par conseacutequent des niveaux de garantie
diffeacuterents Par exemple un administrateur peut
avoir un peacuterimegravetre drsquoaccegraves plus large que celui
drsquoun utilisateur lambda Vous pouvez donc
preacutevoir des facteurs secondaires relativement
plus forts pour les administrateurs et offrir des
options plus pratiques aux utilisateurs Dans les
cas drsquousage grand public les preacutefeacuterences varient
drsquoun utilisateur agrave lrsquoautre et une option offrant
de faibles garanties mais pratique et donc
facilement adopteacutee peut se reacuteveacuteler plus sucircre
qursquoune option offrant une assurance maximale
mais boudeacutee par les utilisateurs
bull Optez pour lrsquoauthentification feacutedeacutereacutee Dans les
sceacutenarios drsquoentreprise de nombreuses socieacuteteacutes
mettent en place des systegravemes drsquoauthentification
unique et multifacteur en local pour les identiteacutes
dont elles assurent la gestion et les feacutedegraverent
avec les ressources Cette approche permet
aux eacutequipes de deacuteveloppement de produits de
confier lrsquoadministration des politiques et des
processus de seacutecuriteacute aux clients Les clients
peuvent ainsi impleacutementer lrsquoauthentification MFA
de maniegravere autonome ce qui leur permet
drsquooptimiser les points preacuteceacutedents en fonction de
leurs contextes et contraintes speacutecifiques Un
client peut par exemple adapter lrsquoadministration
de la reacutecupeacuteration de comptes agrave ses activiteacutes IT
Cette approche externaliseacutee preacutesente un autre
avantage elle permet aux utilisateurs drsquoacceacuteder
agrave la totaliteacute des ressources avec un seul et mecircme
jeton
Conclusion
Roadmap pour une authentification MFA efficace
En reacutesumeacute lrsquoauthentification multifacteur est une
excellente meacutethode qui permet aux deacuteveloppeurs
drsquoapplications de renforcer la seacutecuriteacute drsquoaccegraves agrave
leurs solutions Certaines conditions doivent ecirctre
remplies pour seacutecuriser une fonctionnaliteacute MFA
parmi lesquelles lrsquoanalyse du flux de reacutecupeacuteration
du deuxiegraveme facteur la protection contre les
attaques par force brute et lrsquoeacutequilibre entre seacutecuriteacute
ergonomie et coucirct
Une approche automatiseacutee et moderne de
lrsquoauthentification multifacteur aide agrave prendre le
controcircle des identifiants pour reacuteduire sensiblement
le risque de bregraveche Mais par quoi les entreprises
doivent-elles commencer
Nous vous conseillons de vous concentrer sur
quelques eacutetapes cleacutes
1 Eacuteliminer les mots de passe chaque fois que crsquoest
possible
2 Utiliser des mots de passe forts et uniques dans
les autres cas
3 Seacutecuriser les flux de reacutecupeacuteration de comptes
avec des facteurs principaux et secondaires
indeacutependants
4 Optimiser la seacutecuriteacute des applications
strateacutegiques gracircce agrave lrsquoauthentification forte
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 13
5 Adopter une strateacutegie unifieacutee pour les
applications on-premise cloud et mobiles
6 Automatiser le provisioning avec une deacutefinition
preacutecise des droits
7 Opter pour le deacuteprovisioning agrave lrsquoeacutechelle de
toute lrsquoentreprise et ameacuteliorer la visibiliteacute et le
reporting
8 Geacuteneacuterer en temps reacuteel des alertes et des
rapports centraliseacutes sur tous les eacuteveacutenements
drsquoauthentification
9 Inteacutegrer la strateacutegie de gestion des identiteacutes
avec les outils de seacutecuriteacute en place
10 Eacutetendre la gestion des identiteacutes et
lrsquoauthentification multifacteur aux partenaires
fournisseurs et sous-traitants
Pourquoi choisir Okta pour lrsquoauthentification MFA
Gracircce agrave son approche innovante de la gestion des
identiteacutes Okta est le mieux placeacute pour aider les
entreprises agrave geacuterer les identiteacutes et lrsquoauthentification
multifacteur afin de limiter les bregraveches Avec la
solution drsquoauthentification multifacteur drsquoOkta vous
pouvez
Geacuteneacuteraliser lrsquoutilisation de fonctions drsquoauthentification MFA forte
bull Deacuteployer rapidement et facilement
lrsquoauthentification MFA avec les
6 500 preacuteinteacutegrations drsquoOkta Integration
Network
bull Eacutetendre la couverture aux applications on-
premise gracircce agrave la prise en charge des
protocoles RADIUS RDP ADFS et LDAP
bull Mettre en place des politiques drsquoaccegraves
intelligentes et contextualiseacutees en fonction des
attributs de connexion et des terminaux
Neacuteanmoins lrsquoauthentification forte nrsquoest pas une
protection absolue contre les bregraveches Avec Okta
vous pouvez facilement
Centraliser la gestion des identiteacutes
bull Simplifier la gestion des comptes
bull Unifier lrsquoaccegraves pour offrir aux utilisateurs un
accegraves simplifieacute sans mot de passe
bull Reacuteduire les risques et la prolifeacuteration des
identiteacutes en limitant lrsquoaccegraves aux services via des
connexions SAML
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 14
Reacuteduire la surface drsquoattaque
bull Le provisioning et le deacuteprovisioning automatiseacutes
acceacutelegraverent lrsquoonboarding tout en eacuteliminant les
comptes orphelins
bull La solution peut ecirctre eacutetendue aux applications
ldquomaisonrdquo via le protocole SCIM un kit SDK et
lrsquoAPI drsquoOkta
bull La gestion complegravete du cycle de vie des
utilisateurs garantit un niveau drsquoaccegraves adapteacute aux
applications approprieacutees gracircce agrave des workflows
de demande drsquoaccegraves
Reacuteagir plus rapidement aux tentatives de piratage
bull Obtenir une vue centraliseacutee de toutes les
donneacutees drsquoauthentification des applications
cloud mobiles et on-premise
bull Repeacuterer les comportements inhabituels et
suspects
bull Enrichir et eacutetoffer votre environnement de
cyberseacutecuriteacute via lrsquoAPI SysLog Okta (Splunk
ArcSight IBM QRadar Palo Alto Networks
F5 Networks)
Pour deacutecouvrir agrave quel point il est
facile drsquoadministrer la solution
Okta drsquoauthentification Adaptive
(AMFA) et de piloter le processus
drsquoauthentification
visionnez cette deacutemo
Agrave propos drsquoOkta
Okta est un eacutediteur indeacutependant speacutecialiseacute dans la gestion
et la protection des donneacutees drsquoidentification leader du
secteur La plateforme Okta Identity Cloud connecte et
protegravege les collaborateurs des plus grandes entreprises
au monde en plus drsquoassurer une connexion seacutecuriseacutee
avec leurs partenaires fournisseurs et clients Gracircce agrave son
inteacutegration avanceacutee agrave plus de 6 500 applications Okta
Identity Cloud permet agrave nrsquoimporte quel utilisateur de se
connecter facilement et en toute seacutecuriteacute tous terminaux
confondus Des milliers de clients dont 20th Century
Fox Adobe Dish Networks Experian Flex LinkedIn et
News Corp font confiance agrave Okta pour ameacuteliorer leur
productiviteacute doper leur chiffre drsquoaffaires et preacuteserver leur
seacutecuriteacute Gracircce agrave Okta ils peuvent acceacuteder facilement
et sans risque aux technologies dont ils ont besoin pour
accomplir leurs missions strateacutegiques
Pour en savoir plus consultez le site wwwoktacomfr ou
suivez-nous sur wwwoktacomblog
Utiliser lrsquoIAM et le MFA agrave lrsquoacircge drsquoor des cyberattaques
Les menaces se multiplient malwares piratage phishing social engineeringhellip Ces tactiques se
soldent souvent par le piratage de comptes et le vol didentifiants
Extension de la base
utilisateurs agrave des personnes
externes agrave lrsquoentreprise
Gestion des identiteacutes et des accegraves dans plusieurs
environnements applicatifs
Reacuteutilisation des mecircmes
mots de passe
Controcircles drsquoauthentification
peu pratiques ignoreacutes ou
contourneacutes
Inteacutegration avec les solutions de seacutecuriteacute
en place (50 dans les grandes entreprises)
Vol drsquoidentifiants
Absence de politiques IAM
Collecte drsquoinformations et rapports sur les
modegraveles drsquoaccegraves des utilisateurs
Principaux problegravemes de seacutecuriteacute lieacutes agrave lidentiteacute
Les grands deacutefis de la gestion des identiteacutes et des accegraves
59 43 33
29 24
6135 35
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 04
Anticiper lrsquoavenir - Prioriteacute de lrsquoIAM et eacutevaluation des fonctionnaliteacutes IAM actuelles
Gestion des identiteacutes et
des accegraves dans plusieurs
environnements applicatifs92 des managers77
30 indiquent une
bonne ou meilleure
capaciteacute agrave deacutetecter
lutilisation illeacutegitime
didentifiants
45 integravegrent les
donneacutees IAM dans
leur SOC (Security
Operations Center)
Authentification dans tous
les services et applications
permettant deacutelargir la base
utilisateurs en toute seacutecuriteacute
Ameacutelioration de lexpeacuterience
utilisateur avec des
controcircles utilisateurs moins
contraignants
Adoption de controcircles daccegraves
plus stricts
Automatisation du provisioning
deacuteprovisioning
Faire face aux problegravemes de seacutecuriteacute principaux avantages potentiels des solutions IAM
53
45
43
43
Consultez le site dOkta pour en savoir plus sur lIAM et le MFA
Enquecircte IDG
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 05
7 eacuteleacutements agrave prendre en compte avant drsquoadopter lrsquoauthentification multifacteur (MFA)Les mots de passe sont complexes agrave mettre en
œuvre Leurs critegraveres de creacuteation de plus en plus
stricts sont censeacutes les rendre plus sucircrs mais dans
bien des cas ils produisent lrsquoeffet inverse Les
mots de passe qui respectent toutes les exigences
de seacutecuriteacute sont difficiles agrave meacutemoriser et souvent
reacuteutiliseacutes drsquoun site agrave lrsquoautre Les utilisateurs les
griffonnent sur des Post-it Ils emploient des noms
drsquoanimaux de compagnie des dates de naissance
ou des numeacuteros de teacuteleacutephone familiers tous
faciles agrave deviner Bref en matiegravere de protection
de donneacutees nous sommes loin de la panaceacutee
Heureusement certaines entreprises commencent
agrave prendre conscience du danger mais aussi agrave
adheacuterer au principe selon lequel les accegraves doivent
ecirctre dissuasifs pour les pirates et simples pour les
utilisateurs autoriseacutes La meilleure solution consiste
agrave opter pour lrsquoauthentification multifacteur ou MFA
(Multi-Factor Authentication)
Lrsquoauthentification MFA est un excellent moyen
de proteacuteger les applications et services de vos
utilisateurs finaux contre tout accegraves non autoriseacute
Voici quelques points agrave prendre en consideacuteration si
vous envisagez de lrsquoadopter
1 Sensibiliser les utilisateurs
Vous deacuteployez lrsquoauthentification multifacteur
pour reacuteduire les risques que preacutesentent les accegraves
reposant sur un simple mot de passe mais certains
utilisateurs pourraient trouver cette nouvelle
meacutethode fastidieuse et craindre que ce changement
leur fasse perdre un temps preacutecieux
Veillez donc agrave ce que tous les collaborateurs du
management aux utilisateurs finaux comprennent
bien les raisons de cette transition vers
lrsquoauthentification multifacteur Il est important
drsquoobtenir lrsquoadheacutesion de toute lrsquoentreprise afin que
chacun contribue activement agrave sa seacutecuriteacute Menez
des actions de sensibilisation aupregraves des utilisateurs
pour les aider agrave cerner les avantages de cette eacutetape
suppleacutementaire
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 06
2 Deacutefinir les politiques MFA
Afin de ne pas alourdir le coucirct drsquoun
deacuteploiement MFA il est recommandeacute de concilier
seacutecuriteacute et ergonomie Vos politiques MFA doivent
donc deacutecrire quand et comment appliquer un
facteur suppleacutementaire
Bien que cela puisse sembler paradoxal il est
parfois judicieux drsquoappliquer lrsquoauthentification
renforceacutee avec parcimonie plutocirct qursquoagrave tout-va
Pour ecirctre efficaces les politiques axeacutees sur les
risques ne doivent deacuteclencher une authentification
renforceacutee qursquoen cas de neacutecessiteacute
On peut par exemple imaginer une politique qui
exige un deuxiegraveme facteur uniquement en cas de
connexion agrave un service en dehors du reacuteseau de
lrsquoentreprise (sur la base drsquoune seacuterie drsquoadresses IP)
ou en dehors du pays (sur la base de donneacutees de
geacuteolocalisation) De mecircme il est envisageable
drsquoappliquer une politique plus stricte agrave un
groupe drsquoutilisateurs ayant accegraves agrave des donneacutees
sensibles Lrsquoauthentification MFA vous permet
drsquoexiger un deuxiegraveme facteur pour acceacuteder aux
ressources sensibles mais pas pour consulter le
calendrier des eacuteveacutenements de lrsquoentreprise Lrsquoideacutee
est de rendre cette veacuterification suppleacutementaire
la plus transparente possible afin de garantir
une expeacuterience utilisateur satisfaisante sans
compromettre la seacutecuriteacute
3 Srsquoadapter aux diffeacuterentes demandes drsquoaccegraves
Il arrive qursquoun utilisateur dispose drsquoun accegraves agrave
Internet mais que sa couverture mobile soit faible
voire inexistante Crsquoest parfois le cas agrave bord drsquoun
avion proposant le Wi-Fi dans une habitation en
zone rurale ou tout simplement au sous-sol drsquoun
grand bacirctiment en beacuteton Dans ces situations ougrave les
services vocaux et SMS ne sont pas disponibles
Okta Verify avec envoi de notifications push ou
geacuteneacuteration de mots de passe agrave usage unique (OTP)
constitue une alternative inteacuteressante le chiffrement
des communications srsquoopeacuterant sur la connexion
Internet du teacuteleacutephone
Les dispositifs physiques qui geacutenegraverent des mots
de passe agrave usage unique agrave dureacutee limiteacutee (TOTP)
ou baseacutes sur des eacuteveacutenements ne neacutecessitent
aucun canal de communication Ils sont aussi plus
difficiles agrave pirater ou agrave copier Mais au-delagrave du coucirct
de deacuteploiement ces terminaux constituent une
contrainte suppleacutementaire pour les utilisateurs qui
peuvent les oublier chez eux ou mecircme les perdre
Cette solution nrsquoest donc pas forceacutement judicieuse
pour les sous-traitants agrave court terme et les
entreprises agrave forte rotation drsquoeffectifs
En ce qui concerne les facteurs MFA un grand
nombre de possibiliteacutes srsquooffrent agrave vous pour couvrir
une multitude de sceacutenarios Optez pour une
configuration adapteacutee agrave votre entreprise tout en
sachant que srsquoil nrsquoexiste pas de solution standard
(il y en a rarement) lrsquoapplication de plusieurs
politiques et facteurs est le meilleur moyen de geacuterer
toutes les situations
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 07
4 Peser le pour et le contre de lenvoi de mots de passe agrave usage unique par SMS
Les SMS sont tregraves pratiques et avec la multiplication
des teacuteleacutephones mobiles et tablettes ils sont
devenus un moyen de communication courant
notamment pour lrsquoenvoi de mots de passe agrave usage
unique Srsquoils sont geacuteneacuteralement consideacutereacutes comme
suffisamment seacutecuriseacutes dans ce cas de figure crsquoest
en partie ducirc au fait que lrsquoinfrastructure sous-jacente
est agrave la fois proprieacutetaire et opaque
Des eacutetudes montrent cependant que la seacutecuriteacute
des SMS est fait deacutefaut et pas seulement dans le
cas des vulneacuterabiliteacutes documenteacutees En y ayant
recours vous faites confiance aux bonnes pratiques
de seacutecuriteacute des opeacuterateurs de teacuteleacutecommunications
mais le risque de compromissions par usurpation
drsquoidentiteacute ou social engineering subsiste Bien
souvent il nrsquoest pas tregraves compliqueacute pour un pirate
de transfeacuterer votre numeacutero sur un terminal qursquoil
controcircle et drsquoacceacuteder ainsi agrave vos SMS et mots de
passe agrave usage unique
Si la CNIL deacuteconseille drsquoutiliser les SMS pour
ces raisons preacutecises il vous incombe neacuteanmoins
drsquoeacutevaluer votre exposition aux risques en fonction
de vos utilisateurs de vos cas drsquousage et des
donneacutees agrave proteacuteger Apregraves tout lrsquoauthentification
multifacteur par SMS nrsquoest pas parfaite mais elle
vaut mieux que son absence totale
5 Eacutetudier attentivement les exigences de conformiteacute
La plupart des normes de conformiteacute IT telles que
PCI DSS SOX et HIPAA exigent des controcircles
drsquoauthentification stricts ce qui peut justifier un
deacuteploiement MFA Cela peut paraicirctre eacutevident
mais si vous voulez vous conformer agrave ces normes
vous devez en cerner toutes les exigences afin de
pouvoir adapter votre configuration et vos politiques
en conseacutequence
Par exemple les normes PCI et HIPAA neacutecessitent
une authentification forte avec application drsquoau
moins deux des trois facteurs suivants un facteur
de connaissance un facteur de possession et un
facteur de biomeacutetrie La norme SOX est moins
centreacutee sur la technologie mais en cas drsquoaudit
vous devez prouver que les donneacutees financiegraveres et
comptables de votre entreprise sont seacutecuriseacutees
La conformiteacute IT neacutecessite de mettre en œuvre les
normes pertinentes mais aussi de prouver que
leurs principes sont respecteacutes Documentez vos
configurations et impleacutementations afin de pouvoir
deacutemontrer rapidement et avec assurance que toutes
les conditions sont remplies
Vous vous en feacuteliciterez plus tard et votre
entreprise vous en sera reconnaissante
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 08
6 Preacutevoir les mesures agrave prendre en cas de perte drsquoun terminal
Dans le cadre drsquoun deacuteploiement MFA classique le
deuxiegraveme facteur drsquoauthentification est un laquo facteur
de possession raquo (le premier eacutetant un laquo facteur de
connaissance raquo et le troisiegraveme un laquo facteur de
biomeacutetrie raquo) Dans le cas drsquoun SMS drsquoun message
vocal ou drsquoune application drsquoauthentification comme
Okta Verify ou Google Authenticator lrsquoutilisateur
se sert de son teacuteleacutephone Et dans le cas drsquoun
jeton physique de type YubiKey ou RSA il est en
possession du dispositif en question Or tout ce qui
est en sa possession peut ecirctre eacutegareacute
Votre support IT doit donc ecirctre assorti drsquoune
proceacutedure de gestion des terminaux perdus Pensez
agrave inclure les appareils utiliseacutes pour le MFA et veillez
agrave ce que la perte drsquoun eacutequipement entraicircne
bull lrsquoexpiration des sessions en cours et un demande de reacuteauthentification de lrsquoutilisateur
bull la dissociation de lrsquoeacutequipement du compte utilisateur et des droits drsquoaccegraves correspondants
bull la suppression agrave distance des informations de lrsquoentreprise sur les terminaux mobiles si neacutecessaire
Il est eacutegalement important drsquoauditer les activiteacutes
du compte utilisateur avant la perte du terminal
afin de deacutetecter toute activiteacute inhabituelle En cas
drsquoeacuteveacutenement suspect recherchez les eacuteventuelles
bregraveches et faites-les remonter le cas eacutecheacuteant
Une fois les premiegraveres mesures de seacutecuriteacute prises
donnez agrave lrsquoutilisateur les moyens de se remettre
au travail en lui fournissant un terminal de
remplacement ou une autre meacutethode de connexion
Un appel au service drsquoassistance IT pour veacuterifier son
identiteacute peut par exemple lui permettre de rester
productif en attendant lrsquoimpleacutementation des facteurs
de remplacement
7 Se preacuteparer agrave reacuteexaminer et reacuteviser la configuration
Rares sont les politiques et deacuteploiements
complexes qui conviennent parfaitement drsquoembleacutee
Sachant qursquoun changement de processus peut
potentiellement impacter tous les collaborateurs
il est conseilleacute drsquoeacutevaluer lrsquoefficaciteacute drsquoune
solution MFA deacuteployeacutee et utiliseacutee pour ensuite
affiner les regravegles suivant les observations
effectueacutees
Familiarisez-vous en amont du processus avec
la fonctionnaliteacute drsquoaudit qui vous sera tregraves utile
pour reacutesoudre les problegravemes de configuration et
ajuster les politiques comme il convient Une fois
votre MFA deacuteployeacute faites appel agrave des outils drsquoaudit
pour veacuterifier ponctuellement le taux drsquoadoption et
lrsquousage Il peut eacutegalement ecirctre judicieux de donner
la possibiliteacute aux utilisateurs de soumettre des
commentaires
Et si les utilisateurs ne prennent pas toujours le
temps de reacutediger un feedback eacutecrit une trace
drsquoaudit vous offrira une certaine visibiliteacute sur leur
expeacuterience Ont-ils ducirc srsquoy reprendre agrave trois fois pour
saisir leur mot de passe agrave usage unique Ont-ils
abandonneacute Ces difficulteacutes peuvent ecirctre lieacutees agrave une
mauvaise configuration agrave un manque de formation
ou tout simplement agrave un sceacutenario qui nrsquoavait pas eacuteteacute
envisageacute dans le plan de deacuteploiement initial
Utiliser des outils drsquoaudit et encourager les
collaborateurs agrave donner leur avis est le meilleur
moyen drsquoassurer agrave toutes les parties prenantes
que le systegraveme fonctionne comme preacutevu et que les
nouvelles politiques de seacutecuriteacute sont bien adopteacutees
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 09
Lrsquoauthentification multifacteur adaptative un plus pour lrsquoentreprise
Ces conseils constituent un excellent point de
deacutepart et si lrsquoauthentification MFA renforceacutee
peut vous permettre de controcircler preacuteciseacutement
quand et comment appliquer lrsquoauthentification
multifacteur sa configuration exige toutefois
mucircre reacuteflexion Mecircme avec des politiques
et critegraveres bien deacutefinis il se peut que vous
souhaitiez prendre des deacutecisions sur le
moment mecircme en fonction des changements
de contextes lieacutes agrave lrsquoutilisateur ou au terminal
Si vous souhaitez effectuer des changements
dynamiques testez la solution Okta
Adaptive MFA qui identifie les modegraveles
drsquoaccegraves puis adapte la politique agrave chaque
utilisateur ou groupe
Ainsi un deuxiegraveme facteur drsquoauthentification
peut ecirctre demandeacute peacuteriodiquement aux
collaborateurs qui se deacuteplacent et consultent
reacuteguliegraverement leurs e-mails depuis lrsquoeacutetranger
et systeacutematiquement agrave ceux qui en temps
normal ne se deacuteplacent jamais Les politiques
axeacutees sur les risques peuvent eacutegalement
srsquoappliquer en cas drsquoeacuteveacutenement suspect Citons
par exemple lrsquoactivation de lrsquoauthentification
forte lors de tentatives drsquoaccegraves agrave des
ressources via un proxy non autoriseacute ou
encore le blocage automatique des adresses IP
malveillantes connues
Okta Adaptive MFA est une solution efficace
pour deacutefinir automatiquement des politiques
dynamiques au fil du temps Concregravetement elle
offre agrave votre entreprise le niveau de seacutecuriteacute
exigeacute et la flexibiliteacute neacutecessaire pour traiter les
utilisateurs de maniegravere individuelle
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 10
Une seacutecuriteacute optimale gracircce agrave lrsquoauthentification multifacteur
Trois bonnes pratiques pour les ingeacutenieurs et les chefs de produit
Introduction
Les publications expliquant comment concevoir
une solution drsquoauthentification seacutecuriseacutee pour les
systegravemes informatiques ne manquent pas Nous
proposons ici des conseils pratiques inspireacutes
par notre expeacuterience de collaboration avec des
ingeacutenieurs et des eacutequipes produits et destineacutes agrave
ceux qui deacuteveloppent une solution drsquoauthentification
multifacteur pour leurs applications Voici trois
moyens de renforcer la seacutecuriteacute drsquoune solution
drsquoauthentification MFA
bull Deacuteterminer et geacuterer la vulneacuterabiliteacute du processus de reacutecupeacuteration de comptes
bull Proteacuteger les flux de connexion des attaques par force brute
bull Concilier gestion des risques ergonomie et coucirct
Nous partons ici du principe que le mot de passe
a eacuteteacute compromis et qursquoun deuxiegraveme facteur est
neacutecessaire
Deacuteterminer et geacuterer la vulneacuterabiliteacute du processus de reacutecupeacuteration de comptes
Lrsquoauthentification multifacteur nrsquoest seacutecuriseacutee que
si ses flux de reacutecupeacuteration de comptes le sont
eacutegalement Dans de nombreux cas reacutecents ultra-
meacutediatiseacutes les pirates avaient su exploiter les
vulneacuterabiliteacutes du processus de reacutecupeacuteration pour
prendre le controcircle drsquoun compte
Prenons lrsquoexemple de lrsquoapplication web
drsquoune entreprise qui inteacutegrerait un dispositif
drsquoauthentification multifacteur baseacute sur un jeton
logiciel installeacute sur le smartphone drsquoun utilisateur
Supposons que lrsquoapplication permette agrave ce dernier
drsquoenregistrer un numeacutero de teacuteleacutephone pour recevoir
un deuxiegraveme facteur de secours afin de reacutecupeacuterer
son compte srsquoil ne parvient pas agrave acceacuteder agrave son
jeton logiciel Dans ce cas lrsquoefficaciteacute du deuxiegraveme
facteur deacutepend du niveau de seacutecuriteacute des processus
utiliseacutes par lrsquoopeacuterateur de teacuteleacutecommunications
pour authentifier lrsquoabonneacute et lui transmettre des
appels ou des SMS Un pirate parviendrait-il agrave
usurper lrsquoidentiteacute de lrsquoutilisateur et agrave convaincre ou
contraindre un chargeacute de clientegravele de transfeacuterer les
appels ou les SMS vers un numeacutero qursquoil controcircle
Chaque deuxiegraveme facteur exige une meacutethode de
remplacement La question est donc de savoir
comment mettre au point des flux de reacutecupeacuteration
seacutecuriseacutes Voici quelques conseils pour y parvenir
sachant que lrsquoapproche peut varier selon les
circonstances
bull Indeacutependance des facteurs principaux et
secondaires Dissociez la reacutecupeacuteration
du deuxiegraveme facteur de celle du premier
Si un pirate a accegraves au premier facteur
drsquoauthentification le deuxiegraveme devient inefficace
srsquoil peut ecirctre reacuteinitialiseacute sur simple saisie du mot
de passe En outre le flux de reacutecupeacuteration du
deuxiegraveme facteur doit ecirctre totalement distinct
de celui du mot de passe Par exemple si la
reacutecupeacuteration du mot de passe srsquoeffectue par
e-mail veillez agrave reacutecupeacuterer le deuxiegraveme facteur
par un autre canal
bull Faites intervenir un administrateur Dans bien
des cas un administrateur est parfaitement
capable de mettre en place une meacutethode
drsquoauthentification sophistiqueacutee offrant des
garanties eacuteleveacutees
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 11
Dans les sceacutenarios drsquoentreprise les socieacuteteacutes qui
utilisent des secrets partageacutes issus des travaux
ou du profil des collaborateurs de lrsquoorganisation
elle-mecircme ou des relations humaines sont mieux
armeacutees pour authentifier leurs propres effectifs
Lrsquoapproche consistant agrave demander au responsable
drsquoun collaborateur drsquoauthentifier cet utilisateur
avant drsquoautoriser lrsquoeacutequipe IT agrave reacuteinitialiser les
identifiants MFA est particuliegraverement inteacuteressante
Dans les cas drsquousage grand public un
administrateur peut interroger un utilisateur
sur un grand nombre de secrets partageacutes Par
exemple lors de lrsquoonboarding les applications
bancaires reacuteserveacutees aux particuliers collectent
diverses informations personnelles peu connues
qui deviennent des secrets partageacutes destineacutes
agrave la reacutecupeacuteration des comptes Par ailleurs les
reacutecents eacuteveacutenements figurant dans lrsquohistorique de
la personne avec lrsquoapplication ou la socieacuteteacute sont
autant de secrets partageacutes possibles Lrsquoeacutevaluation
drsquoun ensemble de secrets partageacutes peut ecirctre
automatiseacutee en ligne ou par voie vocale ce qui offre
la plupart du temps de meilleures garanties qursquoun
ecirctre humain plus exposeacute au social engineering
bull Preacutevoyez un deuxiegraveme facteur de secours De
nombreuses situations exigent une meacutethode
automatiseacutee de reacutecupeacuteration du deuxiegraveme
facteur Crsquoest notamment le cas des produits
desservant un grand nombre drsquoutilisateurs
et dont lrsquoassistance individuelle est hors de
prix ou lorsqursquoil est neacutecessaire de reacuteduire les
coucircts drsquoexploitation En adheacuterant agrave plusieurs
facteurs secondaires lors de lrsquoonboarding
lrsquoutilisateur peut reacutecupeacuterer un deuxiegraveme facteur
en srsquoidentifiant au moyen drsquoun second facteur
de secours Fournir aux utilisateurs une carte
(physique ou imprimable) contenant une seacuterie
de codes agrave usage unique pouvant servir de
deuxiegraveme facteur de secours est une pratique
judicieuse simple et eacuteconomique
Proteacuteger les flux de connexion des attaques par force brute
Plus les ressources informatiques bon marcheacute se
multiplient plus les systegravemes drsquoauthentification sont
exposeacutes aux attaques par force brute Plusieurs
techniques simples permettent toutefois drsquoameacuteliorer
sensiblement la seacutecuriteacute de lrsquoauthentification
multifacteur en cas de piratage du mot de passe
bull Seacutequence de flux de connexion limitation du
deacutebit et blocage de comptes Placer la demande
de deuxiegraveme facteur sur une page situeacutee en
dessous de la page de connexion offre deux
avantages Premiegraverement lrsquoutilisateur est
proteacutegeacute contre les attaques destineacutees agrave bloquer
son compte une fois le nombre maximal drsquoeacutechecs
de connexion atteint (sous reacuteserve qursquoune
limitation du deacutebit soit appliqueacutee pour le premier
facteur) Deuxiegravemement dans la mesure ougrave le
deuxiegraveme facteur est dissimuleacute le pirate a moins
de visibiliteacute sur une autre couche de seacutecuriteacute
Instaurez une limitation du deacutebit et une regravegle
de blocage pour le deuxiegraveme facteur Comme
il est peu probable qursquoun utilisateur se trompe
plusieurs fois en entrant son jeton la suspicion
drsquoattaque doit se renforcer agrave chaque tentative
rateacutee Les temps de reacuteponse doivent augmenter
agrave chaque tentative afin de reacuteduire le nombre
maximal drsquoessais possibles par uniteacute de temps
avec un verrouillage complet du compte (si
possible) apregraves plusieurs eacutechecs successifs Pour
les facteurs secondaires agrave dureacutee limiteacutee adaptez
la limitation du deacutebit agrave la dureacutee de vie du jeton
bull Journaux et alertes Collectez et analysez les
tentatives de deuxiegraveme facteur ayant eacutechoueacute En
cas drsquoeacutechec de plusieurs demandes de deuxiegraveme
facteur alertez lrsquoutilisateur ou un administrateur
de ce comportement suspect et invitez
lrsquoutilisateur agrave obtenir un nouveau jeton
bull Utilisez un jeton hors bande Un deuxiegraveme
facteur veacuterifieacute via un canal autre que celui
du premier facteur est un gage de protection
suppleacutementaire contre les attaques par force
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 12
brute (et par phishing) Ainsi la tendance
actuelle consiste agrave envoyer sur le smartphone
de lrsquoutilisateur une notification push contenant
des deacutetails sur la demande drsquoauthentification et
lrsquoinvitant agrave accepter ou refuser cette demande
Ce canal est inaccessible pour les attaques par
force brute classiques
Concilier gestion des risques ergonomie et coucirct
Quel que soit le contexte la conception drsquoune
fonctionnaliteacute drsquoauthentification multifacteur a
des reacutepercussions importantes sur la seacutecuriteacute
lrsquoergonomie et le coucirct Un deuxiegraveme facteur
offrant de meilleures garanties peut dans certains
cas alourdir la tacircche des utilisateurs et des
administrateurs ce qui freine lrsquoadoption du MFA et
reacuteduit drsquoautant la seacutecuriteacute Voici quelques bonnes
pratiques agrave mettre en œuvre pour trouver le juste
eacutequilibre entre gestion des risques ergonomie et
coucirct
bull Offrez des options adapteacutees agrave diffeacuterentes
populations drsquoutilisateurs Les risques varient
en fonction des populations drsquoutilisateurs et
exigent par conseacutequent des niveaux de garantie
diffeacuterents Par exemple un administrateur peut
avoir un peacuterimegravetre drsquoaccegraves plus large que celui
drsquoun utilisateur lambda Vous pouvez donc
preacutevoir des facteurs secondaires relativement
plus forts pour les administrateurs et offrir des
options plus pratiques aux utilisateurs Dans les
cas drsquousage grand public les preacutefeacuterences varient
drsquoun utilisateur agrave lrsquoautre et une option offrant
de faibles garanties mais pratique et donc
facilement adopteacutee peut se reacuteveacuteler plus sucircre
qursquoune option offrant une assurance maximale
mais boudeacutee par les utilisateurs
bull Optez pour lrsquoauthentification feacutedeacutereacutee Dans les
sceacutenarios drsquoentreprise de nombreuses socieacuteteacutes
mettent en place des systegravemes drsquoauthentification
unique et multifacteur en local pour les identiteacutes
dont elles assurent la gestion et les feacutedegraverent
avec les ressources Cette approche permet
aux eacutequipes de deacuteveloppement de produits de
confier lrsquoadministration des politiques et des
processus de seacutecuriteacute aux clients Les clients
peuvent ainsi impleacutementer lrsquoauthentification MFA
de maniegravere autonome ce qui leur permet
drsquooptimiser les points preacuteceacutedents en fonction de
leurs contextes et contraintes speacutecifiques Un
client peut par exemple adapter lrsquoadministration
de la reacutecupeacuteration de comptes agrave ses activiteacutes IT
Cette approche externaliseacutee preacutesente un autre
avantage elle permet aux utilisateurs drsquoacceacuteder
agrave la totaliteacute des ressources avec un seul et mecircme
jeton
Conclusion
Roadmap pour une authentification MFA efficace
En reacutesumeacute lrsquoauthentification multifacteur est une
excellente meacutethode qui permet aux deacuteveloppeurs
drsquoapplications de renforcer la seacutecuriteacute drsquoaccegraves agrave
leurs solutions Certaines conditions doivent ecirctre
remplies pour seacutecuriser une fonctionnaliteacute MFA
parmi lesquelles lrsquoanalyse du flux de reacutecupeacuteration
du deuxiegraveme facteur la protection contre les
attaques par force brute et lrsquoeacutequilibre entre seacutecuriteacute
ergonomie et coucirct
Une approche automatiseacutee et moderne de
lrsquoauthentification multifacteur aide agrave prendre le
controcircle des identifiants pour reacuteduire sensiblement
le risque de bregraveche Mais par quoi les entreprises
doivent-elles commencer
Nous vous conseillons de vous concentrer sur
quelques eacutetapes cleacutes
1 Eacuteliminer les mots de passe chaque fois que crsquoest
possible
2 Utiliser des mots de passe forts et uniques dans
les autres cas
3 Seacutecuriser les flux de reacutecupeacuteration de comptes
avec des facteurs principaux et secondaires
indeacutependants
4 Optimiser la seacutecuriteacute des applications
strateacutegiques gracircce agrave lrsquoauthentification forte
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 13
5 Adopter une strateacutegie unifieacutee pour les
applications on-premise cloud et mobiles
6 Automatiser le provisioning avec une deacutefinition
preacutecise des droits
7 Opter pour le deacuteprovisioning agrave lrsquoeacutechelle de
toute lrsquoentreprise et ameacuteliorer la visibiliteacute et le
reporting
8 Geacuteneacuterer en temps reacuteel des alertes et des
rapports centraliseacutes sur tous les eacuteveacutenements
drsquoauthentification
9 Inteacutegrer la strateacutegie de gestion des identiteacutes
avec les outils de seacutecuriteacute en place
10 Eacutetendre la gestion des identiteacutes et
lrsquoauthentification multifacteur aux partenaires
fournisseurs et sous-traitants
Pourquoi choisir Okta pour lrsquoauthentification MFA
Gracircce agrave son approche innovante de la gestion des
identiteacutes Okta est le mieux placeacute pour aider les
entreprises agrave geacuterer les identiteacutes et lrsquoauthentification
multifacteur afin de limiter les bregraveches Avec la
solution drsquoauthentification multifacteur drsquoOkta vous
pouvez
Geacuteneacuteraliser lrsquoutilisation de fonctions drsquoauthentification MFA forte
bull Deacuteployer rapidement et facilement
lrsquoauthentification MFA avec les
6 500 preacuteinteacutegrations drsquoOkta Integration
Network
bull Eacutetendre la couverture aux applications on-
premise gracircce agrave la prise en charge des
protocoles RADIUS RDP ADFS et LDAP
bull Mettre en place des politiques drsquoaccegraves
intelligentes et contextualiseacutees en fonction des
attributs de connexion et des terminaux
Neacuteanmoins lrsquoauthentification forte nrsquoest pas une
protection absolue contre les bregraveches Avec Okta
vous pouvez facilement
Centraliser la gestion des identiteacutes
bull Simplifier la gestion des comptes
bull Unifier lrsquoaccegraves pour offrir aux utilisateurs un
accegraves simplifieacute sans mot de passe
bull Reacuteduire les risques et la prolifeacuteration des
identiteacutes en limitant lrsquoaccegraves aux services via des
connexions SAML
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 14
Reacuteduire la surface drsquoattaque
bull Le provisioning et le deacuteprovisioning automatiseacutes
acceacutelegraverent lrsquoonboarding tout en eacuteliminant les
comptes orphelins
bull La solution peut ecirctre eacutetendue aux applications
ldquomaisonrdquo via le protocole SCIM un kit SDK et
lrsquoAPI drsquoOkta
bull La gestion complegravete du cycle de vie des
utilisateurs garantit un niveau drsquoaccegraves adapteacute aux
applications approprieacutees gracircce agrave des workflows
de demande drsquoaccegraves
Reacuteagir plus rapidement aux tentatives de piratage
bull Obtenir une vue centraliseacutee de toutes les
donneacutees drsquoauthentification des applications
cloud mobiles et on-premise
bull Repeacuterer les comportements inhabituels et
suspects
bull Enrichir et eacutetoffer votre environnement de
cyberseacutecuriteacute via lrsquoAPI SysLog Okta (Splunk
ArcSight IBM QRadar Palo Alto Networks
F5 Networks)
Pour deacutecouvrir agrave quel point il est
facile drsquoadministrer la solution
Okta drsquoauthentification Adaptive
(AMFA) et de piloter le processus
drsquoauthentification
visionnez cette deacutemo
Agrave propos drsquoOkta
Okta est un eacutediteur indeacutependant speacutecialiseacute dans la gestion
et la protection des donneacutees drsquoidentification leader du
secteur La plateforme Okta Identity Cloud connecte et
protegravege les collaborateurs des plus grandes entreprises
au monde en plus drsquoassurer une connexion seacutecuriseacutee
avec leurs partenaires fournisseurs et clients Gracircce agrave son
inteacutegration avanceacutee agrave plus de 6 500 applications Okta
Identity Cloud permet agrave nrsquoimporte quel utilisateur de se
connecter facilement et en toute seacutecuriteacute tous terminaux
confondus Des milliers de clients dont 20th Century
Fox Adobe Dish Networks Experian Flex LinkedIn et
News Corp font confiance agrave Okta pour ameacuteliorer leur
productiviteacute doper leur chiffre drsquoaffaires et preacuteserver leur
seacutecuriteacute Gracircce agrave Okta ils peuvent acceacuteder facilement
et sans risque aux technologies dont ils ont besoin pour
accomplir leurs missions strateacutegiques
Pour en savoir plus consultez le site wwwoktacomfr ou
suivez-nous sur wwwoktacomblog
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 04
Anticiper lrsquoavenir - Prioriteacute de lrsquoIAM et eacutevaluation des fonctionnaliteacutes IAM actuelles
Gestion des identiteacutes et
des accegraves dans plusieurs
environnements applicatifs92 des managers77
30 indiquent une
bonne ou meilleure
capaciteacute agrave deacutetecter
lutilisation illeacutegitime
didentifiants
45 integravegrent les
donneacutees IAM dans
leur SOC (Security
Operations Center)
Authentification dans tous
les services et applications
permettant deacutelargir la base
utilisateurs en toute seacutecuriteacute
Ameacutelioration de lexpeacuterience
utilisateur avec des
controcircles utilisateurs moins
contraignants
Adoption de controcircles daccegraves
plus stricts
Automatisation du provisioning
deacuteprovisioning
Faire face aux problegravemes de seacutecuriteacute principaux avantages potentiels des solutions IAM
53
45
43
43
Consultez le site dOkta pour en savoir plus sur lIAM et le MFA
Enquecircte IDG
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 05
7 eacuteleacutements agrave prendre en compte avant drsquoadopter lrsquoauthentification multifacteur (MFA)Les mots de passe sont complexes agrave mettre en
œuvre Leurs critegraveres de creacuteation de plus en plus
stricts sont censeacutes les rendre plus sucircrs mais dans
bien des cas ils produisent lrsquoeffet inverse Les
mots de passe qui respectent toutes les exigences
de seacutecuriteacute sont difficiles agrave meacutemoriser et souvent
reacuteutiliseacutes drsquoun site agrave lrsquoautre Les utilisateurs les
griffonnent sur des Post-it Ils emploient des noms
drsquoanimaux de compagnie des dates de naissance
ou des numeacuteros de teacuteleacutephone familiers tous
faciles agrave deviner Bref en matiegravere de protection
de donneacutees nous sommes loin de la panaceacutee
Heureusement certaines entreprises commencent
agrave prendre conscience du danger mais aussi agrave
adheacuterer au principe selon lequel les accegraves doivent
ecirctre dissuasifs pour les pirates et simples pour les
utilisateurs autoriseacutes La meilleure solution consiste
agrave opter pour lrsquoauthentification multifacteur ou MFA
(Multi-Factor Authentication)
Lrsquoauthentification MFA est un excellent moyen
de proteacuteger les applications et services de vos
utilisateurs finaux contre tout accegraves non autoriseacute
Voici quelques points agrave prendre en consideacuteration si
vous envisagez de lrsquoadopter
1 Sensibiliser les utilisateurs
Vous deacuteployez lrsquoauthentification multifacteur
pour reacuteduire les risques que preacutesentent les accegraves
reposant sur un simple mot de passe mais certains
utilisateurs pourraient trouver cette nouvelle
meacutethode fastidieuse et craindre que ce changement
leur fasse perdre un temps preacutecieux
Veillez donc agrave ce que tous les collaborateurs du
management aux utilisateurs finaux comprennent
bien les raisons de cette transition vers
lrsquoauthentification multifacteur Il est important
drsquoobtenir lrsquoadheacutesion de toute lrsquoentreprise afin que
chacun contribue activement agrave sa seacutecuriteacute Menez
des actions de sensibilisation aupregraves des utilisateurs
pour les aider agrave cerner les avantages de cette eacutetape
suppleacutementaire
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 06
2 Deacutefinir les politiques MFA
Afin de ne pas alourdir le coucirct drsquoun
deacuteploiement MFA il est recommandeacute de concilier
seacutecuriteacute et ergonomie Vos politiques MFA doivent
donc deacutecrire quand et comment appliquer un
facteur suppleacutementaire
Bien que cela puisse sembler paradoxal il est
parfois judicieux drsquoappliquer lrsquoauthentification
renforceacutee avec parcimonie plutocirct qursquoagrave tout-va
Pour ecirctre efficaces les politiques axeacutees sur les
risques ne doivent deacuteclencher une authentification
renforceacutee qursquoen cas de neacutecessiteacute
On peut par exemple imaginer une politique qui
exige un deuxiegraveme facteur uniquement en cas de
connexion agrave un service en dehors du reacuteseau de
lrsquoentreprise (sur la base drsquoune seacuterie drsquoadresses IP)
ou en dehors du pays (sur la base de donneacutees de
geacuteolocalisation) De mecircme il est envisageable
drsquoappliquer une politique plus stricte agrave un
groupe drsquoutilisateurs ayant accegraves agrave des donneacutees
sensibles Lrsquoauthentification MFA vous permet
drsquoexiger un deuxiegraveme facteur pour acceacuteder aux
ressources sensibles mais pas pour consulter le
calendrier des eacuteveacutenements de lrsquoentreprise Lrsquoideacutee
est de rendre cette veacuterification suppleacutementaire
la plus transparente possible afin de garantir
une expeacuterience utilisateur satisfaisante sans
compromettre la seacutecuriteacute
3 Srsquoadapter aux diffeacuterentes demandes drsquoaccegraves
Il arrive qursquoun utilisateur dispose drsquoun accegraves agrave
Internet mais que sa couverture mobile soit faible
voire inexistante Crsquoest parfois le cas agrave bord drsquoun
avion proposant le Wi-Fi dans une habitation en
zone rurale ou tout simplement au sous-sol drsquoun
grand bacirctiment en beacuteton Dans ces situations ougrave les
services vocaux et SMS ne sont pas disponibles
Okta Verify avec envoi de notifications push ou
geacuteneacuteration de mots de passe agrave usage unique (OTP)
constitue une alternative inteacuteressante le chiffrement
des communications srsquoopeacuterant sur la connexion
Internet du teacuteleacutephone
Les dispositifs physiques qui geacutenegraverent des mots
de passe agrave usage unique agrave dureacutee limiteacutee (TOTP)
ou baseacutes sur des eacuteveacutenements ne neacutecessitent
aucun canal de communication Ils sont aussi plus
difficiles agrave pirater ou agrave copier Mais au-delagrave du coucirct
de deacuteploiement ces terminaux constituent une
contrainte suppleacutementaire pour les utilisateurs qui
peuvent les oublier chez eux ou mecircme les perdre
Cette solution nrsquoest donc pas forceacutement judicieuse
pour les sous-traitants agrave court terme et les
entreprises agrave forte rotation drsquoeffectifs
En ce qui concerne les facteurs MFA un grand
nombre de possibiliteacutes srsquooffrent agrave vous pour couvrir
une multitude de sceacutenarios Optez pour une
configuration adapteacutee agrave votre entreprise tout en
sachant que srsquoil nrsquoexiste pas de solution standard
(il y en a rarement) lrsquoapplication de plusieurs
politiques et facteurs est le meilleur moyen de geacuterer
toutes les situations
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 07
4 Peser le pour et le contre de lenvoi de mots de passe agrave usage unique par SMS
Les SMS sont tregraves pratiques et avec la multiplication
des teacuteleacutephones mobiles et tablettes ils sont
devenus un moyen de communication courant
notamment pour lrsquoenvoi de mots de passe agrave usage
unique Srsquoils sont geacuteneacuteralement consideacutereacutes comme
suffisamment seacutecuriseacutes dans ce cas de figure crsquoest
en partie ducirc au fait que lrsquoinfrastructure sous-jacente
est agrave la fois proprieacutetaire et opaque
Des eacutetudes montrent cependant que la seacutecuriteacute
des SMS est fait deacutefaut et pas seulement dans le
cas des vulneacuterabiliteacutes documenteacutees En y ayant
recours vous faites confiance aux bonnes pratiques
de seacutecuriteacute des opeacuterateurs de teacuteleacutecommunications
mais le risque de compromissions par usurpation
drsquoidentiteacute ou social engineering subsiste Bien
souvent il nrsquoest pas tregraves compliqueacute pour un pirate
de transfeacuterer votre numeacutero sur un terminal qursquoil
controcircle et drsquoacceacuteder ainsi agrave vos SMS et mots de
passe agrave usage unique
Si la CNIL deacuteconseille drsquoutiliser les SMS pour
ces raisons preacutecises il vous incombe neacuteanmoins
drsquoeacutevaluer votre exposition aux risques en fonction
de vos utilisateurs de vos cas drsquousage et des
donneacutees agrave proteacuteger Apregraves tout lrsquoauthentification
multifacteur par SMS nrsquoest pas parfaite mais elle
vaut mieux que son absence totale
5 Eacutetudier attentivement les exigences de conformiteacute
La plupart des normes de conformiteacute IT telles que
PCI DSS SOX et HIPAA exigent des controcircles
drsquoauthentification stricts ce qui peut justifier un
deacuteploiement MFA Cela peut paraicirctre eacutevident
mais si vous voulez vous conformer agrave ces normes
vous devez en cerner toutes les exigences afin de
pouvoir adapter votre configuration et vos politiques
en conseacutequence
Par exemple les normes PCI et HIPAA neacutecessitent
une authentification forte avec application drsquoau
moins deux des trois facteurs suivants un facteur
de connaissance un facteur de possession et un
facteur de biomeacutetrie La norme SOX est moins
centreacutee sur la technologie mais en cas drsquoaudit
vous devez prouver que les donneacutees financiegraveres et
comptables de votre entreprise sont seacutecuriseacutees
La conformiteacute IT neacutecessite de mettre en œuvre les
normes pertinentes mais aussi de prouver que
leurs principes sont respecteacutes Documentez vos
configurations et impleacutementations afin de pouvoir
deacutemontrer rapidement et avec assurance que toutes
les conditions sont remplies
Vous vous en feacuteliciterez plus tard et votre
entreprise vous en sera reconnaissante
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 08
6 Preacutevoir les mesures agrave prendre en cas de perte drsquoun terminal
Dans le cadre drsquoun deacuteploiement MFA classique le
deuxiegraveme facteur drsquoauthentification est un laquo facteur
de possession raquo (le premier eacutetant un laquo facteur de
connaissance raquo et le troisiegraveme un laquo facteur de
biomeacutetrie raquo) Dans le cas drsquoun SMS drsquoun message
vocal ou drsquoune application drsquoauthentification comme
Okta Verify ou Google Authenticator lrsquoutilisateur
se sert de son teacuteleacutephone Et dans le cas drsquoun
jeton physique de type YubiKey ou RSA il est en
possession du dispositif en question Or tout ce qui
est en sa possession peut ecirctre eacutegareacute
Votre support IT doit donc ecirctre assorti drsquoune
proceacutedure de gestion des terminaux perdus Pensez
agrave inclure les appareils utiliseacutes pour le MFA et veillez
agrave ce que la perte drsquoun eacutequipement entraicircne
bull lrsquoexpiration des sessions en cours et un demande de reacuteauthentification de lrsquoutilisateur
bull la dissociation de lrsquoeacutequipement du compte utilisateur et des droits drsquoaccegraves correspondants
bull la suppression agrave distance des informations de lrsquoentreprise sur les terminaux mobiles si neacutecessaire
Il est eacutegalement important drsquoauditer les activiteacutes
du compte utilisateur avant la perte du terminal
afin de deacutetecter toute activiteacute inhabituelle En cas
drsquoeacuteveacutenement suspect recherchez les eacuteventuelles
bregraveches et faites-les remonter le cas eacutecheacuteant
Une fois les premiegraveres mesures de seacutecuriteacute prises
donnez agrave lrsquoutilisateur les moyens de se remettre
au travail en lui fournissant un terminal de
remplacement ou une autre meacutethode de connexion
Un appel au service drsquoassistance IT pour veacuterifier son
identiteacute peut par exemple lui permettre de rester
productif en attendant lrsquoimpleacutementation des facteurs
de remplacement
7 Se preacuteparer agrave reacuteexaminer et reacuteviser la configuration
Rares sont les politiques et deacuteploiements
complexes qui conviennent parfaitement drsquoembleacutee
Sachant qursquoun changement de processus peut
potentiellement impacter tous les collaborateurs
il est conseilleacute drsquoeacutevaluer lrsquoefficaciteacute drsquoune
solution MFA deacuteployeacutee et utiliseacutee pour ensuite
affiner les regravegles suivant les observations
effectueacutees
Familiarisez-vous en amont du processus avec
la fonctionnaliteacute drsquoaudit qui vous sera tregraves utile
pour reacutesoudre les problegravemes de configuration et
ajuster les politiques comme il convient Une fois
votre MFA deacuteployeacute faites appel agrave des outils drsquoaudit
pour veacuterifier ponctuellement le taux drsquoadoption et
lrsquousage Il peut eacutegalement ecirctre judicieux de donner
la possibiliteacute aux utilisateurs de soumettre des
commentaires
Et si les utilisateurs ne prennent pas toujours le
temps de reacutediger un feedback eacutecrit une trace
drsquoaudit vous offrira une certaine visibiliteacute sur leur
expeacuterience Ont-ils ducirc srsquoy reprendre agrave trois fois pour
saisir leur mot de passe agrave usage unique Ont-ils
abandonneacute Ces difficulteacutes peuvent ecirctre lieacutees agrave une
mauvaise configuration agrave un manque de formation
ou tout simplement agrave un sceacutenario qui nrsquoavait pas eacuteteacute
envisageacute dans le plan de deacuteploiement initial
Utiliser des outils drsquoaudit et encourager les
collaborateurs agrave donner leur avis est le meilleur
moyen drsquoassurer agrave toutes les parties prenantes
que le systegraveme fonctionne comme preacutevu et que les
nouvelles politiques de seacutecuriteacute sont bien adopteacutees
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 09
Lrsquoauthentification multifacteur adaptative un plus pour lrsquoentreprise
Ces conseils constituent un excellent point de
deacutepart et si lrsquoauthentification MFA renforceacutee
peut vous permettre de controcircler preacuteciseacutement
quand et comment appliquer lrsquoauthentification
multifacteur sa configuration exige toutefois
mucircre reacuteflexion Mecircme avec des politiques
et critegraveres bien deacutefinis il se peut que vous
souhaitiez prendre des deacutecisions sur le
moment mecircme en fonction des changements
de contextes lieacutes agrave lrsquoutilisateur ou au terminal
Si vous souhaitez effectuer des changements
dynamiques testez la solution Okta
Adaptive MFA qui identifie les modegraveles
drsquoaccegraves puis adapte la politique agrave chaque
utilisateur ou groupe
Ainsi un deuxiegraveme facteur drsquoauthentification
peut ecirctre demandeacute peacuteriodiquement aux
collaborateurs qui se deacuteplacent et consultent
reacuteguliegraverement leurs e-mails depuis lrsquoeacutetranger
et systeacutematiquement agrave ceux qui en temps
normal ne se deacuteplacent jamais Les politiques
axeacutees sur les risques peuvent eacutegalement
srsquoappliquer en cas drsquoeacuteveacutenement suspect Citons
par exemple lrsquoactivation de lrsquoauthentification
forte lors de tentatives drsquoaccegraves agrave des
ressources via un proxy non autoriseacute ou
encore le blocage automatique des adresses IP
malveillantes connues
Okta Adaptive MFA est une solution efficace
pour deacutefinir automatiquement des politiques
dynamiques au fil du temps Concregravetement elle
offre agrave votre entreprise le niveau de seacutecuriteacute
exigeacute et la flexibiliteacute neacutecessaire pour traiter les
utilisateurs de maniegravere individuelle
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 10
Une seacutecuriteacute optimale gracircce agrave lrsquoauthentification multifacteur
Trois bonnes pratiques pour les ingeacutenieurs et les chefs de produit
Introduction
Les publications expliquant comment concevoir
une solution drsquoauthentification seacutecuriseacutee pour les
systegravemes informatiques ne manquent pas Nous
proposons ici des conseils pratiques inspireacutes
par notre expeacuterience de collaboration avec des
ingeacutenieurs et des eacutequipes produits et destineacutes agrave
ceux qui deacuteveloppent une solution drsquoauthentification
multifacteur pour leurs applications Voici trois
moyens de renforcer la seacutecuriteacute drsquoune solution
drsquoauthentification MFA
bull Deacuteterminer et geacuterer la vulneacuterabiliteacute du processus de reacutecupeacuteration de comptes
bull Proteacuteger les flux de connexion des attaques par force brute
bull Concilier gestion des risques ergonomie et coucirct
Nous partons ici du principe que le mot de passe
a eacuteteacute compromis et qursquoun deuxiegraveme facteur est
neacutecessaire
Deacuteterminer et geacuterer la vulneacuterabiliteacute du processus de reacutecupeacuteration de comptes
Lrsquoauthentification multifacteur nrsquoest seacutecuriseacutee que
si ses flux de reacutecupeacuteration de comptes le sont
eacutegalement Dans de nombreux cas reacutecents ultra-
meacutediatiseacutes les pirates avaient su exploiter les
vulneacuterabiliteacutes du processus de reacutecupeacuteration pour
prendre le controcircle drsquoun compte
Prenons lrsquoexemple de lrsquoapplication web
drsquoune entreprise qui inteacutegrerait un dispositif
drsquoauthentification multifacteur baseacute sur un jeton
logiciel installeacute sur le smartphone drsquoun utilisateur
Supposons que lrsquoapplication permette agrave ce dernier
drsquoenregistrer un numeacutero de teacuteleacutephone pour recevoir
un deuxiegraveme facteur de secours afin de reacutecupeacuterer
son compte srsquoil ne parvient pas agrave acceacuteder agrave son
jeton logiciel Dans ce cas lrsquoefficaciteacute du deuxiegraveme
facteur deacutepend du niveau de seacutecuriteacute des processus
utiliseacutes par lrsquoopeacuterateur de teacuteleacutecommunications
pour authentifier lrsquoabonneacute et lui transmettre des
appels ou des SMS Un pirate parviendrait-il agrave
usurper lrsquoidentiteacute de lrsquoutilisateur et agrave convaincre ou
contraindre un chargeacute de clientegravele de transfeacuterer les
appels ou les SMS vers un numeacutero qursquoil controcircle
Chaque deuxiegraveme facteur exige une meacutethode de
remplacement La question est donc de savoir
comment mettre au point des flux de reacutecupeacuteration
seacutecuriseacutes Voici quelques conseils pour y parvenir
sachant que lrsquoapproche peut varier selon les
circonstances
bull Indeacutependance des facteurs principaux et
secondaires Dissociez la reacutecupeacuteration
du deuxiegraveme facteur de celle du premier
Si un pirate a accegraves au premier facteur
drsquoauthentification le deuxiegraveme devient inefficace
srsquoil peut ecirctre reacuteinitialiseacute sur simple saisie du mot
de passe En outre le flux de reacutecupeacuteration du
deuxiegraveme facteur doit ecirctre totalement distinct
de celui du mot de passe Par exemple si la
reacutecupeacuteration du mot de passe srsquoeffectue par
e-mail veillez agrave reacutecupeacuterer le deuxiegraveme facteur
par un autre canal
bull Faites intervenir un administrateur Dans bien
des cas un administrateur est parfaitement
capable de mettre en place une meacutethode
drsquoauthentification sophistiqueacutee offrant des
garanties eacuteleveacutees
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 11
Dans les sceacutenarios drsquoentreprise les socieacuteteacutes qui
utilisent des secrets partageacutes issus des travaux
ou du profil des collaborateurs de lrsquoorganisation
elle-mecircme ou des relations humaines sont mieux
armeacutees pour authentifier leurs propres effectifs
Lrsquoapproche consistant agrave demander au responsable
drsquoun collaborateur drsquoauthentifier cet utilisateur
avant drsquoautoriser lrsquoeacutequipe IT agrave reacuteinitialiser les
identifiants MFA est particuliegraverement inteacuteressante
Dans les cas drsquousage grand public un
administrateur peut interroger un utilisateur
sur un grand nombre de secrets partageacutes Par
exemple lors de lrsquoonboarding les applications
bancaires reacuteserveacutees aux particuliers collectent
diverses informations personnelles peu connues
qui deviennent des secrets partageacutes destineacutes
agrave la reacutecupeacuteration des comptes Par ailleurs les
reacutecents eacuteveacutenements figurant dans lrsquohistorique de
la personne avec lrsquoapplication ou la socieacuteteacute sont
autant de secrets partageacutes possibles Lrsquoeacutevaluation
drsquoun ensemble de secrets partageacutes peut ecirctre
automatiseacutee en ligne ou par voie vocale ce qui offre
la plupart du temps de meilleures garanties qursquoun
ecirctre humain plus exposeacute au social engineering
bull Preacutevoyez un deuxiegraveme facteur de secours De
nombreuses situations exigent une meacutethode
automatiseacutee de reacutecupeacuteration du deuxiegraveme
facteur Crsquoest notamment le cas des produits
desservant un grand nombre drsquoutilisateurs
et dont lrsquoassistance individuelle est hors de
prix ou lorsqursquoil est neacutecessaire de reacuteduire les
coucircts drsquoexploitation En adheacuterant agrave plusieurs
facteurs secondaires lors de lrsquoonboarding
lrsquoutilisateur peut reacutecupeacuterer un deuxiegraveme facteur
en srsquoidentifiant au moyen drsquoun second facteur
de secours Fournir aux utilisateurs une carte
(physique ou imprimable) contenant une seacuterie
de codes agrave usage unique pouvant servir de
deuxiegraveme facteur de secours est une pratique
judicieuse simple et eacuteconomique
Proteacuteger les flux de connexion des attaques par force brute
Plus les ressources informatiques bon marcheacute se
multiplient plus les systegravemes drsquoauthentification sont
exposeacutes aux attaques par force brute Plusieurs
techniques simples permettent toutefois drsquoameacuteliorer
sensiblement la seacutecuriteacute de lrsquoauthentification
multifacteur en cas de piratage du mot de passe
bull Seacutequence de flux de connexion limitation du
deacutebit et blocage de comptes Placer la demande
de deuxiegraveme facteur sur une page situeacutee en
dessous de la page de connexion offre deux
avantages Premiegraverement lrsquoutilisateur est
proteacutegeacute contre les attaques destineacutees agrave bloquer
son compte une fois le nombre maximal drsquoeacutechecs
de connexion atteint (sous reacuteserve qursquoune
limitation du deacutebit soit appliqueacutee pour le premier
facteur) Deuxiegravemement dans la mesure ougrave le
deuxiegraveme facteur est dissimuleacute le pirate a moins
de visibiliteacute sur une autre couche de seacutecuriteacute
Instaurez une limitation du deacutebit et une regravegle
de blocage pour le deuxiegraveme facteur Comme
il est peu probable qursquoun utilisateur se trompe
plusieurs fois en entrant son jeton la suspicion
drsquoattaque doit se renforcer agrave chaque tentative
rateacutee Les temps de reacuteponse doivent augmenter
agrave chaque tentative afin de reacuteduire le nombre
maximal drsquoessais possibles par uniteacute de temps
avec un verrouillage complet du compte (si
possible) apregraves plusieurs eacutechecs successifs Pour
les facteurs secondaires agrave dureacutee limiteacutee adaptez
la limitation du deacutebit agrave la dureacutee de vie du jeton
bull Journaux et alertes Collectez et analysez les
tentatives de deuxiegraveme facteur ayant eacutechoueacute En
cas drsquoeacutechec de plusieurs demandes de deuxiegraveme
facteur alertez lrsquoutilisateur ou un administrateur
de ce comportement suspect et invitez
lrsquoutilisateur agrave obtenir un nouveau jeton
bull Utilisez un jeton hors bande Un deuxiegraveme
facteur veacuterifieacute via un canal autre que celui
du premier facteur est un gage de protection
suppleacutementaire contre les attaques par force
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 12
brute (et par phishing) Ainsi la tendance
actuelle consiste agrave envoyer sur le smartphone
de lrsquoutilisateur une notification push contenant
des deacutetails sur la demande drsquoauthentification et
lrsquoinvitant agrave accepter ou refuser cette demande
Ce canal est inaccessible pour les attaques par
force brute classiques
Concilier gestion des risques ergonomie et coucirct
Quel que soit le contexte la conception drsquoune
fonctionnaliteacute drsquoauthentification multifacteur a
des reacutepercussions importantes sur la seacutecuriteacute
lrsquoergonomie et le coucirct Un deuxiegraveme facteur
offrant de meilleures garanties peut dans certains
cas alourdir la tacircche des utilisateurs et des
administrateurs ce qui freine lrsquoadoption du MFA et
reacuteduit drsquoautant la seacutecuriteacute Voici quelques bonnes
pratiques agrave mettre en œuvre pour trouver le juste
eacutequilibre entre gestion des risques ergonomie et
coucirct
bull Offrez des options adapteacutees agrave diffeacuterentes
populations drsquoutilisateurs Les risques varient
en fonction des populations drsquoutilisateurs et
exigent par conseacutequent des niveaux de garantie
diffeacuterents Par exemple un administrateur peut
avoir un peacuterimegravetre drsquoaccegraves plus large que celui
drsquoun utilisateur lambda Vous pouvez donc
preacutevoir des facteurs secondaires relativement
plus forts pour les administrateurs et offrir des
options plus pratiques aux utilisateurs Dans les
cas drsquousage grand public les preacutefeacuterences varient
drsquoun utilisateur agrave lrsquoautre et une option offrant
de faibles garanties mais pratique et donc
facilement adopteacutee peut se reacuteveacuteler plus sucircre
qursquoune option offrant une assurance maximale
mais boudeacutee par les utilisateurs
bull Optez pour lrsquoauthentification feacutedeacutereacutee Dans les
sceacutenarios drsquoentreprise de nombreuses socieacuteteacutes
mettent en place des systegravemes drsquoauthentification
unique et multifacteur en local pour les identiteacutes
dont elles assurent la gestion et les feacutedegraverent
avec les ressources Cette approche permet
aux eacutequipes de deacuteveloppement de produits de
confier lrsquoadministration des politiques et des
processus de seacutecuriteacute aux clients Les clients
peuvent ainsi impleacutementer lrsquoauthentification MFA
de maniegravere autonome ce qui leur permet
drsquooptimiser les points preacuteceacutedents en fonction de
leurs contextes et contraintes speacutecifiques Un
client peut par exemple adapter lrsquoadministration
de la reacutecupeacuteration de comptes agrave ses activiteacutes IT
Cette approche externaliseacutee preacutesente un autre
avantage elle permet aux utilisateurs drsquoacceacuteder
agrave la totaliteacute des ressources avec un seul et mecircme
jeton
Conclusion
Roadmap pour une authentification MFA efficace
En reacutesumeacute lrsquoauthentification multifacteur est une
excellente meacutethode qui permet aux deacuteveloppeurs
drsquoapplications de renforcer la seacutecuriteacute drsquoaccegraves agrave
leurs solutions Certaines conditions doivent ecirctre
remplies pour seacutecuriser une fonctionnaliteacute MFA
parmi lesquelles lrsquoanalyse du flux de reacutecupeacuteration
du deuxiegraveme facteur la protection contre les
attaques par force brute et lrsquoeacutequilibre entre seacutecuriteacute
ergonomie et coucirct
Une approche automatiseacutee et moderne de
lrsquoauthentification multifacteur aide agrave prendre le
controcircle des identifiants pour reacuteduire sensiblement
le risque de bregraveche Mais par quoi les entreprises
doivent-elles commencer
Nous vous conseillons de vous concentrer sur
quelques eacutetapes cleacutes
1 Eacuteliminer les mots de passe chaque fois que crsquoest
possible
2 Utiliser des mots de passe forts et uniques dans
les autres cas
3 Seacutecuriser les flux de reacutecupeacuteration de comptes
avec des facteurs principaux et secondaires
indeacutependants
4 Optimiser la seacutecuriteacute des applications
strateacutegiques gracircce agrave lrsquoauthentification forte
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 13
5 Adopter une strateacutegie unifieacutee pour les
applications on-premise cloud et mobiles
6 Automatiser le provisioning avec une deacutefinition
preacutecise des droits
7 Opter pour le deacuteprovisioning agrave lrsquoeacutechelle de
toute lrsquoentreprise et ameacuteliorer la visibiliteacute et le
reporting
8 Geacuteneacuterer en temps reacuteel des alertes et des
rapports centraliseacutes sur tous les eacuteveacutenements
drsquoauthentification
9 Inteacutegrer la strateacutegie de gestion des identiteacutes
avec les outils de seacutecuriteacute en place
10 Eacutetendre la gestion des identiteacutes et
lrsquoauthentification multifacteur aux partenaires
fournisseurs et sous-traitants
Pourquoi choisir Okta pour lrsquoauthentification MFA
Gracircce agrave son approche innovante de la gestion des
identiteacutes Okta est le mieux placeacute pour aider les
entreprises agrave geacuterer les identiteacutes et lrsquoauthentification
multifacteur afin de limiter les bregraveches Avec la
solution drsquoauthentification multifacteur drsquoOkta vous
pouvez
Geacuteneacuteraliser lrsquoutilisation de fonctions drsquoauthentification MFA forte
bull Deacuteployer rapidement et facilement
lrsquoauthentification MFA avec les
6 500 preacuteinteacutegrations drsquoOkta Integration
Network
bull Eacutetendre la couverture aux applications on-
premise gracircce agrave la prise en charge des
protocoles RADIUS RDP ADFS et LDAP
bull Mettre en place des politiques drsquoaccegraves
intelligentes et contextualiseacutees en fonction des
attributs de connexion et des terminaux
Neacuteanmoins lrsquoauthentification forte nrsquoest pas une
protection absolue contre les bregraveches Avec Okta
vous pouvez facilement
Centraliser la gestion des identiteacutes
bull Simplifier la gestion des comptes
bull Unifier lrsquoaccegraves pour offrir aux utilisateurs un
accegraves simplifieacute sans mot de passe
bull Reacuteduire les risques et la prolifeacuteration des
identiteacutes en limitant lrsquoaccegraves aux services via des
connexions SAML
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 14
Reacuteduire la surface drsquoattaque
bull Le provisioning et le deacuteprovisioning automatiseacutes
acceacutelegraverent lrsquoonboarding tout en eacuteliminant les
comptes orphelins
bull La solution peut ecirctre eacutetendue aux applications
ldquomaisonrdquo via le protocole SCIM un kit SDK et
lrsquoAPI drsquoOkta
bull La gestion complegravete du cycle de vie des
utilisateurs garantit un niveau drsquoaccegraves adapteacute aux
applications approprieacutees gracircce agrave des workflows
de demande drsquoaccegraves
Reacuteagir plus rapidement aux tentatives de piratage
bull Obtenir une vue centraliseacutee de toutes les
donneacutees drsquoauthentification des applications
cloud mobiles et on-premise
bull Repeacuterer les comportements inhabituels et
suspects
bull Enrichir et eacutetoffer votre environnement de
cyberseacutecuriteacute via lrsquoAPI SysLog Okta (Splunk
ArcSight IBM QRadar Palo Alto Networks
F5 Networks)
Pour deacutecouvrir agrave quel point il est
facile drsquoadministrer la solution
Okta drsquoauthentification Adaptive
(AMFA) et de piloter le processus
drsquoauthentification
visionnez cette deacutemo
Agrave propos drsquoOkta
Okta est un eacutediteur indeacutependant speacutecialiseacute dans la gestion
et la protection des donneacutees drsquoidentification leader du
secteur La plateforme Okta Identity Cloud connecte et
protegravege les collaborateurs des plus grandes entreprises
au monde en plus drsquoassurer une connexion seacutecuriseacutee
avec leurs partenaires fournisseurs et clients Gracircce agrave son
inteacutegration avanceacutee agrave plus de 6 500 applications Okta
Identity Cloud permet agrave nrsquoimporte quel utilisateur de se
connecter facilement et en toute seacutecuriteacute tous terminaux
confondus Des milliers de clients dont 20th Century
Fox Adobe Dish Networks Experian Flex LinkedIn et
News Corp font confiance agrave Okta pour ameacuteliorer leur
productiviteacute doper leur chiffre drsquoaffaires et preacuteserver leur
seacutecuriteacute Gracircce agrave Okta ils peuvent acceacuteder facilement
et sans risque aux technologies dont ils ont besoin pour
accomplir leurs missions strateacutegiques
Pour en savoir plus consultez le site wwwoktacomfr ou
suivez-nous sur wwwoktacomblog
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 05
7 eacuteleacutements agrave prendre en compte avant drsquoadopter lrsquoauthentification multifacteur (MFA)Les mots de passe sont complexes agrave mettre en
œuvre Leurs critegraveres de creacuteation de plus en plus
stricts sont censeacutes les rendre plus sucircrs mais dans
bien des cas ils produisent lrsquoeffet inverse Les
mots de passe qui respectent toutes les exigences
de seacutecuriteacute sont difficiles agrave meacutemoriser et souvent
reacuteutiliseacutes drsquoun site agrave lrsquoautre Les utilisateurs les
griffonnent sur des Post-it Ils emploient des noms
drsquoanimaux de compagnie des dates de naissance
ou des numeacuteros de teacuteleacutephone familiers tous
faciles agrave deviner Bref en matiegravere de protection
de donneacutees nous sommes loin de la panaceacutee
Heureusement certaines entreprises commencent
agrave prendre conscience du danger mais aussi agrave
adheacuterer au principe selon lequel les accegraves doivent
ecirctre dissuasifs pour les pirates et simples pour les
utilisateurs autoriseacutes La meilleure solution consiste
agrave opter pour lrsquoauthentification multifacteur ou MFA
(Multi-Factor Authentication)
Lrsquoauthentification MFA est un excellent moyen
de proteacuteger les applications et services de vos
utilisateurs finaux contre tout accegraves non autoriseacute
Voici quelques points agrave prendre en consideacuteration si
vous envisagez de lrsquoadopter
1 Sensibiliser les utilisateurs
Vous deacuteployez lrsquoauthentification multifacteur
pour reacuteduire les risques que preacutesentent les accegraves
reposant sur un simple mot de passe mais certains
utilisateurs pourraient trouver cette nouvelle
meacutethode fastidieuse et craindre que ce changement
leur fasse perdre un temps preacutecieux
Veillez donc agrave ce que tous les collaborateurs du
management aux utilisateurs finaux comprennent
bien les raisons de cette transition vers
lrsquoauthentification multifacteur Il est important
drsquoobtenir lrsquoadheacutesion de toute lrsquoentreprise afin que
chacun contribue activement agrave sa seacutecuriteacute Menez
des actions de sensibilisation aupregraves des utilisateurs
pour les aider agrave cerner les avantages de cette eacutetape
suppleacutementaire
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 06
2 Deacutefinir les politiques MFA
Afin de ne pas alourdir le coucirct drsquoun
deacuteploiement MFA il est recommandeacute de concilier
seacutecuriteacute et ergonomie Vos politiques MFA doivent
donc deacutecrire quand et comment appliquer un
facteur suppleacutementaire
Bien que cela puisse sembler paradoxal il est
parfois judicieux drsquoappliquer lrsquoauthentification
renforceacutee avec parcimonie plutocirct qursquoagrave tout-va
Pour ecirctre efficaces les politiques axeacutees sur les
risques ne doivent deacuteclencher une authentification
renforceacutee qursquoen cas de neacutecessiteacute
On peut par exemple imaginer une politique qui
exige un deuxiegraveme facteur uniquement en cas de
connexion agrave un service en dehors du reacuteseau de
lrsquoentreprise (sur la base drsquoune seacuterie drsquoadresses IP)
ou en dehors du pays (sur la base de donneacutees de
geacuteolocalisation) De mecircme il est envisageable
drsquoappliquer une politique plus stricte agrave un
groupe drsquoutilisateurs ayant accegraves agrave des donneacutees
sensibles Lrsquoauthentification MFA vous permet
drsquoexiger un deuxiegraveme facteur pour acceacuteder aux
ressources sensibles mais pas pour consulter le
calendrier des eacuteveacutenements de lrsquoentreprise Lrsquoideacutee
est de rendre cette veacuterification suppleacutementaire
la plus transparente possible afin de garantir
une expeacuterience utilisateur satisfaisante sans
compromettre la seacutecuriteacute
3 Srsquoadapter aux diffeacuterentes demandes drsquoaccegraves
Il arrive qursquoun utilisateur dispose drsquoun accegraves agrave
Internet mais que sa couverture mobile soit faible
voire inexistante Crsquoest parfois le cas agrave bord drsquoun
avion proposant le Wi-Fi dans une habitation en
zone rurale ou tout simplement au sous-sol drsquoun
grand bacirctiment en beacuteton Dans ces situations ougrave les
services vocaux et SMS ne sont pas disponibles
Okta Verify avec envoi de notifications push ou
geacuteneacuteration de mots de passe agrave usage unique (OTP)
constitue une alternative inteacuteressante le chiffrement
des communications srsquoopeacuterant sur la connexion
Internet du teacuteleacutephone
Les dispositifs physiques qui geacutenegraverent des mots
de passe agrave usage unique agrave dureacutee limiteacutee (TOTP)
ou baseacutes sur des eacuteveacutenements ne neacutecessitent
aucun canal de communication Ils sont aussi plus
difficiles agrave pirater ou agrave copier Mais au-delagrave du coucirct
de deacuteploiement ces terminaux constituent une
contrainte suppleacutementaire pour les utilisateurs qui
peuvent les oublier chez eux ou mecircme les perdre
Cette solution nrsquoest donc pas forceacutement judicieuse
pour les sous-traitants agrave court terme et les
entreprises agrave forte rotation drsquoeffectifs
En ce qui concerne les facteurs MFA un grand
nombre de possibiliteacutes srsquooffrent agrave vous pour couvrir
une multitude de sceacutenarios Optez pour une
configuration adapteacutee agrave votre entreprise tout en
sachant que srsquoil nrsquoexiste pas de solution standard
(il y en a rarement) lrsquoapplication de plusieurs
politiques et facteurs est le meilleur moyen de geacuterer
toutes les situations
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 07
4 Peser le pour et le contre de lenvoi de mots de passe agrave usage unique par SMS
Les SMS sont tregraves pratiques et avec la multiplication
des teacuteleacutephones mobiles et tablettes ils sont
devenus un moyen de communication courant
notamment pour lrsquoenvoi de mots de passe agrave usage
unique Srsquoils sont geacuteneacuteralement consideacutereacutes comme
suffisamment seacutecuriseacutes dans ce cas de figure crsquoest
en partie ducirc au fait que lrsquoinfrastructure sous-jacente
est agrave la fois proprieacutetaire et opaque
Des eacutetudes montrent cependant que la seacutecuriteacute
des SMS est fait deacutefaut et pas seulement dans le
cas des vulneacuterabiliteacutes documenteacutees En y ayant
recours vous faites confiance aux bonnes pratiques
de seacutecuriteacute des opeacuterateurs de teacuteleacutecommunications
mais le risque de compromissions par usurpation
drsquoidentiteacute ou social engineering subsiste Bien
souvent il nrsquoest pas tregraves compliqueacute pour un pirate
de transfeacuterer votre numeacutero sur un terminal qursquoil
controcircle et drsquoacceacuteder ainsi agrave vos SMS et mots de
passe agrave usage unique
Si la CNIL deacuteconseille drsquoutiliser les SMS pour
ces raisons preacutecises il vous incombe neacuteanmoins
drsquoeacutevaluer votre exposition aux risques en fonction
de vos utilisateurs de vos cas drsquousage et des
donneacutees agrave proteacuteger Apregraves tout lrsquoauthentification
multifacteur par SMS nrsquoest pas parfaite mais elle
vaut mieux que son absence totale
5 Eacutetudier attentivement les exigences de conformiteacute
La plupart des normes de conformiteacute IT telles que
PCI DSS SOX et HIPAA exigent des controcircles
drsquoauthentification stricts ce qui peut justifier un
deacuteploiement MFA Cela peut paraicirctre eacutevident
mais si vous voulez vous conformer agrave ces normes
vous devez en cerner toutes les exigences afin de
pouvoir adapter votre configuration et vos politiques
en conseacutequence
Par exemple les normes PCI et HIPAA neacutecessitent
une authentification forte avec application drsquoau
moins deux des trois facteurs suivants un facteur
de connaissance un facteur de possession et un
facteur de biomeacutetrie La norme SOX est moins
centreacutee sur la technologie mais en cas drsquoaudit
vous devez prouver que les donneacutees financiegraveres et
comptables de votre entreprise sont seacutecuriseacutees
La conformiteacute IT neacutecessite de mettre en œuvre les
normes pertinentes mais aussi de prouver que
leurs principes sont respecteacutes Documentez vos
configurations et impleacutementations afin de pouvoir
deacutemontrer rapidement et avec assurance que toutes
les conditions sont remplies
Vous vous en feacuteliciterez plus tard et votre
entreprise vous en sera reconnaissante
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 08
6 Preacutevoir les mesures agrave prendre en cas de perte drsquoun terminal
Dans le cadre drsquoun deacuteploiement MFA classique le
deuxiegraveme facteur drsquoauthentification est un laquo facteur
de possession raquo (le premier eacutetant un laquo facteur de
connaissance raquo et le troisiegraveme un laquo facteur de
biomeacutetrie raquo) Dans le cas drsquoun SMS drsquoun message
vocal ou drsquoune application drsquoauthentification comme
Okta Verify ou Google Authenticator lrsquoutilisateur
se sert de son teacuteleacutephone Et dans le cas drsquoun
jeton physique de type YubiKey ou RSA il est en
possession du dispositif en question Or tout ce qui
est en sa possession peut ecirctre eacutegareacute
Votre support IT doit donc ecirctre assorti drsquoune
proceacutedure de gestion des terminaux perdus Pensez
agrave inclure les appareils utiliseacutes pour le MFA et veillez
agrave ce que la perte drsquoun eacutequipement entraicircne
bull lrsquoexpiration des sessions en cours et un demande de reacuteauthentification de lrsquoutilisateur
bull la dissociation de lrsquoeacutequipement du compte utilisateur et des droits drsquoaccegraves correspondants
bull la suppression agrave distance des informations de lrsquoentreprise sur les terminaux mobiles si neacutecessaire
Il est eacutegalement important drsquoauditer les activiteacutes
du compte utilisateur avant la perte du terminal
afin de deacutetecter toute activiteacute inhabituelle En cas
drsquoeacuteveacutenement suspect recherchez les eacuteventuelles
bregraveches et faites-les remonter le cas eacutecheacuteant
Une fois les premiegraveres mesures de seacutecuriteacute prises
donnez agrave lrsquoutilisateur les moyens de se remettre
au travail en lui fournissant un terminal de
remplacement ou une autre meacutethode de connexion
Un appel au service drsquoassistance IT pour veacuterifier son
identiteacute peut par exemple lui permettre de rester
productif en attendant lrsquoimpleacutementation des facteurs
de remplacement
7 Se preacuteparer agrave reacuteexaminer et reacuteviser la configuration
Rares sont les politiques et deacuteploiements
complexes qui conviennent parfaitement drsquoembleacutee
Sachant qursquoun changement de processus peut
potentiellement impacter tous les collaborateurs
il est conseilleacute drsquoeacutevaluer lrsquoefficaciteacute drsquoune
solution MFA deacuteployeacutee et utiliseacutee pour ensuite
affiner les regravegles suivant les observations
effectueacutees
Familiarisez-vous en amont du processus avec
la fonctionnaliteacute drsquoaudit qui vous sera tregraves utile
pour reacutesoudre les problegravemes de configuration et
ajuster les politiques comme il convient Une fois
votre MFA deacuteployeacute faites appel agrave des outils drsquoaudit
pour veacuterifier ponctuellement le taux drsquoadoption et
lrsquousage Il peut eacutegalement ecirctre judicieux de donner
la possibiliteacute aux utilisateurs de soumettre des
commentaires
Et si les utilisateurs ne prennent pas toujours le
temps de reacutediger un feedback eacutecrit une trace
drsquoaudit vous offrira une certaine visibiliteacute sur leur
expeacuterience Ont-ils ducirc srsquoy reprendre agrave trois fois pour
saisir leur mot de passe agrave usage unique Ont-ils
abandonneacute Ces difficulteacutes peuvent ecirctre lieacutees agrave une
mauvaise configuration agrave un manque de formation
ou tout simplement agrave un sceacutenario qui nrsquoavait pas eacuteteacute
envisageacute dans le plan de deacuteploiement initial
Utiliser des outils drsquoaudit et encourager les
collaborateurs agrave donner leur avis est le meilleur
moyen drsquoassurer agrave toutes les parties prenantes
que le systegraveme fonctionne comme preacutevu et que les
nouvelles politiques de seacutecuriteacute sont bien adopteacutees
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 09
Lrsquoauthentification multifacteur adaptative un plus pour lrsquoentreprise
Ces conseils constituent un excellent point de
deacutepart et si lrsquoauthentification MFA renforceacutee
peut vous permettre de controcircler preacuteciseacutement
quand et comment appliquer lrsquoauthentification
multifacteur sa configuration exige toutefois
mucircre reacuteflexion Mecircme avec des politiques
et critegraveres bien deacutefinis il se peut que vous
souhaitiez prendre des deacutecisions sur le
moment mecircme en fonction des changements
de contextes lieacutes agrave lrsquoutilisateur ou au terminal
Si vous souhaitez effectuer des changements
dynamiques testez la solution Okta
Adaptive MFA qui identifie les modegraveles
drsquoaccegraves puis adapte la politique agrave chaque
utilisateur ou groupe
Ainsi un deuxiegraveme facteur drsquoauthentification
peut ecirctre demandeacute peacuteriodiquement aux
collaborateurs qui se deacuteplacent et consultent
reacuteguliegraverement leurs e-mails depuis lrsquoeacutetranger
et systeacutematiquement agrave ceux qui en temps
normal ne se deacuteplacent jamais Les politiques
axeacutees sur les risques peuvent eacutegalement
srsquoappliquer en cas drsquoeacuteveacutenement suspect Citons
par exemple lrsquoactivation de lrsquoauthentification
forte lors de tentatives drsquoaccegraves agrave des
ressources via un proxy non autoriseacute ou
encore le blocage automatique des adresses IP
malveillantes connues
Okta Adaptive MFA est une solution efficace
pour deacutefinir automatiquement des politiques
dynamiques au fil du temps Concregravetement elle
offre agrave votre entreprise le niveau de seacutecuriteacute
exigeacute et la flexibiliteacute neacutecessaire pour traiter les
utilisateurs de maniegravere individuelle
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 10
Une seacutecuriteacute optimale gracircce agrave lrsquoauthentification multifacteur
Trois bonnes pratiques pour les ingeacutenieurs et les chefs de produit
Introduction
Les publications expliquant comment concevoir
une solution drsquoauthentification seacutecuriseacutee pour les
systegravemes informatiques ne manquent pas Nous
proposons ici des conseils pratiques inspireacutes
par notre expeacuterience de collaboration avec des
ingeacutenieurs et des eacutequipes produits et destineacutes agrave
ceux qui deacuteveloppent une solution drsquoauthentification
multifacteur pour leurs applications Voici trois
moyens de renforcer la seacutecuriteacute drsquoune solution
drsquoauthentification MFA
bull Deacuteterminer et geacuterer la vulneacuterabiliteacute du processus de reacutecupeacuteration de comptes
bull Proteacuteger les flux de connexion des attaques par force brute
bull Concilier gestion des risques ergonomie et coucirct
Nous partons ici du principe que le mot de passe
a eacuteteacute compromis et qursquoun deuxiegraveme facteur est
neacutecessaire
Deacuteterminer et geacuterer la vulneacuterabiliteacute du processus de reacutecupeacuteration de comptes
Lrsquoauthentification multifacteur nrsquoest seacutecuriseacutee que
si ses flux de reacutecupeacuteration de comptes le sont
eacutegalement Dans de nombreux cas reacutecents ultra-
meacutediatiseacutes les pirates avaient su exploiter les
vulneacuterabiliteacutes du processus de reacutecupeacuteration pour
prendre le controcircle drsquoun compte
Prenons lrsquoexemple de lrsquoapplication web
drsquoune entreprise qui inteacutegrerait un dispositif
drsquoauthentification multifacteur baseacute sur un jeton
logiciel installeacute sur le smartphone drsquoun utilisateur
Supposons que lrsquoapplication permette agrave ce dernier
drsquoenregistrer un numeacutero de teacuteleacutephone pour recevoir
un deuxiegraveme facteur de secours afin de reacutecupeacuterer
son compte srsquoil ne parvient pas agrave acceacuteder agrave son
jeton logiciel Dans ce cas lrsquoefficaciteacute du deuxiegraveme
facteur deacutepend du niveau de seacutecuriteacute des processus
utiliseacutes par lrsquoopeacuterateur de teacuteleacutecommunications
pour authentifier lrsquoabonneacute et lui transmettre des
appels ou des SMS Un pirate parviendrait-il agrave
usurper lrsquoidentiteacute de lrsquoutilisateur et agrave convaincre ou
contraindre un chargeacute de clientegravele de transfeacuterer les
appels ou les SMS vers un numeacutero qursquoil controcircle
Chaque deuxiegraveme facteur exige une meacutethode de
remplacement La question est donc de savoir
comment mettre au point des flux de reacutecupeacuteration
seacutecuriseacutes Voici quelques conseils pour y parvenir
sachant que lrsquoapproche peut varier selon les
circonstances
bull Indeacutependance des facteurs principaux et
secondaires Dissociez la reacutecupeacuteration
du deuxiegraveme facteur de celle du premier
Si un pirate a accegraves au premier facteur
drsquoauthentification le deuxiegraveme devient inefficace
srsquoil peut ecirctre reacuteinitialiseacute sur simple saisie du mot
de passe En outre le flux de reacutecupeacuteration du
deuxiegraveme facteur doit ecirctre totalement distinct
de celui du mot de passe Par exemple si la
reacutecupeacuteration du mot de passe srsquoeffectue par
e-mail veillez agrave reacutecupeacuterer le deuxiegraveme facteur
par un autre canal
bull Faites intervenir un administrateur Dans bien
des cas un administrateur est parfaitement
capable de mettre en place une meacutethode
drsquoauthentification sophistiqueacutee offrant des
garanties eacuteleveacutees
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 11
Dans les sceacutenarios drsquoentreprise les socieacuteteacutes qui
utilisent des secrets partageacutes issus des travaux
ou du profil des collaborateurs de lrsquoorganisation
elle-mecircme ou des relations humaines sont mieux
armeacutees pour authentifier leurs propres effectifs
Lrsquoapproche consistant agrave demander au responsable
drsquoun collaborateur drsquoauthentifier cet utilisateur
avant drsquoautoriser lrsquoeacutequipe IT agrave reacuteinitialiser les
identifiants MFA est particuliegraverement inteacuteressante
Dans les cas drsquousage grand public un
administrateur peut interroger un utilisateur
sur un grand nombre de secrets partageacutes Par
exemple lors de lrsquoonboarding les applications
bancaires reacuteserveacutees aux particuliers collectent
diverses informations personnelles peu connues
qui deviennent des secrets partageacutes destineacutes
agrave la reacutecupeacuteration des comptes Par ailleurs les
reacutecents eacuteveacutenements figurant dans lrsquohistorique de
la personne avec lrsquoapplication ou la socieacuteteacute sont
autant de secrets partageacutes possibles Lrsquoeacutevaluation
drsquoun ensemble de secrets partageacutes peut ecirctre
automatiseacutee en ligne ou par voie vocale ce qui offre
la plupart du temps de meilleures garanties qursquoun
ecirctre humain plus exposeacute au social engineering
bull Preacutevoyez un deuxiegraveme facteur de secours De
nombreuses situations exigent une meacutethode
automatiseacutee de reacutecupeacuteration du deuxiegraveme
facteur Crsquoest notamment le cas des produits
desservant un grand nombre drsquoutilisateurs
et dont lrsquoassistance individuelle est hors de
prix ou lorsqursquoil est neacutecessaire de reacuteduire les
coucircts drsquoexploitation En adheacuterant agrave plusieurs
facteurs secondaires lors de lrsquoonboarding
lrsquoutilisateur peut reacutecupeacuterer un deuxiegraveme facteur
en srsquoidentifiant au moyen drsquoun second facteur
de secours Fournir aux utilisateurs une carte
(physique ou imprimable) contenant une seacuterie
de codes agrave usage unique pouvant servir de
deuxiegraveme facteur de secours est une pratique
judicieuse simple et eacuteconomique
Proteacuteger les flux de connexion des attaques par force brute
Plus les ressources informatiques bon marcheacute se
multiplient plus les systegravemes drsquoauthentification sont
exposeacutes aux attaques par force brute Plusieurs
techniques simples permettent toutefois drsquoameacuteliorer
sensiblement la seacutecuriteacute de lrsquoauthentification
multifacteur en cas de piratage du mot de passe
bull Seacutequence de flux de connexion limitation du
deacutebit et blocage de comptes Placer la demande
de deuxiegraveme facteur sur une page situeacutee en
dessous de la page de connexion offre deux
avantages Premiegraverement lrsquoutilisateur est
proteacutegeacute contre les attaques destineacutees agrave bloquer
son compte une fois le nombre maximal drsquoeacutechecs
de connexion atteint (sous reacuteserve qursquoune
limitation du deacutebit soit appliqueacutee pour le premier
facteur) Deuxiegravemement dans la mesure ougrave le
deuxiegraveme facteur est dissimuleacute le pirate a moins
de visibiliteacute sur une autre couche de seacutecuriteacute
Instaurez une limitation du deacutebit et une regravegle
de blocage pour le deuxiegraveme facteur Comme
il est peu probable qursquoun utilisateur se trompe
plusieurs fois en entrant son jeton la suspicion
drsquoattaque doit se renforcer agrave chaque tentative
rateacutee Les temps de reacuteponse doivent augmenter
agrave chaque tentative afin de reacuteduire le nombre
maximal drsquoessais possibles par uniteacute de temps
avec un verrouillage complet du compte (si
possible) apregraves plusieurs eacutechecs successifs Pour
les facteurs secondaires agrave dureacutee limiteacutee adaptez
la limitation du deacutebit agrave la dureacutee de vie du jeton
bull Journaux et alertes Collectez et analysez les
tentatives de deuxiegraveme facteur ayant eacutechoueacute En
cas drsquoeacutechec de plusieurs demandes de deuxiegraveme
facteur alertez lrsquoutilisateur ou un administrateur
de ce comportement suspect et invitez
lrsquoutilisateur agrave obtenir un nouveau jeton
bull Utilisez un jeton hors bande Un deuxiegraveme
facteur veacuterifieacute via un canal autre que celui
du premier facteur est un gage de protection
suppleacutementaire contre les attaques par force
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 12
brute (et par phishing) Ainsi la tendance
actuelle consiste agrave envoyer sur le smartphone
de lrsquoutilisateur une notification push contenant
des deacutetails sur la demande drsquoauthentification et
lrsquoinvitant agrave accepter ou refuser cette demande
Ce canal est inaccessible pour les attaques par
force brute classiques
Concilier gestion des risques ergonomie et coucirct
Quel que soit le contexte la conception drsquoune
fonctionnaliteacute drsquoauthentification multifacteur a
des reacutepercussions importantes sur la seacutecuriteacute
lrsquoergonomie et le coucirct Un deuxiegraveme facteur
offrant de meilleures garanties peut dans certains
cas alourdir la tacircche des utilisateurs et des
administrateurs ce qui freine lrsquoadoption du MFA et
reacuteduit drsquoautant la seacutecuriteacute Voici quelques bonnes
pratiques agrave mettre en œuvre pour trouver le juste
eacutequilibre entre gestion des risques ergonomie et
coucirct
bull Offrez des options adapteacutees agrave diffeacuterentes
populations drsquoutilisateurs Les risques varient
en fonction des populations drsquoutilisateurs et
exigent par conseacutequent des niveaux de garantie
diffeacuterents Par exemple un administrateur peut
avoir un peacuterimegravetre drsquoaccegraves plus large que celui
drsquoun utilisateur lambda Vous pouvez donc
preacutevoir des facteurs secondaires relativement
plus forts pour les administrateurs et offrir des
options plus pratiques aux utilisateurs Dans les
cas drsquousage grand public les preacutefeacuterences varient
drsquoun utilisateur agrave lrsquoautre et une option offrant
de faibles garanties mais pratique et donc
facilement adopteacutee peut se reacuteveacuteler plus sucircre
qursquoune option offrant une assurance maximale
mais boudeacutee par les utilisateurs
bull Optez pour lrsquoauthentification feacutedeacutereacutee Dans les
sceacutenarios drsquoentreprise de nombreuses socieacuteteacutes
mettent en place des systegravemes drsquoauthentification
unique et multifacteur en local pour les identiteacutes
dont elles assurent la gestion et les feacutedegraverent
avec les ressources Cette approche permet
aux eacutequipes de deacuteveloppement de produits de
confier lrsquoadministration des politiques et des
processus de seacutecuriteacute aux clients Les clients
peuvent ainsi impleacutementer lrsquoauthentification MFA
de maniegravere autonome ce qui leur permet
drsquooptimiser les points preacuteceacutedents en fonction de
leurs contextes et contraintes speacutecifiques Un
client peut par exemple adapter lrsquoadministration
de la reacutecupeacuteration de comptes agrave ses activiteacutes IT
Cette approche externaliseacutee preacutesente un autre
avantage elle permet aux utilisateurs drsquoacceacuteder
agrave la totaliteacute des ressources avec un seul et mecircme
jeton
Conclusion
Roadmap pour une authentification MFA efficace
En reacutesumeacute lrsquoauthentification multifacteur est une
excellente meacutethode qui permet aux deacuteveloppeurs
drsquoapplications de renforcer la seacutecuriteacute drsquoaccegraves agrave
leurs solutions Certaines conditions doivent ecirctre
remplies pour seacutecuriser une fonctionnaliteacute MFA
parmi lesquelles lrsquoanalyse du flux de reacutecupeacuteration
du deuxiegraveme facteur la protection contre les
attaques par force brute et lrsquoeacutequilibre entre seacutecuriteacute
ergonomie et coucirct
Une approche automatiseacutee et moderne de
lrsquoauthentification multifacteur aide agrave prendre le
controcircle des identifiants pour reacuteduire sensiblement
le risque de bregraveche Mais par quoi les entreprises
doivent-elles commencer
Nous vous conseillons de vous concentrer sur
quelques eacutetapes cleacutes
1 Eacuteliminer les mots de passe chaque fois que crsquoest
possible
2 Utiliser des mots de passe forts et uniques dans
les autres cas
3 Seacutecuriser les flux de reacutecupeacuteration de comptes
avec des facteurs principaux et secondaires
indeacutependants
4 Optimiser la seacutecuriteacute des applications
strateacutegiques gracircce agrave lrsquoauthentification forte
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 13
5 Adopter une strateacutegie unifieacutee pour les
applications on-premise cloud et mobiles
6 Automatiser le provisioning avec une deacutefinition
preacutecise des droits
7 Opter pour le deacuteprovisioning agrave lrsquoeacutechelle de
toute lrsquoentreprise et ameacuteliorer la visibiliteacute et le
reporting
8 Geacuteneacuterer en temps reacuteel des alertes et des
rapports centraliseacutes sur tous les eacuteveacutenements
drsquoauthentification
9 Inteacutegrer la strateacutegie de gestion des identiteacutes
avec les outils de seacutecuriteacute en place
10 Eacutetendre la gestion des identiteacutes et
lrsquoauthentification multifacteur aux partenaires
fournisseurs et sous-traitants
Pourquoi choisir Okta pour lrsquoauthentification MFA
Gracircce agrave son approche innovante de la gestion des
identiteacutes Okta est le mieux placeacute pour aider les
entreprises agrave geacuterer les identiteacutes et lrsquoauthentification
multifacteur afin de limiter les bregraveches Avec la
solution drsquoauthentification multifacteur drsquoOkta vous
pouvez
Geacuteneacuteraliser lrsquoutilisation de fonctions drsquoauthentification MFA forte
bull Deacuteployer rapidement et facilement
lrsquoauthentification MFA avec les
6 500 preacuteinteacutegrations drsquoOkta Integration
Network
bull Eacutetendre la couverture aux applications on-
premise gracircce agrave la prise en charge des
protocoles RADIUS RDP ADFS et LDAP
bull Mettre en place des politiques drsquoaccegraves
intelligentes et contextualiseacutees en fonction des
attributs de connexion et des terminaux
Neacuteanmoins lrsquoauthentification forte nrsquoest pas une
protection absolue contre les bregraveches Avec Okta
vous pouvez facilement
Centraliser la gestion des identiteacutes
bull Simplifier la gestion des comptes
bull Unifier lrsquoaccegraves pour offrir aux utilisateurs un
accegraves simplifieacute sans mot de passe
bull Reacuteduire les risques et la prolifeacuteration des
identiteacutes en limitant lrsquoaccegraves aux services via des
connexions SAML
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 14
Reacuteduire la surface drsquoattaque
bull Le provisioning et le deacuteprovisioning automatiseacutes
acceacutelegraverent lrsquoonboarding tout en eacuteliminant les
comptes orphelins
bull La solution peut ecirctre eacutetendue aux applications
ldquomaisonrdquo via le protocole SCIM un kit SDK et
lrsquoAPI drsquoOkta
bull La gestion complegravete du cycle de vie des
utilisateurs garantit un niveau drsquoaccegraves adapteacute aux
applications approprieacutees gracircce agrave des workflows
de demande drsquoaccegraves
Reacuteagir plus rapidement aux tentatives de piratage
bull Obtenir une vue centraliseacutee de toutes les
donneacutees drsquoauthentification des applications
cloud mobiles et on-premise
bull Repeacuterer les comportements inhabituels et
suspects
bull Enrichir et eacutetoffer votre environnement de
cyberseacutecuriteacute via lrsquoAPI SysLog Okta (Splunk
ArcSight IBM QRadar Palo Alto Networks
F5 Networks)
Pour deacutecouvrir agrave quel point il est
facile drsquoadministrer la solution
Okta drsquoauthentification Adaptive
(AMFA) et de piloter le processus
drsquoauthentification
visionnez cette deacutemo
Agrave propos drsquoOkta
Okta est un eacutediteur indeacutependant speacutecialiseacute dans la gestion
et la protection des donneacutees drsquoidentification leader du
secteur La plateforme Okta Identity Cloud connecte et
protegravege les collaborateurs des plus grandes entreprises
au monde en plus drsquoassurer une connexion seacutecuriseacutee
avec leurs partenaires fournisseurs et clients Gracircce agrave son
inteacutegration avanceacutee agrave plus de 6 500 applications Okta
Identity Cloud permet agrave nrsquoimporte quel utilisateur de se
connecter facilement et en toute seacutecuriteacute tous terminaux
confondus Des milliers de clients dont 20th Century
Fox Adobe Dish Networks Experian Flex LinkedIn et
News Corp font confiance agrave Okta pour ameacuteliorer leur
productiviteacute doper leur chiffre drsquoaffaires et preacuteserver leur
seacutecuriteacute Gracircce agrave Okta ils peuvent acceacuteder facilement
et sans risque aux technologies dont ils ont besoin pour
accomplir leurs missions strateacutegiques
Pour en savoir plus consultez le site wwwoktacomfr ou
suivez-nous sur wwwoktacomblog
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 06
2 Deacutefinir les politiques MFA
Afin de ne pas alourdir le coucirct drsquoun
deacuteploiement MFA il est recommandeacute de concilier
seacutecuriteacute et ergonomie Vos politiques MFA doivent
donc deacutecrire quand et comment appliquer un
facteur suppleacutementaire
Bien que cela puisse sembler paradoxal il est
parfois judicieux drsquoappliquer lrsquoauthentification
renforceacutee avec parcimonie plutocirct qursquoagrave tout-va
Pour ecirctre efficaces les politiques axeacutees sur les
risques ne doivent deacuteclencher une authentification
renforceacutee qursquoen cas de neacutecessiteacute
On peut par exemple imaginer une politique qui
exige un deuxiegraveme facteur uniquement en cas de
connexion agrave un service en dehors du reacuteseau de
lrsquoentreprise (sur la base drsquoune seacuterie drsquoadresses IP)
ou en dehors du pays (sur la base de donneacutees de
geacuteolocalisation) De mecircme il est envisageable
drsquoappliquer une politique plus stricte agrave un
groupe drsquoutilisateurs ayant accegraves agrave des donneacutees
sensibles Lrsquoauthentification MFA vous permet
drsquoexiger un deuxiegraveme facteur pour acceacuteder aux
ressources sensibles mais pas pour consulter le
calendrier des eacuteveacutenements de lrsquoentreprise Lrsquoideacutee
est de rendre cette veacuterification suppleacutementaire
la plus transparente possible afin de garantir
une expeacuterience utilisateur satisfaisante sans
compromettre la seacutecuriteacute
3 Srsquoadapter aux diffeacuterentes demandes drsquoaccegraves
Il arrive qursquoun utilisateur dispose drsquoun accegraves agrave
Internet mais que sa couverture mobile soit faible
voire inexistante Crsquoest parfois le cas agrave bord drsquoun
avion proposant le Wi-Fi dans une habitation en
zone rurale ou tout simplement au sous-sol drsquoun
grand bacirctiment en beacuteton Dans ces situations ougrave les
services vocaux et SMS ne sont pas disponibles
Okta Verify avec envoi de notifications push ou
geacuteneacuteration de mots de passe agrave usage unique (OTP)
constitue une alternative inteacuteressante le chiffrement
des communications srsquoopeacuterant sur la connexion
Internet du teacuteleacutephone
Les dispositifs physiques qui geacutenegraverent des mots
de passe agrave usage unique agrave dureacutee limiteacutee (TOTP)
ou baseacutes sur des eacuteveacutenements ne neacutecessitent
aucun canal de communication Ils sont aussi plus
difficiles agrave pirater ou agrave copier Mais au-delagrave du coucirct
de deacuteploiement ces terminaux constituent une
contrainte suppleacutementaire pour les utilisateurs qui
peuvent les oublier chez eux ou mecircme les perdre
Cette solution nrsquoest donc pas forceacutement judicieuse
pour les sous-traitants agrave court terme et les
entreprises agrave forte rotation drsquoeffectifs
En ce qui concerne les facteurs MFA un grand
nombre de possibiliteacutes srsquooffrent agrave vous pour couvrir
une multitude de sceacutenarios Optez pour une
configuration adapteacutee agrave votre entreprise tout en
sachant que srsquoil nrsquoexiste pas de solution standard
(il y en a rarement) lrsquoapplication de plusieurs
politiques et facteurs est le meilleur moyen de geacuterer
toutes les situations
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 07
4 Peser le pour et le contre de lenvoi de mots de passe agrave usage unique par SMS
Les SMS sont tregraves pratiques et avec la multiplication
des teacuteleacutephones mobiles et tablettes ils sont
devenus un moyen de communication courant
notamment pour lrsquoenvoi de mots de passe agrave usage
unique Srsquoils sont geacuteneacuteralement consideacutereacutes comme
suffisamment seacutecuriseacutes dans ce cas de figure crsquoest
en partie ducirc au fait que lrsquoinfrastructure sous-jacente
est agrave la fois proprieacutetaire et opaque
Des eacutetudes montrent cependant que la seacutecuriteacute
des SMS est fait deacutefaut et pas seulement dans le
cas des vulneacuterabiliteacutes documenteacutees En y ayant
recours vous faites confiance aux bonnes pratiques
de seacutecuriteacute des opeacuterateurs de teacuteleacutecommunications
mais le risque de compromissions par usurpation
drsquoidentiteacute ou social engineering subsiste Bien
souvent il nrsquoest pas tregraves compliqueacute pour un pirate
de transfeacuterer votre numeacutero sur un terminal qursquoil
controcircle et drsquoacceacuteder ainsi agrave vos SMS et mots de
passe agrave usage unique
Si la CNIL deacuteconseille drsquoutiliser les SMS pour
ces raisons preacutecises il vous incombe neacuteanmoins
drsquoeacutevaluer votre exposition aux risques en fonction
de vos utilisateurs de vos cas drsquousage et des
donneacutees agrave proteacuteger Apregraves tout lrsquoauthentification
multifacteur par SMS nrsquoest pas parfaite mais elle
vaut mieux que son absence totale
5 Eacutetudier attentivement les exigences de conformiteacute
La plupart des normes de conformiteacute IT telles que
PCI DSS SOX et HIPAA exigent des controcircles
drsquoauthentification stricts ce qui peut justifier un
deacuteploiement MFA Cela peut paraicirctre eacutevident
mais si vous voulez vous conformer agrave ces normes
vous devez en cerner toutes les exigences afin de
pouvoir adapter votre configuration et vos politiques
en conseacutequence
Par exemple les normes PCI et HIPAA neacutecessitent
une authentification forte avec application drsquoau
moins deux des trois facteurs suivants un facteur
de connaissance un facteur de possession et un
facteur de biomeacutetrie La norme SOX est moins
centreacutee sur la technologie mais en cas drsquoaudit
vous devez prouver que les donneacutees financiegraveres et
comptables de votre entreprise sont seacutecuriseacutees
La conformiteacute IT neacutecessite de mettre en œuvre les
normes pertinentes mais aussi de prouver que
leurs principes sont respecteacutes Documentez vos
configurations et impleacutementations afin de pouvoir
deacutemontrer rapidement et avec assurance que toutes
les conditions sont remplies
Vous vous en feacuteliciterez plus tard et votre
entreprise vous en sera reconnaissante
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 08
6 Preacutevoir les mesures agrave prendre en cas de perte drsquoun terminal
Dans le cadre drsquoun deacuteploiement MFA classique le
deuxiegraveme facteur drsquoauthentification est un laquo facteur
de possession raquo (le premier eacutetant un laquo facteur de
connaissance raquo et le troisiegraveme un laquo facteur de
biomeacutetrie raquo) Dans le cas drsquoun SMS drsquoun message
vocal ou drsquoune application drsquoauthentification comme
Okta Verify ou Google Authenticator lrsquoutilisateur
se sert de son teacuteleacutephone Et dans le cas drsquoun
jeton physique de type YubiKey ou RSA il est en
possession du dispositif en question Or tout ce qui
est en sa possession peut ecirctre eacutegareacute
Votre support IT doit donc ecirctre assorti drsquoune
proceacutedure de gestion des terminaux perdus Pensez
agrave inclure les appareils utiliseacutes pour le MFA et veillez
agrave ce que la perte drsquoun eacutequipement entraicircne
bull lrsquoexpiration des sessions en cours et un demande de reacuteauthentification de lrsquoutilisateur
bull la dissociation de lrsquoeacutequipement du compte utilisateur et des droits drsquoaccegraves correspondants
bull la suppression agrave distance des informations de lrsquoentreprise sur les terminaux mobiles si neacutecessaire
Il est eacutegalement important drsquoauditer les activiteacutes
du compte utilisateur avant la perte du terminal
afin de deacutetecter toute activiteacute inhabituelle En cas
drsquoeacuteveacutenement suspect recherchez les eacuteventuelles
bregraveches et faites-les remonter le cas eacutecheacuteant
Une fois les premiegraveres mesures de seacutecuriteacute prises
donnez agrave lrsquoutilisateur les moyens de se remettre
au travail en lui fournissant un terminal de
remplacement ou une autre meacutethode de connexion
Un appel au service drsquoassistance IT pour veacuterifier son
identiteacute peut par exemple lui permettre de rester
productif en attendant lrsquoimpleacutementation des facteurs
de remplacement
7 Se preacuteparer agrave reacuteexaminer et reacuteviser la configuration
Rares sont les politiques et deacuteploiements
complexes qui conviennent parfaitement drsquoembleacutee
Sachant qursquoun changement de processus peut
potentiellement impacter tous les collaborateurs
il est conseilleacute drsquoeacutevaluer lrsquoefficaciteacute drsquoune
solution MFA deacuteployeacutee et utiliseacutee pour ensuite
affiner les regravegles suivant les observations
effectueacutees
Familiarisez-vous en amont du processus avec
la fonctionnaliteacute drsquoaudit qui vous sera tregraves utile
pour reacutesoudre les problegravemes de configuration et
ajuster les politiques comme il convient Une fois
votre MFA deacuteployeacute faites appel agrave des outils drsquoaudit
pour veacuterifier ponctuellement le taux drsquoadoption et
lrsquousage Il peut eacutegalement ecirctre judicieux de donner
la possibiliteacute aux utilisateurs de soumettre des
commentaires
Et si les utilisateurs ne prennent pas toujours le
temps de reacutediger un feedback eacutecrit une trace
drsquoaudit vous offrira une certaine visibiliteacute sur leur
expeacuterience Ont-ils ducirc srsquoy reprendre agrave trois fois pour
saisir leur mot de passe agrave usage unique Ont-ils
abandonneacute Ces difficulteacutes peuvent ecirctre lieacutees agrave une
mauvaise configuration agrave un manque de formation
ou tout simplement agrave un sceacutenario qui nrsquoavait pas eacuteteacute
envisageacute dans le plan de deacuteploiement initial
Utiliser des outils drsquoaudit et encourager les
collaborateurs agrave donner leur avis est le meilleur
moyen drsquoassurer agrave toutes les parties prenantes
que le systegraveme fonctionne comme preacutevu et que les
nouvelles politiques de seacutecuriteacute sont bien adopteacutees
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 09
Lrsquoauthentification multifacteur adaptative un plus pour lrsquoentreprise
Ces conseils constituent un excellent point de
deacutepart et si lrsquoauthentification MFA renforceacutee
peut vous permettre de controcircler preacuteciseacutement
quand et comment appliquer lrsquoauthentification
multifacteur sa configuration exige toutefois
mucircre reacuteflexion Mecircme avec des politiques
et critegraveres bien deacutefinis il se peut que vous
souhaitiez prendre des deacutecisions sur le
moment mecircme en fonction des changements
de contextes lieacutes agrave lrsquoutilisateur ou au terminal
Si vous souhaitez effectuer des changements
dynamiques testez la solution Okta
Adaptive MFA qui identifie les modegraveles
drsquoaccegraves puis adapte la politique agrave chaque
utilisateur ou groupe
Ainsi un deuxiegraveme facteur drsquoauthentification
peut ecirctre demandeacute peacuteriodiquement aux
collaborateurs qui se deacuteplacent et consultent
reacuteguliegraverement leurs e-mails depuis lrsquoeacutetranger
et systeacutematiquement agrave ceux qui en temps
normal ne se deacuteplacent jamais Les politiques
axeacutees sur les risques peuvent eacutegalement
srsquoappliquer en cas drsquoeacuteveacutenement suspect Citons
par exemple lrsquoactivation de lrsquoauthentification
forte lors de tentatives drsquoaccegraves agrave des
ressources via un proxy non autoriseacute ou
encore le blocage automatique des adresses IP
malveillantes connues
Okta Adaptive MFA est une solution efficace
pour deacutefinir automatiquement des politiques
dynamiques au fil du temps Concregravetement elle
offre agrave votre entreprise le niveau de seacutecuriteacute
exigeacute et la flexibiliteacute neacutecessaire pour traiter les
utilisateurs de maniegravere individuelle
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 10
Une seacutecuriteacute optimale gracircce agrave lrsquoauthentification multifacteur
Trois bonnes pratiques pour les ingeacutenieurs et les chefs de produit
Introduction
Les publications expliquant comment concevoir
une solution drsquoauthentification seacutecuriseacutee pour les
systegravemes informatiques ne manquent pas Nous
proposons ici des conseils pratiques inspireacutes
par notre expeacuterience de collaboration avec des
ingeacutenieurs et des eacutequipes produits et destineacutes agrave
ceux qui deacuteveloppent une solution drsquoauthentification
multifacteur pour leurs applications Voici trois
moyens de renforcer la seacutecuriteacute drsquoune solution
drsquoauthentification MFA
bull Deacuteterminer et geacuterer la vulneacuterabiliteacute du processus de reacutecupeacuteration de comptes
bull Proteacuteger les flux de connexion des attaques par force brute
bull Concilier gestion des risques ergonomie et coucirct
Nous partons ici du principe que le mot de passe
a eacuteteacute compromis et qursquoun deuxiegraveme facteur est
neacutecessaire
Deacuteterminer et geacuterer la vulneacuterabiliteacute du processus de reacutecupeacuteration de comptes
Lrsquoauthentification multifacteur nrsquoest seacutecuriseacutee que
si ses flux de reacutecupeacuteration de comptes le sont
eacutegalement Dans de nombreux cas reacutecents ultra-
meacutediatiseacutes les pirates avaient su exploiter les
vulneacuterabiliteacutes du processus de reacutecupeacuteration pour
prendre le controcircle drsquoun compte
Prenons lrsquoexemple de lrsquoapplication web
drsquoune entreprise qui inteacutegrerait un dispositif
drsquoauthentification multifacteur baseacute sur un jeton
logiciel installeacute sur le smartphone drsquoun utilisateur
Supposons que lrsquoapplication permette agrave ce dernier
drsquoenregistrer un numeacutero de teacuteleacutephone pour recevoir
un deuxiegraveme facteur de secours afin de reacutecupeacuterer
son compte srsquoil ne parvient pas agrave acceacuteder agrave son
jeton logiciel Dans ce cas lrsquoefficaciteacute du deuxiegraveme
facteur deacutepend du niveau de seacutecuriteacute des processus
utiliseacutes par lrsquoopeacuterateur de teacuteleacutecommunications
pour authentifier lrsquoabonneacute et lui transmettre des
appels ou des SMS Un pirate parviendrait-il agrave
usurper lrsquoidentiteacute de lrsquoutilisateur et agrave convaincre ou
contraindre un chargeacute de clientegravele de transfeacuterer les
appels ou les SMS vers un numeacutero qursquoil controcircle
Chaque deuxiegraveme facteur exige une meacutethode de
remplacement La question est donc de savoir
comment mettre au point des flux de reacutecupeacuteration
seacutecuriseacutes Voici quelques conseils pour y parvenir
sachant que lrsquoapproche peut varier selon les
circonstances
bull Indeacutependance des facteurs principaux et
secondaires Dissociez la reacutecupeacuteration
du deuxiegraveme facteur de celle du premier
Si un pirate a accegraves au premier facteur
drsquoauthentification le deuxiegraveme devient inefficace
srsquoil peut ecirctre reacuteinitialiseacute sur simple saisie du mot
de passe En outre le flux de reacutecupeacuteration du
deuxiegraveme facteur doit ecirctre totalement distinct
de celui du mot de passe Par exemple si la
reacutecupeacuteration du mot de passe srsquoeffectue par
e-mail veillez agrave reacutecupeacuterer le deuxiegraveme facteur
par un autre canal
bull Faites intervenir un administrateur Dans bien
des cas un administrateur est parfaitement
capable de mettre en place une meacutethode
drsquoauthentification sophistiqueacutee offrant des
garanties eacuteleveacutees
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 11
Dans les sceacutenarios drsquoentreprise les socieacuteteacutes qui
utilisent des secrets partageacutes issus des travaux
ou du profil des collaborateurs de lrsquoorganisation
elle-mecircme ou des relations humaines sont mieux
armeacutees pour authentifier leurs propres effectifs
Lrsquoapproche consistant agrave demander au responsable
drsquoun collaborateur drsquoauthentifier cet utilisateur
avant drsquoautoriser lrsquoeacutequipe IT agrave reacuteinitialiser les
identifiants MFA est particuliegraverement inteacuteressante
Dans les cas drsquousage grand public un
administrateur peut interroger un utilisateur
sur un grand nombre de secrets partageacutes Par
exemple lors de lrsquoonboarding les applications
bancaires reacuteserveacutees aux particuliers collectent
diverses informations personnelles peu connues
qui deviennent des secrets partageacutes destineacutes
agrave la reacutecupeacuteration des comptes Par ailleurs les
reacutecents eacuteveacutenements figurant dans lrsquohistorique de
la personne avec lrsquoapplication ou la socieacuteteacute sont
autant de secrets partageacutes possibles Lrsquoeacutevaluation
drsquoun ensemble de secrets partageacutes peut ecirctre
automatiseacutee en ligne ou par voie vocale ce qui offre
la plupart du temps de meilleures garanties qursquoun
ecirctre humain plus exposeacute au social engineering
bull Preacutevoyez un deuxiegraveme facteur de secours De
nombreuses situations exigent une meacutethode
automatiseacutee de reacutecupeacuteration du deuxiegraveme
facteur Crsquoest notamment le cas des produits
desservant un grand nombre drsquoutilisateurs
et dont lrsquoassistance individuelle est hors de
prix ou lorsqursquoil est neacutecessaire de reacuteduire les
coucircts drsquoexploitation En adheacuterant agrave plusieurs
facteurs secondaires lors de lrsquoonboarding
lrsquoutilisateur peut reacutecupeacuterer un deuxiegraveme facteur
en srsquoidentifiant au moyen drsquoun second facteur
de secours Fournir aux utilisateurs une carte
(physique ou imprimable) contenant une seacuterie
de codes agrave usage unique pouvant servir de
deuxiegraveme facteur de secours est une pratique
judicieuse simple et eacuteconomique
Proteacuteger les flux de connexion des attaques par force brute
Plus les ressources informatiques bon marcheacute se
multiplient plus les systegravemes drsquoauthentification sont
exposeacutes aux attaques par force brute Plusieurs
techniques simples permettent toutefois drsquoameacuteliorer
sensiblement la seacutecuriteacute de lrsquoauthentification
multifacteur en cas de piratage du mot de passe
bull Seacutequence de flux de connexion limitation du
deacutebit et blocage de comptes Placer la demande
de deuxiegraveme facteur sur une page situeacutee en
dessous de la page de connexion offre deux
avantages Premiegraverement lrsquoutilisateur est
proteacutegeacute contre les attaques destineacutees agrave bloquer
son compte une fois le nombre maximal drsquoeacutechecs
de connexion atteint (sous reacuteserve qursquoune
limitation du deacutebit soit appliqueacutee pour le premier
facteur) Deuxiegravemement dans la mesure ougrave le
deuxiegraveme facteur est dissimuleacute le pirate a moins
de visibiliteacute sur une autre couche de seacutecuriteacute
Instaurez une limitation du deacutebit et une regravegle
de blocage pour le deuxiegraveme facteur Comme
il est peu probable qursquoun utilisateur se trompe
plusieurs fois en entrant son jeton la suspicion
drsquoattaque doit se renforcer agrave chaque tentative
rateacutee Les temps de reacuteponse doivent augmenter
agrave chaque tentative afin de reacuteduire le nombre
maximal drsquoessais possibles par uniteacute de temps
avec un verrouillage complet du compte (si
possible) apregraves plusieurs eacutechecs successifs Pour
les facteurs secondaires agrave dureacutee limiteacutee adaptez
la limitation du deacutebit agrave la dureacutee de vie du jeton
bull Journaux et alertes Collectez et analysez les
tentatives de deuxiegraveme facteur ayant eacutechoueacute En
cas drsquoeacutechec de plusieurs demandes de deuxiegraveme
facteur alertez lrsquoutilisateur ou un administrateur
de ce comportement suspect et invitez
lrsquoutilisateur agrave obtenir un nouveau jeton
bull Utilisez un jeton hors bande Un deuxiegraveme
facteur veacuterifieacute via un canal autre que celui
du premier facteur est un gage de protection
suppleacutementaire contre les attaques par force
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 12
brute (et par phishing) Ainsi la tendance
actuelle consiste agrave envoyer sur le smartphone
de lrsquoutilisateur une notification push contenant
des deacutetails sur la demande drsquoauthentification et
lrsquoinvitant agrave accepter ou refuser cette demande
Ce canal est inaccessible pour les attaques par
force brute classiques
Concilier gestion des risques ergonomie et coucirct
Quel que soit le contexte la conception drsquoune
fonctionnaliteacute drsquoauthentification multifacteur a
des reacutepercussions importantes sur la seacutecuriteacute
lrsquoergonomie et le coucirct Un deuxiegraveme facteur
offrant de meilleures garanties peut dans certains
cas alourdir la tacircche des utilisateurs et des
administrateurs ce qui freine lrsquoadoption du MFA et
reacuteduit drsquoautant la seacutecuriteacute Voici quelques bonnes
pratiques agrave mettre en œuvre pour trouver le juste
eacutequilibre entre gestion des risques ergonomie et
coucirct
bull Offrez des options adapteacutees agrave diffeacuterentes
populations drsquoutilisateurs Les risques varient
en fonction des populations drsquoutilisateurs et
exigent par conseacutequent des niveaux de garantie
diffeacuterents Par exemple un administrateur peut
avoir un peacuterimegravetre drsquoaccegraves plus large que celui
drsquoun utilisateur lambda Vous pouvez donc
preacutevoir des facteurs secondaires relativement
plus forts pour les administrateurs et offrir des
options plus pratiques aux utilisateurs Dans les
cas drsquousage grand public les preacutefeacuterences varient
drsquoun utilisateur agrave lrsquoautre et une option offrant
de faibles garanties mais pratique et donc
facilement adopteacutee peut se reacuteveacuteler plus sucircre
qursquoune option offrant une assurance maximale
mais boudeacutee par les utilisateurs
bull Optez pour lrsquoauthentification feacutedeacutereacutee Dans les
sceacutenarios drsquoentreprise de nombreuses socieacuteteacutes
mettent en place des systegravemes drsquoauthentification
unique et multifacteur en local pour les identiteacutes
dont elles assurent la gestion et les feacutedegraverent
avec les ressources Cette approche permet
aux eacutequipes de deacuteveloppement de produits de
confier lrsquoadministration des politiques et des
processus de seacutecuriteacute aux clients Les clients
peuvent ainsi impleacutementer lrsquoauthentification MFA
de maniegravere autonome ce qui leur permet
drsquooptimiser les points preacuteceacutedents en fonction de
leurs contextes et contraintes speacutecifiques Un
client peut par exemple adapter lrsquoadministration
de la reacutecupeacuteration de comptes agrave ses activiteacutes IT
Cette approche externaliseacutee preacutesente un autre
avantage elle permet aux utilisateurs drsquoacceacuteder
agrave la totaliteacute des ressources avec un seul et mecircme
jeton
Conclusion
Roadmap pour une authentification MFA efficace
En reacutesumeacute lrsquoauthentification multifacteur est une
excellente meacutethode qui permet aux deacuteveloppeurs
drsquoapplications de renforcer la seacutecuriteacute drsquoaccegraves agrave
leurs solutions Certaines conditions doivent ecirctre
remplies pour seacutecuriser une fonctionnaliteacute MFA
parmi lesquelles lrsquoanalyse du flux de reacutecupeacuteration
du deuxiegraveme facteur la protection contre les
attaques par force brute et lrsquoeacutequilibre entre seacutecuriteacute
ergonomie et coucirct
Une approche automatiseacutee et moderne de
lrsquoauthentification multifacteur aide agrave prendre le
controcircle des identifiants pour reacuteduire sensiblement
le risque de bregraveche Mais par quoi les entreprises
doivent-elles commencer
Nous vous conseillons de vous concentrer sur
quelques eacutetapes cleacutes
1 Eacuteliminer les mots de passe chaque fois que crsquoest
possible
2 Utiliser des mots de passe forts et uniques dans
les autres cas
3 Seacutecuriser les flux de reacutecupeacuteration de comptes
avec des facteurs principaux et secondaires
indeacutependants
4 Optimiser la seacutecuriteacute des applications
strateacutegiques gracircce agrave lrsquoauthentification forte
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 13
5 Adopter une strateacutegie unifieacutee pour les
applications on-premise cloud et mobiles
6 Automatiser le provisioning avec une deacutefinition
preacutecise des droits
7 Opter pour le deacuteprovisioning agrave lrsquoeacutechelle de
toute lrsquoentreprise et ameacuteliorer la visibiliteacute et le
reporting
8 Geacuteneacuterer en temps reacuteel des alertes et des
rapports centraliseacutes sur tous les eacuteveacutenements
drsquoauthentification
9 Inteacutegrer la strateacutegie de gestion des identiteacutes
avec les outils de seacutecuriteacute en place
10 Eacutetendre la gestion des identiteacutes et
lrsquoauthentification multifacteur aux partenaires
fournisseurs et sous-traitants
Pourquoi choisir Okta pour lrsquoauthentification MFA
Gracircce agrave son approche innovante de la gestion des
identiteacutes Okta est le mieux placeacute pour aider les
entreprises agrave geacuterer les identiteacutes et lrsquoauthentification
multifacteur afin de limiter les bregraveches Avec la
solution drsquoauthentification multifacteur drsquoOkta vous
pouvez
Geacuteneacuteraliser lrsquoutilisation de fonctions drsquoauthentification MFA forte
bull Deacuteployer rapidement et facilement
lrsquoauthentification MFA avec les
6 500 preacuteinteacutegrations drsquoOkta Integration
Network
bull Eacutetendre la couverture aux applications on-
premise gracircce agrave la prise en charge des
protocoles RADIUS RDP ADFS et LDAP
bull Mettre en place des politiques drsquoaccegraves
intelligentes et contextualiseacutees en fonction des
attributs de connexion et des terminaux
Neacuteanmoins lrsquoauthentification forte nrsquoest pas une
protection absolue contre les bregraveches Avec Okta
vous pouvez facilement
Centraliser la gestion des identiteacutes
bull Simplifier la gestion des comptes
bull Unifier lrsquoaccegraves pour offrir aux utilisateurs un
accegraves simplifieacute sans mot de passe
bull Reacuteduire les risques et la prolifeacuteration des
identiteacutes en limitant lrsquoaccegraves aux services via des
connexions SAML
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 14
Reacuteduire la surface drsquoattaque
bull Le provisioning et le deacuteprovisioning automatiseacutes
acceacutelegraverent lrsquoonboarding tout en eacuteliminant les
comptes orphelins
bull La solution peut ecirctre eacutetendue aux applications
ldquomaisonrdquo via le protocole SCIM un kit SDK et
lrsquoAPI drsquoOkta
bull La gestion complegravete du cycle de vie des
utilisateurs garantit un niveau drsquoaccegraves adapteacute aux
applications approprieacutees gracircce agrave des workflows
de demande drsquoaccegraves
Reacuteagir plus rapidement aux tentatives de piratage
bull Obtenir une vue centraliseacutee de toutes les
donneacutees drsquoauthentification des applications
cloud mobiles et on-premise
bull Repeacuterer les comportements inhabituels et
suspects
bull Enrichir et eacutetoffer votre environnement de
cyberseacutecuriteacute via lrsquoAPI SysLog Okta (Splunk
ArcSight IBM QRadar Palo Alto Networks
F5 Networks)
Pour deacutecouvrir agrave quel point il est
facile drsquoadministrer la solution
Okta drsquoauthentification Adaptive
(AMFA) et de piloter le processus
drsquoauthentification
visionnez cette deacutemo
Agrave propos drsquoOkta
Okta est un eacutediteur indeacutependant speacutecialiseacute dans la gestion
et la protection des donneacutees drsquoidentification leader du
secteur La plateforme Okta Identity Cloud connecte et
protegravege les collaborateurs des plus grandes entreprises
au monde en plus drsquoassurer une connexion seacutecuriseacutee
avec leurs partenaires fournisseurs et clients Gracircce agrave son
inteacutegration avanceacutee agrave plus de 6 500 applications Okta
Identity Cloud permet agrave nrsquoimporte quel utilisateur de se
connecter facilement et en toute seacutecuriteacute tous terminaux
confondus Des milliers de clients dont 20th Century
Fox Adobe Dish Networks Experian Flex LinkedIn et
News Corp font confiance agrave Okta pour ameacuteliorer leur
productiviteacute doper leur chiffre drsquoaffaires et preacuteserver leur
seacutecuriteacute Gracircce agrave Okta ils peuvent acceacuteder facilement
et sans risque aux technologies dont ils ont besoin pour
accomplir leurs missions strateacutegiques
Pour en savoir plus consultez le site wwwoktacomfr ou
suivez-nous sur wwwoktacomblog
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 07
4 Peser le pour et le contre de lenvoi de mots de passe agrave usage unique par SMS
Les SMS sont tregraves pratiques et avec la multiplication
des teacuteleacutephones mobiles et tablettes ils sont
devenus un moyen de communication courant
notamment pour lrsquoenvoi de mots de passe agrave usage
unique Srsquoils sont geacuteneacuteralement consideacutereacutes comme
suffisamment seacutecuriseacutes dans ce cas de figure crsquoest
en partie ducirc au fait que lrsquoinfrastructure sous-jacente
est agrave la fois proprieacutetaire et opaque
Des eacutetudes montrent cependant que la seacutecuriteacute
des SMS est fait deacutefaut et pas seulement dans le
cas des vulneacuterabiliteacutes documenteacutees En y ayant
recours vous faites confiance aux bonnes pratiques
de seacutecuriteacute des opeacuterateurs de teacuteleacutecommunications
mais le risque de compromissions par usurpation
drsquoidentiteacute ou social engineering subsiste Bien
souvent il nrsquoest pas tregraves compliqueacute pour un pirate
de transfeacuterer votre numeacutero sur un terminal qursquoil
controcircle et drsquoacceacuteder ainsi agrave vos SMS et mots de
passe agrave usage unique
Si la CNIL deacuteconseille drsquoutiliser les SMS pour
ces raisons preacutecises il vous incombe neacuteanmoins
drsquoeacutevaluer votre exposition aux risques en fonction
de vos utilisateurs de vos cas drsquousage et des
donneacutees agrave proteacuteger Apregraves tout lrsquoauthentification
multifacteur par SMS nrsquoest pas parfaite mais elle
vaut mieux que son absence totale
5 Eacutetudier attentivement les exigences de conformiteacute
La plupart des normes de conformiteacute IT telles que
PCI DSS SOX et HIPAA exigent des controcircles
drsquoauthentification stricts ce qui peut justifier un
deacuteploiement MFA Cela peut paraicirctre eacutevident
mais si vous voulez vous conformer agrave ces normes
vous devez en cerner toutes les exigences afin de
pouvoir adapter votre configuration et vos politiques
en conseacutequence
Par exemple les normes PCI et HIPAA neacutecessitent
une authentification forte avec application drsquoau
moins deux des trois facteurs suivants un facteur
de connaissance un facteur de possession et un
facteur de biomeacutetrie La norme SOX est moins
centreacutee sur la technologie mais en cas drsquoaudit
vous devez prouver que les donneacutees financiegraveres et
comptables de votre entreprise sont seacutecuriseacutees
La conformiteacute IT neacutecessite de mettre en œuvre les
normes pertinentes mais aussi de prouver que
leurs principes sont respecteacutes Documentez vos
configurations et impleacutementations afin de pouvoir
deacutemontrer rapidement et avec assurance que toutes
les conditions sont remplies
Vous vous en feacuteliciterez plus tard et votre
entreprise vous en sera reconnaissante
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 08
6 Preacutevoir les mesures agrave prendre en cas de perte drsquoun terminal
Dans le cadre drsquoun deacuteploiement MFA classique le
deuxiegraveme facteur drsquoauthentification est un laquo facteur
de possession raquo (le premier eacutetant un laquo facteur de
connaissance raquo et le troisiegraveme un laquo facteur de
biomeacutetrie raquo) Dans le cas drsquoun SMS drsquoun message
vocal ou drsquoune application drsquoauthentification comme
Okta Verify ou Google Authenticator lrsquoutilisateur
se sert de son teacuteleacutephone Et dans le cas drsquoun
jeton physique de type YubiKey ou RSA il est en
possession du dispositif en question Or tout ce qui
est en sa possession peut ecirctre eacutegareacute
Votre support IT doit donc ecirctre assorti drsquoune
proceacutedure de gestion des terminaux perdus Pensez
agrave inclure les appareils utiliseacutes pour le MFA et veillez
agrave ce que la perte drsquoun eacutequipement entraicircne
bull lrsquoexpiration des sessions en cours et un demande de reacuteauthentification de lrsquoutilisateur
bull la dissociation de lrsquoeacutequipement du compte utilisateur et des droits drsquoaccegraves correspondants
bull la suppression agrave distance des informations de lrsquoentreprise sur les terminaux mobiles si neacutecessaire
Il est eacutegalement important drsquoauditer les activiteacutes
du compte utilisateur avant la perte du terminal
afin de deacutetecter toute activiteacute inhabituelle En cas
drsquoeacuteveacutenement suspect recherchez les eacuteventuelles
bregraveches et faites-les remonter le cas eacutecheacuteant
Une fois les premiegraveres mesures de seacutecuriteacute prises
donnez agrave lrsquoutilisateur les moyens de se remettre
au travail en lui fournissant un terminal de
remplacement ou une autre meacutethode de connexion
Un appel au service drsquoassistance IT pour veacuterifier son
identiteacute peut par exemple lui permettre de rester
productif en attendant lrsquoimpleacutementation des facteurs
de remplacement
7 Se preacuteparer agrave reacuteexaminer et reacuteviser la configuration
Rares sont les politiques et deacuteploiements
complexes qui conviennent parfaitement drsquoembleacutee
Sachant qursquoun changement de processus peut
potentiellement impacter tous les collaborateurs
il est conseilleacute drsquoeacutevaluer lrsquoefficaciteacute drsquoune
solution MFA deacuteployeacutee et utiliseacutee pour ensuite
affiner les regravegles suivant les observations
effectueacutees
Familiarisez-vous en amont du processus avec
la fonctionnaliteacute drsquoaudit qui vous sera tregraves utile
pour reacutesoudre les problegravemes de configuration et
ajuster les politiques comme il convient Une fois
votre MFA deacuteployeacute faites appel agrave des outils drsquoaudit
pour veacuterifier ponctuellement le taux drsquoadoption et
lrsquousage Il peut eacutegalement ecirctre judicieux de donner
la possibiliteacute aux utilisateurs de soumettre des
commentaires
Et si les utilisateurs ne prennent pas toujours le
temps de reacutediger un feedback eacutecrit une trace
drsquoaudit vous offrira une certaine visibiliteacute sur leur
expeacuterience Ont-ils ducirc srsquoy reprendre agrave trois fois pour
saisir leur mot de passe agrave usage unique Ont-ils
abandonneacute Ces difficulteacutes peuvent ecirctre lieacutees agrave une
mauvaise configuration agrave un manque de formation
ou tout simplement agrave un sceacutenario qui nrsquoavait pas eacuteteacute
envisageacute dans le plan de deacuteploiement initial
Utiliser des outils drsquoaudit et encourager les
collaborateurs agrave donner leur avis est le meilleur
moyen drsquoassurer agrave toutes les parties prenantes
que le systegraveme fonctionne comme preacutevu et que les
nouvelles politiques de seacutecuriteacute sont bien adopteacutees
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 09
Lrsquoauthentification multifacteur adaptative un plus pour lrsquoentreprise
Ces conseils constituent un excellent point de
deacutepart et si lrsquoauthentification MFA renforceacutee
peut vous permettre de controcircler preacuteciseacutement
quand et comment appliquer lrsquoauthentification
multifacteur sa configuration exige toutefois
mucircre reacuteflexion Mecircme avec des politiques
et critegraveres bien deacutefinis il se peut que vous
souhaitiez prendre des deacutecisions sur le
moment mecircme en fonction des changements
de contextes lieacutes agrave lrsquoutilisateur ou au terminal
Si vous souhaitez effectuer des changements
dynamiques testez la solution Okta
Adaptive MFA qui identifie les modegraveles
drsquoaccegraves puis adapte la politique agrave chaque
utilisateur ou groupe
Ainsi un deuxiegraveme facteur drsquoauthentification
peut ecirctre demandeacute peacuteriodiquement aux
collaborateurs qui se deacuteplacent et consultent
reacuteguliegraverement leurs e-mails depuis lrsquoeacutetranger
et systeacutematiquement agrave ceux qui en temps
normal ne se deacuteplacent jamais Les politiques
axeacutees sur les risques peuvent eacutegalement
srsquoappliquer en cas drsquoeacuteveacutenement suspect Citons
par exemple lrsquoactivation de lrsquoauthentification
forte lors de tentatives drsquoaccegraves agrave des
ressources via un proxy non autoriseacute ou
encore le blocage automatique des adresses IP
malveillantes connues
Okta Adaptive MFA est une solution efficace
pour deacutefinir automatiquement des politiques
dynamiques au fil du temps Concregravetement elle
offre agrave votre entreprise le niveau de seacutecuriteacute
exigeacute et la flexibiliteacute neacutecessaire pour traiter les
utilisateurs de maniegravere individuelle
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 10
Une seacutecuriteacute optimale gracircce agrave lrsquoauthentification multifacteur
Trois bonnes pratiques pour les ingeacutenieurs et les chefs de produit
Introduction
Les publications expliquant comment concevoir
une solution drsquoauthentification seacutecuriseacutee pour les
systegravemes informatiques ne manquent pas Nous
proposons ici des conseils pratiques inspireacutes
par notre expeacuterience de collaboration avec des
ingeacutenieurs et des eacutequipes produits et destineacutes agrave
ceux qui deacuteveloppent une solution drsquoauthentification
multifacteur pour leurs applications Voici trois
moyens de renforcer la seacutecuriteacute drsquoune solution
drsquoauthentification MFA
bull Deacuteterminer et geacuterer la vulneacuterabiliteacute du processus de reacutecupeacuteration de comptes
bull Proteacuteger les flux de connexion des attaques par force brute
bull Concilier gestion des risques ergonomie et coucirct
Nous partons ici du principe que le mot de passe
a eacuteteacute compromis et qursquoun deuxiegraveme facteur est
neacutecessaire
Deacuteterminer et geacuterer la vulneacuterabiliteacute du processus de reacutecupeacuteration de comptes
Lrsquoauthentification multifacteur nrsquoest seacutecuriseacutee que
si ses flux de reacutecupeacuteration de comptes le sont
eacutegalement Dans de nombreux cas reacutecents ultra-
meacutediatiseacutes les pirates avaient su exploiter les
vulneacuterabiliteacutes du processus de reacutecupeacuteration pour
prendre le controcircle drsquoun compte
Prenons lrsquoexemple de lrsquoapplication web
drsquoune entreprise qui inteacutegrerait un dispositif
drsquoauthentification multifacteur baseacute sur un jeton
logiciel installeacute sur le smartphone drsquoun utilisateur
Supposons que lrsquoapplication permette agrave ce dernier
drsquoenregistrer un numeacutero de teacuteleacutephone pour recevoir
un deuxiegraveme facteur de secours afin de reacutecupeacuterer
son compte srsquoil ne parvient pas agrave acceacuteder agrave son
jeton logiciel Dans ce cas lrsquoefficaciteacute du deuxiegraveme
facteur deacutepend du niveau de seacutecuriteacute des processus
utiliseacutes par lrsquoopeacuterateur de teacuteleacutecommunications
pour authentifier lrsquoabonneacute et lui transmettre des
appels ou des SMS Un pirate parviendrait-il agrave
usurper lrsquoidentiteacute de lrsquoutilisateur et agrave convaincre ou
contraindre un chargeacute de clientegravele de transfeacuterer les
appels ou les SMS vers un numeacutero qursquoil controcircle
Chaque deuxiegraveme facteur exige une meacutethode de
remplacement La question est donc de savoir
comment mettre au point des flux de reacutecupeacuteration
seacutecuriseacutes Voici quelques conseils pour y parvenir
sachant que lrsquoapproche peut varier selon les
circonstances
bull Indeacutependance des facteurs principaux et
secondaires Dissociez la reacutecupeacuteration
du deuxiegraveme facteur de celle du premier
Si un pirate a accegraves au premier facteur
drsquoauthentification le deuxiegraveme devient inefficace
srsquoil peut ecirctre reacuteinitialiseacute sur simple saisie du mot
de passe En outre le flux de reacutecupeacuteration du
deuxiegraveme facteur doit ecirctre totalement distinct
de celui du mot de passe Par exemple si la
reacutecupeacuteration du mot de passe srsquoeffectue par
e-mail veillez agrave reacutecupeacuterer le deuxiegraveme facteur
par un autre canal
bull Faites intervenir un administrateur Dans bien
des cas un administrateur est parfaitement
capable de mettre en place une meacutethode
drsquoauthentification sophistiqueacutee offrant des
garanties eacuteleveacutees
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 11
Dans les sceacutenarios drsquoentreprise les socieacuteteacutes qui
utilisent des secrets partageacutes issus des travaux
ou du profil des collaborateurs de lrsquoorganisation
elle-mecircme ou des relations humaines sont mieux
armeacutees pour authentifier leurs propres effectifs
Lrsquoapproche consistant agrave demander au responsable
drsquoun collaborateur drsquoauthentifier cet utilisateur
avant drsquoautoriser lrsquoeacutequipe IT agrave reacuteinitialiser les
identifiants MFA est particuliegraverement inteacuteressante
Dans les cas drsquousage grand public un
administrateur peut interroger un utilisateur
sur un grand nombre de secrets partageacutes Par
exemple lors de lrsquoonboarding les applications
bancaires reacuteserveacutees aux particuliers collectent
diverses informations personnelles peu connues
qui deviennent des secrets partageacutes destineacutes
agrave la reacutecupeacuteration des comptes Par ailleurs les
reacutecents eacuteveacutenements figurant dans lrsquohistorique de
la personne avec lrsquoapplication ou la socieacuteteacute sont
autant de secrets partageacutes possibles Lrsquoeacutevaluation
drsquoun ensemble de secrets partageacutes peut ecirctre
automatiseacutee en ligne ou par voie vocale ce qui offre
la plupart du temps de meilleures garanties qursquoun
ecirctre humain plus exposeacute au social engineering
bull Preacutevoyez un deuxiegraveme facteur de secours De
nombreuses situations exigent une meacutethode
automatiseacutee de reacutecupeacuteration du deuxiegraveme
facteur Crsquoest notamment le cas des produits
desservant un grand nombre drsquoutilisateurs
et dont lrsquoassistance individuelle est hors de
prix ou lorsqursquoil est neacutecessaire de reacuteduire les
coucircts drsquoexploitation En adheacuterant agrave plusieurs
facteurs secondaires lors de lrsquoonboarding
lrsquoutilisateur peut reacutecupeacuterer un deuxiegraveme facteur
en srsquoidentifiant au moyen drsquoun second facteur
de secours Fournir aux utilisateurs une carte
(physique ou imprimable) contenant une seacuterie
de codes agrave usage unique pouvant servir de
deuxiegraveme facteur de secours est une pratique
judicieuse simple et eacuteconomique
Proteacuteger les flux de connexion des attaques par force brute
Plus les ressources informatiques bon marcheacute se
multiplient plus les systegravemes drsquoauthentification sont
exposeacutes aux attaques par force brute Plusieurs
techniques simples permettent toutefois drsquoameacuteliorer
sensiblement la seacutecuriteacute de lrsquoauthentification
multifacteur en cas de piratage du mot de passe
bull Seacutequence de flux de connexion limitation du
deacutebit et blocage de comptes Placer la demande
de deuxiegraveme facteur sur une page situeacutee en
dessous de la page de connexion offre deux
avantages Premiegraverement lrsquoutilisateur est
proteacutegeacute contre les attaques destineacutees agrave bloquer
son compte une fois le nombre maximal drsquoeacutechecs
de connexion atteint (sous reacuteserve qursquoune
limitation du deacutebit soit appliqueacutee pour le premier
facteur) Deuxiegravemement dans la mesure ougrave le
deuxiegraveme facteur est dissimuleacute le pirate a moins
de visibiliteacute sur une autre couche de seacutecuriteacute
Instaurez une limitation du deacutebit et une regravegle
de blocage pour le deuxiegraveme facteur Comme
il est peu probable qursquoun utilisateur se trompe
plusieurs fois en entrant son jeton la suspicion
drsquoattaque doit se renforcer agrave chaque tentative
rateacutee Les temps de reacuteponse doivent augmenter
agrave chaque tentative afin de reacuteduire le nombre
maximal drsquoessais possibles par uniteacute de temps
avec un verrouillage complet du compte (si
possible) apregraves plusieurs eacutechecs successifs Pour
les facteurs secondaires agrave dureacutee limiteacutee adaptez
la limitation du deacutebit agrave la dureacutee de vie du jeton
bull Journaux et alertes Collectez et analysez les
tentatives de deuxiegraveme facteur ayant eacutechoueacute En
cas drsquoeacutechec de plusieurs demandes de deuxiegraveme
facteur alertez lrsquoutilisateur ou un administrateur
de ce comportement suspect et invitez
lrsquoutilisateur agrave obtenir un nouveau jeton
bull Utilisez un jeton hors bande Un deuxiegraveme
facteur veacuterifieacute via un canal autre que celui
du premier facteur est un gage de protection
suppleacutementaire contre les attaques par force
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 12
brute (et par phishing) Ainsi la tendance
actuelle consiste agrave envoyer sur le smartphone
de lrsquoutilisateur une notification push contenant
des deacutetails sur la demande drsquoauthentification et
lrsquoinvitant agrave accepter ou refuser cette demande
Ce canal est inaccessible pour les attaques par
force brute classiques
Concilier gestion des risques ergonomie et coucirct
Quel que soit le contexte la conception drsquoune
fonctionnaliteacute drsquoauthentification multifacteur a
des reacutepercussions importantes sur la seacutecuriteacute
lrsquoergonomie et le coucirct Un deuxiegraveme facteur
offrant de meilleures garanties peut dans certains
cas alourdir la tacircche des utilisateurs et des
administrateurs ce qui freine lrsquoadoption du MFA et
reacuteduit drsquoautant la seacutecuriteacute Voici quelques bonnes
pratiques agrave mettre en œuvre pour trouver le juste
eacutequilibre entre gestion des risques ergonomie et
coucirct
bull Offrez des options adapteacutees agrave diffeacuterentes
populations drsquoutilisateurs Les risques varient
en fonction des populations drsquoutilisateurs et
exigent par conseacutequent des niveaux de garantie
diffeacuterents Par exemple un administrateur peut
avoir un peacuterimegravetre drsquoaccegraves plus large que celui
drsquoun utilisateur lambda Vous pouvez donc
preacutevoir des facteurs secondaires relativement
plus forts pour les administrateurs et offrir des
options plus pratiques aux utilisateurs Dans les
cas drsquousage grand public les preacutefeacuterences varient
drsquoun utilisateur agrave lrsquoautre et une option offrant
de faibles garanties mais pratique et donc
facilement adopteacutee peut se reacuteveacuteler plus sucircre
qursquoune option offrant une assurance maximale
mais boudeacutee par les utilisateurs
bull Optez pour lrsquoauthentification feacutedeacutereacutee Dans les
sceacutenarios drsquoentreprise de nombreuses socieacuteteacutes
mettent en place des systegravemes drsquoauthentification
unique et multifacteur en local pour les identiteacutes
dont elles assurent la gestion et les feacutedegraverent
avec les ressources Cette approche permet
aux eacutequipes de deacuteveloppement de produits de
confier lrsquoadministration des politiques et des
processus de seacutecuriteacute aux clients Les clients
peuvent ainsi impleacutementer lrsquoauthentification MFA
de maniegravere autonome ce qui leur permet
drsquooptimiser les points preacuteceacutedents en fonction de
leurs contextes et contraintes speacutecifiques Un
client peut par exemple adapter lrsquoadministration
de la reacutecupeacuteration de comptes agrave ses activiteacutes IT
Cette approche externaliseacutee preacutesente un autre
avantage elle permet aux utilisateurs drsquoacceacuteder
agrave la totaliteacute des ressources avec un seul et mecircme
jeton
Conclusion
Roadmap pour une authentification MFA efficace
En reacutesumeacute lrsquoauthentification multifacteur est une
excellente meacutethode qui permet aux deacuteveloppeurs
drsquoapplications de renforcer la seacutecuriteacute drsquoaccegraves agrave
leurs solutions Certaines conditions doivent ecirctre
remplies pour seacutecuriser une fonctionnaliteacute MFA
parmi lesquelles lrsquoanalyse du flux de reacutecupeacuteration
du deuxiegraveme facteur la protection contre les
attaques par force brute et lrsquoeacutequilibre entre seacutecuriteacute
ergonomie et coucirct
Une approche automatiseacutee et moderne de
lrsquoauthentification multifacteur aide agrave prendre le
controcircle des identifiants pour reacuteduire sensiblement
le risque de bregraveche Mais par quoi les entreprises
doivent-elles commencer
Nous vous conseillons de vous concentrer sur
quelques eacutetapes cleacutes
1 Eacuteliminer les mots de passe chaque fois que crsquoest
possible
2 Utiliser des mots de passe forts et uniques dans
les autres cas
3 Seacutecuriser les flux de reacutecupeacuteration de comptes
avec des facteurs principaux et secondaires
indeacutependants
4 Optimiser la seacutecuriteacute des applications
strateacutegiques gracircce agrave lrsquoauthentification forte
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 13
5 Adopter une strateacutegie unifieacutee pour les
applications on-premise cloud et mobiles
6 Automatiser le provisioning avec une deacutefinition
preacutecise des droits
7 Opter pour le deacuteprovisioning agrave lrsquoeacutechelle de
toute lrsquoentreprise et ameacuteliorer la visibiliteacute et le
reporting
8 Geacuteneacuterer en temps reacuteel des alertes et des
rapports centraliseacutes sur tous les eacuteveacutenements
drsquoauthentification
9 Inteacutegrer la strateacutegie de gestion des identiteacutes
avec les outils de seacutecuriteacute en place
10 Eacutetendre la gestion des identiteacutes et
lrsquoauthentification multifacteur aux partenaires
fournisseurs et sous-traitants
Pourquoi choisir Okta pour lrsquoauthentification MFA
Gracircce agrave son approche innovante de la gestion des
identiteacutes Okta est le mieux placeacute pour aider les
entreprises agrave geacuterer les identiteacutes et lrsquoauthentification
multifacteur afin de limiter les bregraveches Avec la
solution drsquoauthentification multifacteur drsquoOkta vous
pouvez
Geacuteneacuteraliser lrsquoutilisation de fonctions drsquoauthentification MFA forte
bull Deacuteployer rapidement et facilement
lrsquoauthentification MFA avec les
6 500 preacuteinteacutegrations drsquoOkta Integration
Network
bull Eacutetendre la couverture aux applications on-
premise gracircce agrave la prise en charge des
protocoles RADIUS RDP ADFS et LDAP
bull Mettre en place des politiques drsquoaccegraves
intelligentes et contextualiseacutees en fonction des
attributs de connexion et des terminaux
Neacuteanmoins lrsquoauthentification forte nrsquoest pas une
protection absolue contre les bregraveches Avec Okta
vous pouvez facilement
Centraliser la gestion des identiteacutes
bull Simplifier la gestion des comptes
bull Unifier lrsquoaccegraves pour offrir aux utilisateurs un
accegraves simplifieacute sans mot de passe
bull Reacuteduire les risques et la prolifeacuteration des
identiteacutes en limitant lrsquoaccegraves aux services via des
connexions SAML
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 14
Reacuteduire la surface drsquoattaque
bull Le provisioning et le deacuteprovisioning automatiseacutes
acceacutelegraverent lrsquoonboarding tout en eacuteliminant les
comptes orphelins
bull La solution peut ecirctre eacutetendue aux applications
ldquomaisonrdquo via le protocole SCIM un kit SDK et
lrsquoAPI drsquoOkta
bull La gestion complegravete du cycle de vie des
utilisateurs garantit un niveau drsquoaccegraves adapteacute aux
applications approprieacutees gracircce agrave des workflows
de demande drsquoaccegraves
Reacuteagir plus rapidement aux tentatives de piratage
bull Obtenir une vue centraliseacutee de toutes les
donneacutees drsquoauthentification des applications
cloud mobiles et on-premise
bull Repeacuterer les comportements inhabituels et
suspects
bull Enrichir et eacutetoffer votre environnement de
cyberseacutecuriteacute via lrsquoAPI SysLog Okta (Splunk
ArcSight IBM QRadar Palo Alto Networks
F5 Networks)
Pour deacutecouvrir agrave quel point il est
facile drsquoadministrer la solution
Okta drsquoauthentification Adaptive
(AMFA) et de piloter le processus
drsquoauthentification
visionnez cette deacutemo
Agrave propos drsquoOkta
Okta est un eacutediteur indeacutependant speacutecialiseacute dans la gestion
et la protection des donneacutees drsquoidentification leader du
secteur La plateforme Okta Identity Cloud connecte et
protegravege les collaborateurs des plus grandes entreprises
au monde en plus drsquoassurer une connexion seacutecuriseacutee
avec leurs partenaires fournisseurs et clients Gracircce agrave son
inteacutegration avanceacutee agrave plus de 6 500 applications Okta
Identity Cloud permet agrave nrsquoimporte quel utilisateur de se
connecter facilement et en toute seacutecuriteacute tous terminaux
confondus Des milliers de clients dont 20th Century
Fox Adobe Dish Networks Experian Flex LinkedIn et
News Corp font confiance agrave Okta pour ameacuteliorer leur
productiviteacute doper leur chiffre drsquoaffaires et preacuteserver leur
seacutecuriteacute Gracircce agrave Okta ils peuvent acceacuteder facilement
et sans risque aux technologies dont ils ont besoin pour
accomplir leurs missions strateacutegiques
Pour en savoir plus consultez le site wwwoktacomfr ou
suivez-nous sur wwwoktacomblog
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 08
6 Preacutevoir les mesures agrave prendre en cas de perte drsquoun terminal
Dans le cadre drsquoun deacuteploiement MFA classique le
deuxiegraveme facteur drsquoauthentification est un laquo facteur
de possession raquo (le premier eacutetant un laquo facteur de
connaissance raquo et le troisiegraveme un laquo facteur de
biomeacutetrie raquo) Dans le cas drsquoun SMS drsquoun message
vocal ou drsquoune application drsquoauthentification comme
Okta Verify ou Google Authenticator lrsquoutilisateur
se sert de son teacuteleacutephone Et dans le cas drsquoun
jeton physique de type YubiKey ou RSA il est en
possession du dispositif en question Or tout ce qui
est en sa possession peut ecirctre eacutegareacute
Votre support IT doit donc ecirctre assorti drsquoune
proceacutedure de gestion des terminaux perdus Pensez
agrave inclure les appareils utiliseacutes pour le MFA et veillez
agrave ce que la perte drsquoun eacutequipement entraicircne
bull lrsquoexpiration des sessions en cours et un demande de reacuteauthentification de lrsquoutilisateur
bull la dissociation de lrsquoeacutequipement du compte utilisateur et des droits drsquoaccegraves correspondants
bull la suppression agrave distance des informations de lrsquoentreprise sur les terminaux mobiles si neacutecessaire
Il est eacutegalement important drsquoauditer les activiteacutes
du compte utilisateur avant la perte du terminal
afin de deacutetecter toute activiteacute inhabituelle En cas
drsquoeacuteveacutenement suspect recherchez les eacuteventuelles
bregraveches et faites-les remonter le cas eacutecheacuteant
Une fois les premiegraveres mesures de seacutecuriteacute prises
donnez agrave lrsquoutilisateur les moyens de se remettre
au travail en lui fournissant un terminal de
remplacement ou une autre meacutethode de connexion
Un appel au service drsquoassistance IT pour veacuterifier son
identiteacute peut par exemple lui permettre de rester
productif en attendant lrsquoimpleacutementation des facteurs
de remplacement
7 Se preacuteparer agrave reacuteexaminer et reacuteviser la configuration
Rares sont les politiques et deacuteploiements
complexes qui conviennent parfaitement drsquoembleacutee
Sachant qursquoun changement de processus peut
potentiellement impacter tous les collaborateurs
il est conseilleacute drsquoeacutevaluer lrsquoefficaciteacute drsquoune
solution MFA deacuteployeacutee et utiliseacutee pour ensuite
affiner les regravegles suivant les observations
effectueacutees
Familiarisez-vous en amont du processus avec
la fonctionnaliteacute drsquoaudit qui vous sera tregraves utile
pour reacutesoudre les problegravemes de configuration et
ajuster les politiques comme il convient Une fois
votre MFA deacuteployeacute faites appel agrave des outils drsquoaudit
pour veacuterifier ponctuellement le taux drsquoadoption et
lrsquousage Il peut eacutegalement ecirctre judicieux de donner
la possibiliteacute aux utilisateurs de soumettre des
commentaires
Et si les utilisateurs ne prennent pas toujours le
temps de reacutediger un feedback eacutecrit une trace
drsquoaudit vous offrira une certaine visibiliteacute sur leur
expeacuterience Ont-ils ducirc srsquoy reprendre agrave trois fois pour
saisir leur mot de passe agrave usage unique Ont-ils
abandonneacute Ces difficulteacutes peuvent ecirctre lieacutees agrave une
mauvaise configuration agrave un manque de formation
ou tout simplement agrave un sceacutenario qui nrsquoavait pas eacuteteacute
envisageacute dans le plan de deacuteploiement initial
Utiliser des outils drsquoaudit et encourager les
collaborateurs agrave donner leur avis est le meilleur
moyen drsquoassurer agrave toutes les parties prenantes
que le systegraveme fonctionne comme preacutevu et que les
nouvelles politiques de seacutecuriteacute sont bien adopteacutees
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 09
Lrsquoauthentification multifacteur adaptative un plus pour lrsquoentreprise
Ces conseils constituent un excellent point de
deacutepart et si lrsquoauthentification MFA renforceacutee
peut vous permettre de controcircler preacuteciseacutement
quand et comment appliquer lrsquoauthentification
multifacteur sa configuration exige toutefois
mucircre reacuteflexion Mecircme avec des politiques
et critegraveres bien deacutefinis il se peut que vous
souhaitiez prendre des deacutecisions sur le
moment mecircme en fonction des changements
de contextes lieacutes agrave lrsquoutilisateur ou au terminal
Si vous souhaitez effectuer des changements
dynamiques testez la solution Okta
Adaptive MFA qui identifie les modegraveles
drsquoaccegraves puis adapte la politique agrave chaque
utilisateur ou groupe
Ainsi un deuxiegraveme facteur drsquoauthentification
peut ecirctre demandeacute peacuteriodiquement aux
collaborateurs qui se deacuteplacent et consultent
reacuteguliegraverement leurs e-mails depuis lrsquoeacutetranger
et systeacutematiquement agrave ceux qui en temps
normal ne se deacuteplacent jamais Les politiques
axeacutees sur les risques peuvent eacutegalement
srsquoappliquer en cas drsquoeacuteveacutenement suspect Citons
par exemple lrsquoactivation de lrsquoauthentification
forte lors de tentatives drsquoaccegraves agrave des
ressources via un proxy non autoriseacute ou
encore le blocage automatique des adresses IP
malveillantes connues
Okta Adaptive MFA est une solution efficace
pour deacutefinir automatiquement des politiques
dynamiques au fil du temps Concregravetement elle
offre agrave votre entreprise le niveau de seacutecuriteacute
exigeacute et la flexibiliteacute neacutecessaire pour traiter les
utilisateurs de maniegravere individuelle
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 10
Une seacutecuriteacute optimale gracircce agrave lrsquoauthentification multifacteur
Trois bonnes pratiques pour les ingeacutenieurs et les chefs de produit
Introduction
Les publications expliquant comment concevoir
une solution drsquoauthentification seacutecuriseacutee pour les
systegravemes informatiques ne manquent pas Nous
proposons ici des conseils pratiques inspireacutes
par notre expeacuterience de collaboration avec des
ingeacutenieurs et des eacutequipes produits et destineacutes agrave
ceux qui deacuteveloppent une solution drsquoauthentification
multifacteur pour leurs applications Voici trois
moyens de renforcer la seacutecuriteacute drsquoune solution
drsquoauthentification MFA
bull Deacuteterminer et geacuterer la vulneacuterabiliteacute du processus de reacutecupeacuteration de comptes
bull Proteacuteger les flux de connexion des attaques par force brute
bull Concilier gestion des risques ergonomie et coucirct
Nous partons ici du principe que le mot de passe
a eacuteteacute compromis et qursquoun deuxiegraveme facteur est
neacutecessaire
Deacuteterminer et geacuterer la vulneacuterabiliteacute du processus de reacutecupeacuteration de comptes
Lrsquoauthentification multifacteur nrsquoest seacutecuriseacutee que
si ses flux de reacutecupeacuteration de comptes le sont
eacutegalement Dans de nombreux cas reacutecents ultra-
meacutediatiseacutes les pirates avaient su exploiter les
vulneacuterabiliteacutes du processus de reacutecupeacuteration pour
prendre le controcircle drsquoun compte
Prenons lrsquoexemple de lrsquoapplication web
drsquoune entreprise qui inteacutegrerait un dispositif
drsquoauthentification multifacteur baseacute sur un jeton
logiciel installeacute sur le smartphone drsquoun utilisateur
Supposons que lrsquoapplication permette agrave ce dernier
drsquoenregistrer un numeacutero de teacuteleacutephone pour recevoir
un deuxiegraveme facteur de secours afin de reacutecupeacuterer
son compte srsquoil ne parvient pas agrave acceacuteder agrave son
jeton logiciel Dans ce cas lrsquoefficaciteacute du deuxiegraveme
facteur deacutepend du niveau de seacutecuriteacute des processus
utiliseacutes par lrsquoopeacuterateur de teacuteleacutecommunications
pour authentifier lrsquoabonneacute et lui transmettre des
appels ou des SMS Un pirate parviendrait-il agrave
usurper lrsquoidentiteacute de lrsquoutilisateur et agrave convaincre ou
contraindre un chargeacute de clientegravele de transfeacuterer les
appels ou les SMS vers un numeacutero qursquoil controcircle
Chaque deuxiegraveme facteur exige une meacutethode de
remplacement La question est donc de savoir
comment mettre au point des flux de reacutecupeacuteration
seacutecuriseacutes Voici quelques conseils pour y parvenir
sachant que lrsquoapproche peut varier selon les
circonstances
bull Indeacutependance des facteurs principaux et
secondaires Dissociez la reacutecupeacuteration
du deuxiegraveme facteur de celle du premier
Si un pirate a accegraves au premier facteur
drsquoauthentification le deuxiegraveme devient inefficace
srsquoil peut ecirctre reacuteinitialiseacute sur simple saisie du mot
de passe En outre le flux de reacutecupeacuteration du
deuxiegraveme facteur doit ecirctre totalement distinct
de celui du mot de passe Par exemple si la
reacutecupeacuteration du mot de passe srsquoeffectue par
e-mail veillez agrave reacutecupeacuterer le deuxiegraveme facteur
par un autre canal
bull Faites intervenir un administrateur Dans bien
des cas un administrateur est parfaitement
capable de mettre en place une meacutethode
drsquoauthentification sophistiqueacutee offrant des
garanties eacuteleveacutees
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 11
Dans les sceacutenarios drsquoentreprise les socieacuteteacutes qui
utilisent des secrets partageacutes issus des travaux
ou du profil des collaborateurs de lrsquoorganisation
elle-mecircme ou des relations humaines sont mieux
armeacutees pour authentifier leurs propres effectifs
Lrsquoapproche consistant agrave demander au responsable
drsquoun collaborateur drsquoauthentifier cet utilisateur
avant drsquoautoriser lrsquoeacutequipe IT agrave reacuteinitialiser les
identifiants MFA est particuliegraverement inteacuteressante
Dans les cas drsquousage grand public un
administrateur peut interroger un utilisateur
sur un grand nombre de secrets partageacutes Par
exemple lors de lrsquoonboarding les applications
bancaires reacuteserveacutees aux particuliers collectent
diverses informations personnelles peu connues
qui deviennent des secrets partageacutes destineacutes
agrave la reacutecupeacuteration des comptes Par ailleurs les
reacutecents eacuteveacutenements figurant dans lrsquohistorique de
la personne avec lrsquoapplication ou la socieacuteteacute sont
autant de secrets partageacutes possibles Lrsquoeacutevaluation
drsquoun ensemble de secrets partageacutes peut ecirctre
automatiseacutee en ligne ou par voie vocale ce qui offre
la plupart du temps de meilleures garanties qursquoun
ecirctre humain plus exposeacute au social engineering
bull Preacutevoyez un deuxiegraveme facteur de secours De
nombreuses situations exigent une meacutethode
automatiseacutee de reacutecupeacuteration du deuxiegraveme
facteur Crsquoest notamment le cas des produits
desservant un grand nombre drsquoutilisateurs
et dont lrsquoassistance individuelle est hors de
prix ou lorsqursquoil est neacutecessaire de reacuteduire les
coucircts drsquoexploitation En adheacuterant agrave plusieurs
facteurs secondaires lors de lrsquoonboarding
lrsquoutilisateur peut reacutecupeacuterer un deuxiegraveme facteur
en srsquoidentifiant au moyen drsquoun second facteur
de secours Fournir aux utilisateurs une carte
(physique ou imprimable) contenant une seacuterie
de codes agrave usage unique pouvant servir de
deuxiegraveme facteur de secours est une pratique
judicieuse simple et eacuteconomique
Proteacuteger les flux de connexion des attaques par force brute
Plus les ressources informatiques bon marcheacute se
multiplient plus les systegravemes drsquoauthentification sont
exposeacutes aux attaques par force brute Plusieurs
techniques simples permettent toutefois drsquoameacuteliorer
sensiblement la seacutecuriteacute de lrsquoauthentification
multifacteur en cas de piratage du mot de passe
bull Seacutequence de flux de connexion limitation du
deacutebit et blocage de comptes Placer la demande
de deuxiegraveme facteur sur une page situeacutee en
dessous de la page de connexion offre deux
avantages Premiegraverement lrsquoutilisateur est
proteacutegeacute contre les attaques destineacutees agrave bloquer
son compte une fois le nombre maximal drsquoeacutechecs
de connexion atteint (sous reacuteserve qursquoune
limitation du deacutebit soit appliqueacutee pour le premier
facteur) Deuxiegravemement dans la mesure ougrave le
deuxiegraveme facteur est dissimuleacute le pirate a moins
de visibiliteacute sur une autre couche de seacutecuriteacute
Instaurez une limitation du deacutebit et une regravegle
de blocage pour le deuxiegraveme facteur Comme
il est peu probable qursquoun utilisateur se trompe
plusieurs fois en entrant son jeton la suspicion
drsquoattaque doit se renforcer agrave chaque tentative
rateacutee Les temps de reacuteponse doivent augmenter
agrave chaque tentative afin de reacuteduire le nombre
maximal drsquoessais possibles par uniteacute de temps
avec un verrouillage complet du compte (si
possible) apregraves plusieurs eacutechecs successifs Pour
les facteurs secondaires agrave dureacutee limiteacutee adaptez
la limitation du deacutebit agrave la dureacutee de vie du jeton
bull Journaux et alertes Collectez et analysez les
tentatives de deuxiegraveme facteur ayant eacutechoueacute En
cas drsquoeacutechec de plusieurs demandes de deuxiegraveme
facteur alertez lrsquoutilisateur ou un administrateur
de ce comportement suspect et invitez
lrsquoutilisateur agrave obtenir un nouveau jeton
bull Utilisez un jeton hors bande Un deuxiegraveme
facteur veacuterifieacute via un canal autre que celui
du premier facteur est un gage de protection
suppleacutementaire contre les attaques par force
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 12
brute (et par phishing) Ainsi la tendance
actuelle consiste agrave envoyer sur le smartphone
de lrsquoutilisateur une notification push contenant
des deacutetails sur la demande drsquoauthentification et
lrsquoinvitant agrave accepter ou refuser cette demande
Ce canal est inaccessible pour les attaques par
force brute classiques
Concilier gestion des risques ergonomie et coucirct
Quel que soit le contexte la conception drsquoune
fonctionnaliteacute drsquoauthentification multifacteur a
des reacutepercussions importantes sur la seacutecuriteacute
lrsquoergonomie et le coucirct Un deuxiegraveme facteur
offrant de meilleures garanties peut dans certains
cas alourdir la tacircche des utilisateurs et des
administrateurs ce qui freine lrsquoadoption du MFA et
reacuteduit drsquoautant la seacutecuriteacute Voici quelques bonnes
pratiques agrave mettre en œuvre pour trouver le juste
eacutequilibre entre gestion des risques ergonomie et
coucirct
bull Offrez des options adapteacutees agrave diffeacuterentes
populations drsquoutilisateurs Les risques varient
en fonction des populations drsquoutilisateurs et
exigent par conseacutequent des niveaux de garantie
diffeacuterents Par exemple un administrateur peut
avoir un peacuterimegravetre drsquoaccegraves plus large que celui
drsquoun utilisateur lambda Vous pouvez donc
preacutevoir des facteurs secondaires relativement
plus forts pour les administrateurs et offrir des
options plus pratiques aux utilisateurs Dans les
cas drsquousage grand public les preacutefeacuterences varient
drsquoun utilisateur agrave lrsquoautre et une option offrant
de faibles garanties mais pratique et donc
facilement adopteacutee peut se reacuteveacuteler plus sucircre
qursquoune option offrant une assurance maximale
mais boudeacutee par les utilisateurs
bull Optez pour lrsquoauthentification feacutedeacutereacutee Dans les
sceacutenarios drsquoentreprise de nombreuses socieacuteteacutes
mettent en place des systegravemes drsquoauthentification
unique et multifacteur en local pour les identiteacutes
dont elles assurent la gestion et les feacutedegraverent
avec les ressources Cette approche permet
aux eacutequipes de deacuteveloppement de produits de
confier lrsquoadministration des politiques et des
processus de seacutecuriteacute aux clients Les clients
peuvent ainsi impleacutementer lrsquoauthentification MFA
de maniegravere autonome ce qui leur permet
drsquooptimiser les points preacuteceacutedents en fonction de
leurs contextes et contraintes speacutecifiques Un
client peut par exemple adapter lrsquoadministration
de la reacutecupeacuteration de comptes agrave ses activiteacutes IT
Cette approche externaliseacutee preacutesente un autre
avantage elle permet aux utilisateurs drsquoacceacuteder
agrave la totaliteacute des ressources avec un seul et mecircme
jeton
Conclusion
Roadmap pour une authentification MFA efficace
En reacutesumeacute lrsquoauthentification multifacteur est une
excellente meacutethode qui permet aux deacuteveloppeurs
drsquoapplications de renforcer la seacutecuriteacute drsquoaccegraves agrave
leurs solutions Certaines conditions doivent ecirctre
remplies pour seacutecuriser une fonctionnaliteacute MFA
parmi lesquelles lrsquoanalyse du flux de reacutecupeacuteration
du deuxiegraveme facteur la protection contre les
attaques par force brute et lrsquoeacutequilibre entre seacutecuriteacute
ergonomie et coucirct
Une approche automatiseacutee et moderne de
lrsquoauthentification multifacteur aide agrave prendre le
controcircle des identifiants pour reacuteduire sensiblement
le risque de bregraveche Mais par quoi les entreprises
doivent-elles commencer
Nous vous conseillons de vous concentrer sur
quelques eacutetapes cleacutes
1 Eacuteliminer les mots de passe chaque fois que crsquoest
possible
2 Utiliser des mots de passe forts et uniques dans
les autres cas
3 Seacutecuriser les flux de reacutecupeacuteration de comptes
avec des facteurs principaux et secondaires
indeacutependants
4 Optimiser la seacutecuriteacute des applications
strateacutegiques gracircce agrave lrsquoauthentification forte
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 13
5 Adopter une strateacutegie unifieacutee pour les
applications on-premise cloud et mobiles
6 Automatiser le provisioning avec une deacutefinition
preacutecise des droits
7 Opter pour le deacuteprovisioning agrave lrsquoeacutechelle de
toute lrsquoentreprise et ameacuteliorer la visibiliteacute et le
reporting
8 Geacuteneacuterer en temps reacuteel des alertes et des
rapports centraliseacutes sur tous les eacuteveacutenements
drsquoauthentification
9 Inteacutegrer la strateacutegie de gestion des identiteacutes
avec les outils de seacutecuriteacute en place
10 Eacutetendre la gestion des identiteacutes et
lrsquoauthentification multifacteur aux partenaires
fournisseurs et sous-traitants
Pourquoi choisir Okta pour lrsquoauthentification MFA
Gracircce agrave son approche innovante de la gestion des
identiteacutes Okta est le mieux placeacute pour aider les
entreprises agrave geacuterer les identiteacutes et lrsquoauthentification
multifacteur afin de limiter les bregraveches Avec la
solution drsquoauthentification multifacteur drsquoOkta vous
pouvez
Geacuteneacuteraliser lrsquoutilisation de fonctions drsquoauthentification MFA forte
bull Deacuteployer rapidement et facilement
lrsquoauthentification MFA avec les
6 500 preacuteinteacutegrations drsquoOkta Integration
Network
bull Eacutetendre la couverture aux applications on-
premise gracircce agrave la prise en charge des
protocoles RADIUS RDP ADFS et LDAP
bull Mettre en place des politiques drsquoaccegraves
intelligentes et contextualiseacutees en fonction des
attributs de connexion et des terminaux
Neacuteanmoins lrsquoauthentification forte nrsquoest pas une
protection absolue contre les bregraveches Avec Okta
vous pouvez facilement
Centraliser la gestion des identiteacutes
bull Simplifier la gestion des comptes
bull Unifier lrsquoaccegraves pour offrir aux utilisateurs un
accegraves simplifieacute sans mot de passe
bull Reacuteduire les risques et la prolifeacuteration des
identiteacutes en limitant lrsquoaccegraves aux services via des
connexions SAML
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 14
Reacuteduire la surface drsquoattaque
bull Le provisioning et le deacuteprovisioning automatiseacutes
acceacutelegraverent lrsquoonboarding tout en eacuteliminant les
comptes orphelins
bull La solution peut ecirctre eacutetendue aux applications
ldquomaisonrdquo via le protocole SCIM un kit SDK et
lrsquoAPI drsquoOkta
bull La gestion complegravete du cycle de vie des
utilisateurs garantit un niveau drsquoaccegraves adapteacute aux
applications approprieacutees gracircce agrave des workflows
de demande drsquoaccegraves
Reacuteagir plus rapidement aux tentatives de piratage
bull Obtenir une vue centraliseacutee de toutes les
donneacutees drsquoauthentification des applications
cloud mobiles et on-premise
bull Repeacuterer les comportements inhabituels et
suspects
bull Enrichir et eacutetoffer votre environnement de
cyberseacutecuriteacute via lrsquoAPI SysLog Okta (Splunk
ArcSight IBM QRadar Palo Alto Networks
F5 Networks)
Pour deacutecouvrir agrave quel point il est
facile drsquoadministrer la solution
Okta drsquoauthentification Adaptive
(AMFA) et de piloter le processus
drsquoauthentification
visionnez cette deacutemo
Agrave propos drsquoOkta
Okta est un eacutediteur indeacutependant speacutecialiseacute dans la gestion
et la protection des donneacutees drsquoidentification leader du
secteur La plateforme Okta Identity Cloud connecte et
protegravege les collaborateurs des plus grandes entreprises
au monde en plus drsquoassurer une connexion seacutecuriseacutee
avec leurs partenaires fournisseurs et clients Gracircce agrave son
inteacutegration avanceacutee agrave plus de 6 500 applications Okta
Identity Cloud permet agrave nrsquoimporte quel utilisateur de se
connecter facilement et en toute seacutecuriteacute tous terminaux
confondus Des milliers de clients dont 20th Century
Fox Adobe Dish Networks Experian Flex LinkedIn et
News Corp font confiance agrave Okta pour ameacuteliorer leur
productiviteacute doper leur chiffre drsquoaffaires et preacuteserver leur
seacutecuriteacute Gracircce agrave Okta ils peuvent acceacuteder facilement
et sans risque aux technologies dont ils ont besoin pour
accomplir leurs missions strateacutegiques
Pour en savoir plus consultez le site wwwoktacomfr ou
suivez-nous sur wwwoktacomblog
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 09
Lrsquoauthentification multifacteur adaptative un plus pour lrsquoentreprise
Ces conseils constituent un excellent point de
deacutepart et si lrsquoauthentification MFA renforceacutee
peut vous permettre de controcircler preacuteciseacutement
quand et comment appliquer lrsquoauthentification
multifacteur sa configuration exige toutefois
mucircre reacuteflexion Mecircme avec des politiques
et critegraveres bien deacutefinis il se peut que vous
souhaitiez prendre des deacutecisions sur le
moment mecircme en fonction des changements
de contextes lieacutes agrave lrsquoutilisateur ou au terminal
Si vous souhaitez effectuer des changements
dynamiques testez la solution Okta
Adaptive MFA qui identifie les modegraveles
drsquoaccegraves puis adapte la politique agrave chaque
utilisateur ou groupe
Ainsi un deuxiegraveme facteur drsquoauthentification
peut ecirctre demandeacute peacuteriodiquement aux
collaborateurs qui se deacuteplacent et consultent
reacuteguliegraverement leurs e-mails depuis lrsquoeacutetranger
et systeacutematiquement agrave ceux qui en temps
normal ne se deacuteplacent jamais Les politiques
axeacutees sur les risques peuvent eacutegalement
srsquoappliquer en cas drsquoeacuteveacutenement suspect Citons
par exemple lrsquoactivation de lrsquoauthentification
forte lors de tentatives drsquoaccegraves agrave des
ressources via un proxy non autoriseacute ou
encore le blocage automatique des adresses IP
malveillantes connues
Okta Adaptive MFA est une solution efficace
pour deacutefinir automatiquement des politiques
dynamiques au fil du temps Concregravetement elle
offre agrave votre entreprise le niveau de seacutecuriteacute
exigeacute et la flexibiliteacute neacutecessaire pour traiter les
utilisateurs de maniegravere individuelle
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 10
Une seacutecuriteacute optimale gracircce agrave lrsquoauthentification multifacteur
Trois bonnes pratiques pour les ingeacutenieurs et les chefs de produit
Introduction
Les publications expliquant comment concevoir
une solution drsquoauthentification seacutecuriseacutee pour les
systegravemes informatiques ne manquent pas Nous
proposons ici des conseils pratiques inspireacutes
par notre expeacuterience de collaboration avec des
ingeacutenieurs et des eacutequipes produits et destineacutes agrave
ceux qui deacuteveloppent une solution drsquoauthentification
multifacteur pour leurs applications Voici trois
moyens de renforcer la seacutecuriteacute drsquoune solution
drsquoauthentification MFA
bull Deacuteterminer et geacuterer la vulneacuterabiliteacute du processus de reacutecupeacuteration de comptes
bull Proteacuteger les flux de connexion des attaques par force brute
bull Concilier gestion des risques ergonomie et coucirct
Nous partons ici du principe que le mot de passe
a eacuteteacute compromis et qursquoun deuxiegraveme facteur est
neacutecessaire
Deacuteterminer et geacuterer la vulneacuterabiliteacute du processus de reacutecupeacuteration de comptes
Lrsquoauthentification multifacteur nrsquoest seacutecuriseacutee que
si ses flux de reacutecupeacuteration de comptes le sont
eacutegalement Dans de nombreux cas reacutecents ultra-
meacutediatiseacutes les pirates avaient su exploiter les
vulneacuterabiliteacutes du processus de reacutecupeacuteration pour
prendre le controcircle drsquoun compte
Prenons lrsquoexemple de lrsquoapplication web
drsquoune entreprise qui inteacutegrerait un dispositif
drsquoauthentification multifacteur baseacute sur un jeton
logiciel installeacute sur le smartphone drsquoun utilisateur
Supposons que lrsquoapplication permette agrave ce dernier
drsquoenregistrer un numeacutero de teacuteleacutephone pour recevoir
un deuxiegraveme facteur de secours afin de reacutecupeacuterer
son compte srsquoil ne parvient pas agrave acceacuteder agrave son
jeton logiciel Dans ce cas lrsquoefficaciteacute du deuxiegraveme
facteur deacutepend du niveau de seacutecuriteacute des processus
utiliseacutes par lrsquoopeacuterateur de teacuteleacutecommunications
pour authentifier lrsquoabonneacute et lui transmettre des
appels ou des SMS Un pirate parviendrait-il agrave
usurper lrsquoidentiteacute de lrsquoutilisateur et agrave convaincre ou
contraindre un chargeacute de clientegravele de transfeacuterer les
appels ou les SMS vers un numeacutero qursquoil controcircle
Chaque deuxiegraveme facteur exige une meacutethode de
remplacement La question est donc de savoir
comment mettre au point des flux de reacutecupeacuteration
seacutecuriseacutes Voici quelques conseils pour y parvenir
sachant que lrsquoapproche peut varier selon les
circonstances
bull Indeacutependance des facteurs principaux et
secondaires Dissociez la reacutecupeacuteration
du deuxiegraveme facteur de celle du premier
Si un pirate a accegraves au premier facteur
drsquoauthentification le deuxiegraveme devient inefficace
srsquoil peut ecirctre reacuteinitialiseacute sur simple saisie du mot
de passe En outre le flux de reacutecupeacuteration du
deuxiegraveme facteur doit ecirctre totalement distinct
de celui du mot de passe Par exemple si la
reacutecupeacuteration du mot de passe srsquoeffectue par
e-mail veillez agrave reacutecupeacuterer le deuxiegraveme facteur
par un autre canal
bull Faites intervenir un administrateur Dans bien
des cas un administrateur est parfaitement
capable de mettre en place une meacutethode
drsquoauthentification sophistiqueacutee offrant des
garanties eacuteleveacutees
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 11
Dans les sceacutenarios drsquoentreprise les socieacuteteacutes qui
utilisent des secrets partageacutes issus des travaux
ou du profil des collaborateurs de lrsquoorganisation
elle-mecircme ou des relations humaines sont mieux
armeacutees pour authentifier leurs propres effectifs
Lrsquoapproche consistant agrave demander au responsable
drsquoun collaborateur drsquoauthentifier cet utilisateur
avant drsquoautoriser lrsquoeacutequipe IT agrave reacuteinitialiser les
identifiants MFA est particuliegraverement inteacuteressante
Dans les cas drsquousage grand public un
administrateur peut interroger un utilisateur
sur un grand nombre de secrets partageacutes Par
exemple lors de lrsquoonboarding les applications
bancaires reacuteserveacutees aux particuliers collectent
diverses informations personnelles peu connues
qui deviennent des secrets partageacutes destineacutes
agrave la reacutecupeacuteration des comptes Par ailleurs les
reacutecents eacuteveacutenements figurant dans lrsquohistorique de
la personne avec lrsquoapplication ou la socieacuteteacute sont
autant de secrets partageacutes possibles Lrsquoeacutevaluation
drsquoun ensemble de secrets partageacutes peut ecirctre
automatiseacutee en ligne ou par voie vocale ce qui offre
la plupart du temps de meilleures garanties qursquoun
ecirctre humain plus exposeacute au social engineering
bull Preacutevoyez un deuxiegraveme facteur de secours De
nombreuses situations exigent une meacutethode
automatiseacutee de reacutecupeacuteration du deuxiegraveme
facteur Crsquoest notamment le cas des produits
desservant un grand nombre drsquoutilisateurs
et dont lrsquoassistance individuelle est hors de
prix ou lorsqursquoil est neacutecessaire de reacuteduire les
coucircts drsquoexploitation En adheacuterant agrave plusieurs
facteurs secondaires lors de lrsquoonboarding
lrsquoutilisateur peut reacutecupeacuterer un deuxiegraveme facteur
en srsquoidentifiant au moyen drsquoun second facteur
de secours Fournir aux utilisateurs une carte
(physique ou imprimable) contenant une seacuterie
de codes agrave usage unique pouvant servir de
deuxiegraveme facteur de secours est une pratique
judicieuse simple et eacuteconomique
Proteacuteger les flux de connexion des attaques par force brute
Plus les ressources informatiques bon marcheacute se
multiplient plus les systegravemes drsquoauthentification sont
exposeacutes aux attaques par force brute Plusieurs
techniques simples permettent toutefois drsquoameacuteliorer
sensiblement la seacutecuriteacute de lrsquoauthentification
multifacteur en cas de piratage du mot de passe
bull Seacutequence de flux de connexion limitation du
deacutebit et blocage de comptes Placer la demande
de deuxiegraveme facteur sur une page situeacutee en
dessous de la page de connexion offre deux
avantages Premiegraverement lrsquoutilisateur est
proteacutegeacute contre les attaques destineacutees agrave bloquer
son compte une fois le nombre maximal drsquoeacutechecs
de connexion atteint (sous reacuteserve qursquoune
limitation du deacutebit soit appliqueacutee pour le premier
facteur) Deuxiegravemement dans la mesure ougrave le
deuxiegraveme facteur est dissimuleacute le pirate a moins
de visibiliteacute sur une autre couche de seacutecuriteacute
Instaurez une limitation du deacutebit et une regravegle
de blocage pour le deuxiegraveme facteur Comme
il est peu probable qursquoun utilisateur se trompe
plusieurs fois en entrant son jeton la suspicion
drsquoattaque doit se renforcer agrave chaque tentative
rateacutee Les temps de reacuteponse doivent augmenter
agrave chaque tentative afin de reacuteduire le nombre
maximal drsquoessais possibles par uniteacute de temps
avec un verrouillage complet du compte (si
possible) apregraves plusieurs eacutechecs successifs Pour
les facteurs secondaires agrave dureacutee limiteacutee adaptez
la limitation du deacutebit agrave la dureacutee de vie du jeton
bull Journaux et alertes Collectez et analysez les
tentatives de deuxiegraveme facteur ayant eacutechoueacute En
cas drsquoeacutechec de plusieurs demandes de deuxiegraveme
facteur alertez lrsquoutilisateur ou un administrateur
de ce comportement suspect et invitez
lrsquoutilisateur agrave obtenir un nouveau jeton
bull Utilisez un jeton hors bande Un deuxiegraveme
facteur veacuterifieacute via un canal autre que celui
du premier facteur est un gage de protection
suppleacutementaire contre les attaques par force
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 12
brute (et par phishing) Ainsi la tendance
actuelle consiste agrave envoyer sur le smartphone
de lrsquoutilisateur une notification push contenant
des deacutetails sur la demande drsquoauthentification et
lrsquoinvitant agrave accepter ou refuser cette demande
Ce canal est inaccessible pour les attaques par
force brute classiques
Concilier gestion des risques ergonomie et coucirct
Quel que soit le contexte la conception drsquoune
fonctionnaliteacute drsquoauthentification multifacteur a
des reacutepercussions importantes sur la seacutecuriteacute
lrsquoergonomie et le coucirct Un deuxiegraveme facteur
offrant de meilleures garanties peut dans certains
cas alourdir la tacircche des utilisateurs et des
administrateurs ce qui freine lrsquoadoption du MFA et
reacuteduit drsquoautant la seacutecuriteacute Voici quelques bonnes
pratiques agrave mettre en œuvre pour trouver le juste
eacutequilibre entre gestion des risques ergonomie et
coucirct
bull Offrez des options adapteacutees agrave diffeacuterentes
populations drsquoutilisateurs Les risques varient
en fonction des populations drsquoutilisateurs et
exigent par conseacutequent des niveaux de garantie
diffeacuterents Par exemple un administrateur peut
avoir un peacuterimegravetre drsquoaccegraves plus large que celui
drsquoun utilisateur lambda Vous pouvez donc
preacutevoir des facteurs secondaires relativement
plus forts pour les administrateurs et offrir des
options plus pratiques aux utilisateurs Dans les
cas drsquousage grand public les preacutefeacuterences varient
drsquoun utilisateur agrave lrsquoautre et une option offrant
de faibles garanties mais pratique et donc
facilement adopteacutee peut se reacuteveacuteler plus sucircre
qursquoune option offrant une assurance maximale
mais boudeacutee par les utilisateurs
bull Optez pour lrsquoauthentification feacutedeacutereacutee Dans les
sceacutenarios drsquoentreprise de nombreuses socieacuteteacutes
mettent en place des systegravemes drsquoauthentification
unique et multifacteur en local pour les identiteacutes
dont elles assurent la gestion et les feacutedegraverent
avec les ressources Cette approche permet
aux eacutequipes de deacuteveloppement de produits de
confier lrsquoadministration des politiques et des
processus de seacutecuriteacute aux clients Les clients
peuvent ainsi impleacutementer lrsquoauthentification MFA
de maniegravere autonome ce qui leur permet
drsquooptimiser les points preacuteceacutedents en fonction de
leurs contextes et contraintes speacutecifiques Un
client peut par exemple adapter lrsquoadministration
de la reacutecupeacuteration de comptes agrave ses activiteacutes IT
Cette approche externaliseacutee preacutesente un autre
avantage elle permet aux utilisateurs drsquoacceacuteder
agrave la totaliteacute des ressources avec un seul et mecircme
jeton
Conclusion
Roadmap pour une authentification MFA efficace
En reacutesumeacute lrsquoauthentification multifacteur est une
excellente meacutethode qui permet aux deacuteveloppeurs
drsquoapplications de renforcer la seacutecuriteacute drsquoaccegraves agrave
leurs solutions Certaines conditions doivent ecirctre
remplies pour seacutecuriser une fonctionnaliteacute MFA
parmi lesquelles lrsquoanalyse du flux de reacutecupeacuteration
du deuxiegraveme facteur la protection contre les
attaques par force brute et lrsquoeacutequilibre entre seacutecuriteacute
ergonomie et coucirct
Une approche automatiseacutee et moderne de
lrsquoauthentification multifacteur aide agrave prendre le
controcircle des identifiants pour reacuteduire sensiblement
le risque de bregraveche Mais par quoi les entreprises
doivent-elles commencer
Nous vous conseillons de vous concentrer sur
quelques eacutetapes cleacutes
1 Eacuteliminer les mots de passe chaque fois que crsquoest
possible
2 Utiliser des mots de passe forts et uniques dans
les autres cas
3 Seacutecuriser les flux de reacutecupeacuteration de comptes
avec des facteurs principaux et secondaires
indeacutependants
4 Optimiser la seacutecuriteacute des applications
strateacutegiques gracircce agrave lrsquoauthentification forte
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 13
5 Adopter une strateacutegie unifieacutee pour les
applications on-premise cloud et mobiles
6 Automatiser le provisioning avec une deacutefinition
preacutecise des droits
7 Opter pour le deacuteprovisioning agrave lrsquoeacutechelle de
toute lrsquoentreprise et ameacuteliorer la visibiliteacute et le
reporting
8 Geacuteneacuterer en temps reacuteel des alertes et des
rapports centraliseacutes sur tous les eacuteveacutenements
drsquoauthentification
9 Inteacutegrer la strateacutegie de gestion des identiteacutes
avec les outils de seacutecuriteacute en place
10 Eacutetendre la gestion des identiteacutes et
lrsquoauthentification multifacteur aux partenaires
fournisseurs et sous-traitants
Pourquoi choisir Okta pour lrsquoauthentification MFA
Gracircce agrave son approche innovante de la gestion des
identiteacutes Okta est le mieux placeacute pour aider les
entreprises agrave geacuterer les identiteacutes et lrsquoauthentification
multifacteur afin de limiter les bregraveches Avec la
solution drsquoauthentification multifacteur drsquoOkta vous
pouvez
Geacuteneacuteraliser lrsquoutilisation de fonctions drsquoauthentification MFA forte
bull Deacuteployer rapidement et facilement
lrsquoauthentification MFA avec les
6 500 preacuteinteacutegrations drsquoOkta Integration
Network
bull Eacutetendre la couverture aux applications on-
premise gracircce agrave la prise en charge des
protocoles RADIUS RDP ADFS et LDAP
bull Mettre en place des politiques drsquoaccegraves
intelligentes et contextualiseacutees en fonction des
attributs de connexion et des terminaux
Neacuteanmoins lrsquoauthentification forte nrsquoest pas une
protection absolue contre les bregraveches Avec Okta
vous pouvez facilement
Centraliser la gestion des identiteacutes
bull Simplifier la gestion des comptes
bull Unifier lrsquoaccegraves pour offrir aux utilisateurs un
accegraves simplifieacute sans mot de passe
bull Reacuteduire les risques et la prolifeacuteration des
identiteacutes en limitant lrsquoaccegraves aux services via des
connexions SAML
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 14
Reacuteduire la surface drsquoattaque
bull Le provisioning et le deacuteprovisioning automatiseacutes
acceacutelegraverent lrsquoonboarding tout en eacuteliminant les
comptes orphelins
bull La solution peut ecirctre eacutetendue aux applications
ldquomaisonrdquo via le protocole SCIM un kit SDK et
lrsquoAPI drsquoOkta
bull La gestion complegravete du cycle de vie des
utilisateurs garantit un niveau drsquoaccegraves adapteacute aux
applications approprieacutees gracircce agrave des workflows
de demande drsquoaccegraves
Reacuteagir plus rapidement aux tentatives de piratage
bull Obtenir une vue centraliseacutee de toutes les
donneacutees drsquoauthentification des applications
cloud mobiles et on-premise
bull Repeacuterer les comportements inhabituels et
suspects
bull Enrichir et eacutetoffer votre environnement de
cyberseacutecuriteacute via lrsquoAPI SysLog Okta (Splunk
ArcSight IBM QRadar Palo Alto Networks
F5 Networks)
Pour deacutecouvrir agrave quel point il est
facile drsquoadministrer la solution
Okta drsquoauthentification Adaptive
(AMFA) et de piloter le processus
drsquoauthentification
visionnez cette deacutemo
Agrave propos drsquoOkta
Okta est un eacutediteur indeacutependant speacutecialiseacute dans la gestion
et la protection des donneacutees drsquoidentification leader du
secteur La plateforme Okta Identity Cloud connecte et
protegravege les collaborateurs des plus grandes entreprises
au monde en plus drsquoassurer une connexion seacutecuriseacutee
avec leurs partenaires fournisseurs et clients Gracircce agrave son
inteacutegration avanceacutee agrave plus de 6 500 applications Okta
Identity Cloud permet agrave nrsquoimporte quel utilisateur de se
connecter facilement et en toute seacutecuriteacute tous terminaux
confondus Des milliers de clients dont 20th Century
Fox Adobe Dish Networks Experian Flex LinkedIn et
News Corp font confiance agrave Okta pour ameacuteliorer leur
productiviteacute doper leur chiffre drsquoaffaires et preacuteserver leur
seacutecuriteacute Gracircce agrave Okta ils peuvent acceacuteder facilement
et sans risque aux technologies dont ils ont besoin pour
accomplir leurs missions strateacutegiques
Pour en savoir plus consultez le site wwwoktacomfr ou
suivez-nous sur wwwoktacomblog
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 10
Une seacutecuriteacute optimale gracircce agrave lrsquoauthentification multifacteur
Trois bonnes pratiques pour les ingeacutenieurs et les chefs de produit
Introduction
Les publications expliquant comment concevoir
une solution drsquoauthentification seacutecuriseacutee pour les
systegravemes informatiques ne manquent pas Nous
proposons ici des conseils pratiques inspireacutes
par notre expeacuterience de collaboration avec des
ingeacutenieurs et des eacutequipes produits et destineacutes agrave
ceux qui deacuteveloppent une solution drsquoauthentification
multifacteur pour leurs applications Voici trois
moyens de renforcer la seacutecuriteacute drsquoune solution
drsquoauthentification MFA
bull Deacuteterminer et geacuterer la vulneacuterabiliteacute du processus de reacutecupeacuteration de comptes
bull Proteacuteger les flux de connexion des attaques par force brute
bull Concilier gestion des risques ergonomie et coucirct
Nous partons ici du principe que le mot de passe
a eacuteteacute compromis et qursquoun deuxiegraveme facteur est
neacutecessaire
Deacuteterminer et geacuterer la vulneacuterabiliteacute du processus de reacutecupeacuteration de comptes
Lrsquoauthentification multifacteur nrsquoest seacutecuriseacutee que
si ses flux de reacutecupeacuteration de comptes le sont
eacutegalement Dans de nombreux cas reacutecents ultra-
meacutediatiseacutes les pirates avaient su exploiter les
vulneacuterabiliteacutes du processus de reacutecupeacuteration pour
prendre le controcircle drsquoun compte
Prenons lrsquoexemple de lrsquoapplication web
drsquoune entreprise qui inteacutegrerait un dispositif
drsquoauthentification multifacteur baseacute sur un jeton
logiciel installeacute sur le smartphone drsquoun utilisateur
Supposons que lrsquoapplication permette agrave ce dernier
drsquoenregistrer un numeacutero de teacuteleacutephone pour recevoir
un deuxiegraveme facteur de secours afin de reacutecupeacuterer
son compte srsquoil ne parvient pas agrave acceacuteder agrave son
jeton logiciel Dans ce cas lrsquoefficaciteacute du deuxiegraveme
facteur deacutepend du niveau de seacutecuriteacute des processus
utiliseacutes par lrsquoopeacuterateur de teacuteleacutecommunications
pour authentifier lrsquoabonneacute et lui transmettre des
appels ou des SMS Un pirate parviendrait-il agrave
usurper lrsquoidentiteacute de lrsquoutilisateur et agrave convaincre ou
contraindre un chargeacute de clientegravele de transfeacuterer les
appels ou les SMS vers un numeacutero qursquoil controcircle
Chaque deuxiegraveme facteur exige une meacutethode de
remplacement La question est donc de savoir
comment mettre au point des flux de reacutecupeacuteration
seacutecuriseacutes Voici quelques conseils pour y parvenir
sachant que lrsquoapproche peut varier selon les
circonstances
bull Indeacutependance des facteurs principaux et
secondaires Dissociez la reacutecupeacuteration
du deuxiegraveme facteur de celle du premier
Si un pirate a accegraves au premier facteur
drsquoauthentification le deuxiegraveme devient inefficace
srsquoil peut ecirctre reacuteinitialiseacute sur simple saisie du mot
de passe En outre le flux de reacutecupeacuteration du
deuxiegraveme facteur doit ecirctre totalement distinct
de celui du mot de passe Par exemple si la
reacutecupeacuteration du mot de passe srsquoeffectue par
e-mail veillez agrave reacutecupeacuterer le deuxiegraveme facteur
par un autre canal
bull Faites intervenir un administrateur Dans bien
des cas un administrateur est parfaitement
capable de mettre en place une meacutethode
drsquoauthentification sophistiqueacutee offrant des
garanties eacuteleveacutees
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 11
Dans les sceacutenarios drsquoentreprise les socieacuteteacutes qui
utilisent des secrets partageacutes issus des travaux
ou du profil des collaborateurs de lrsquoorganisation
elle-mecircme ou des relations humaines sont mieux
armeacutees pour authentifier leurs propres effectifs
Lrsquoapproche consistant agrave demander au responsable
drsquoun collaborateur drsquoauthentifier cet utilisateur
avant drsquoautoriser lrsquoeacutequipe IT agrave reacuteinitialiser les
identifiants MFA est particuliegraverement inteacuteressante
Dans les cas drsquousage grand public un
administrateur peut interroger un utilisateur
sur un grand nombre de secrets partageacutes Par
exemple lors de lrsquoonboarding les applications
bancaires reacuteserveacutees aux particuliers collectent
diverses informations personnelles peu connues
qui deviennent des secrets partageacutes destineacutes
agrave la reacutecupeacuteration des comptes Par ailleurs les
reacutecents eacuteveacutenements figurant dans lrsquohistorique de
la personne avec lrsquoapplication ou la socieacuteteacute sont
autant de secrets partageacutes possibles Lrsquoeacutevaluation
drsquoun ensemble de secrets partageacutes peut ecirctre
automatiseacutee en ligne ou par voie vocale ce qui offre
la plupart du temps de meilleures garanties qursquoun
ecirctre humain plus exposeacute au social engineering
bull Preacutevoyez un deuxiegraveme facteur de secours De
nombreuses situations exigent une meacutethode
automatiseacutee de reacutecupeacuteration du deuxiegraveme
facteur Crsquoest notamment le cas des produits
desservant un grand nombre drsquoutilisateurs
et dont lrsquoassistance individuelle est hors de
prix ou lorsqursquoil est neacutecessaire de reacuteduire les
coucircts drsquoexploitation En adheacuterant agrave plusieurs
facteurs secondaires lors de lrsquoonboarding
lrsquoutilisateur peut reacutecupeacuterer un deuxiegraveme facteur
en srsquoidentifiant au moyen drsquoun second facteur
de secours Fournir aux utilisateurs une carte
(physique ou imprimable) contenant une seacuterie
de codes agrave usage unique pouvant servir de
deuxiegraveme facteur de secours est une pratique
judicieuse simple et eacuteconomique
Proteacuteger les flux de connexion des attaques par force brute
Plus les ressources informatiques bon marcheacute se
multiplient plus les systegravemes drsquoauthentification sont
exposeacutes aux attaques par force brute Plusieurs
techniques simples permettent toutefois drsquoameacuteliorer
sensiblement la seacutecuriteacute de lrsquoauthentification
multifacteur en cas de piratage du mot de passe
bull Seacutequence de flux de connexion limitation du
deacutebit et blocage de comptes Placer la demande
de deuxiegraveme facteur sur une page situeacutee en
dessous de la page de connexion offre deux
avantages Premiegraverement lrsquoutilisateur est
proteacutegeacute contre les attaques destineacutees agrave bloquer
son compte une fois le nombre maximal drsquoeacutechecs
de connexion atteint (sous reacuteserve qursquoune
limitation du deacutebit soit appliqueacutee pour le premier
facteur) Deuxiegravemement dans la mesure ougrave le
deuxiegraveme facteur est dissimuleacute le pirate a moins
de visibiliteacute sur une autre couche de seacutecuriteacute
Instaurez une limitation du deacutebit et une regravegle
de blocage pour le deuxiegraveme facteur Comme
il est peu probable qursquoun utilisateur se trompe
plusieurs fois en entrant son jeton la suspicion
drsquoattaque doit se renforcer agrave chaque tentative
rateacutee Les temps de reacuteponse doivent augmenter
agrave chaque tentative afin de reacuteduire le nombre
maximal drsquoessais possibles par uniteacute de temps
avec un verrouillage complet du compte (si
possible) apregraves plusieurs eacutechecs successifs Pour
les facteurs secondaires agrave dureacutee limiteacutee adaptez
la limitation du deacutebit agrave la dureacutee de vie du jeton
bull Journaux et alertes Collectez et analysez les
tentatives de deuxiegraveme facteur ayant eacutechoueacute En
cas drsquoeacutechec de plusieurs demandes de deuxiegraveme
facteur alertez lrsquoutilisateur ou un administrateur
de ce comportement suspect et invitez
lrsquoutilisateur agrave obtenir un nouveau jeton
bull Utilisez un jeton hors bande Un deuxiegraveme
facteur veacuterifieacute via un canal autre que celui
du premier facteur est un gage de protection
suppleacutementaire contre les attaques par force
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 12
brute (et par phishing) Ainsi la tendance
actuelle consiste agrave envoyer sur le smartphone
de lrsquoutilisateur une notification push contenant
des deacutetails sur la demande drsquoauthentification et
lrsquoinvitant agrave accepter ou refuser cette demande
Ce canal est inaccessible pour les attaques par
force brute classiques
Concilier gestion des risques ergonomie et coucirct
Quel que soit le contexte la conception drsquoune
fonctionnaliteacute drsquoauthentification multifacteur a
des reacutepercussions importantes sur la seacutecuriteacute
lrsquoergonomie et le coucirct Un deuxiegraveme facteur
offrant de meilleures garanties peut dans certains
cas alourdir la tacircche des utilisateurs et des
administrateurs ce qui freine lrsquoadoption du MFA et
reacuteduit drsquoautant la seacutecuriteacute Voici quelques bonnes
pratiques agrave mettre en œuvre pour trouver le juste
eacutequilibre entre gestion des risques ergonomie et
coucirct
bull Offrez des options adapteacutees agrave diffeacuterentes
populations drsquoutilisateurs Les risques varient
en fonction des populations drsquoutilisateurs et
exigent par conseacutequent des niveaux de garantie
diffeacuterents Par exemple un administrateur peut
avoir un peacuterimegravetre drsquoaccegraves plus large que celui
drsquoun utilisateur lambda Vous pouvez donc
preacutevoir des facteurs secondaires relativement
plus forts pour les administrateurs et offrir des
options plus pratiques aux utilisateurs Dans les
cas drsquousage grand public les preacutefeacuterences varient
drsquoun utilisateur agrave lrsquoautre et une option offrant
de faibles garanties mais pratique et donc
facilement adopteacutee peut se reacuteveacuteler plus sucircre
qursquoune option offrant une assurance maximale
mais boudeacutee par les utilisateurs
bull Optez pour lrsquoauthentification feacutedeacutereacutee Dans les
sceacutenarios drsquoentreprise de nombreuses socieacuteteacutes
mettent en place des systegravemes drsquoauthentification
unique et multifacteur en local pour les identiteacutes
dont elles assurent la gestion et les feacutedegraverent
avec les ressources Cette approche permet
aux eacutequipes de deacuteveloppement de produits de
confier lrsquoadministration des politiques et des
processus de seacutecuriteacute aux clients Les clients
peuvent ainsi impleacutementer lrsquoauthentification MFA
de maniegravere autonome ce qui leur permet
drsquooptimiser les points preacuteceacutedents en fonction de
leurs contextes et contraintes speacutecifiques Un
client peut par exemple adapter lrsquoadministration
de la reacutecupeacuteration de comptes agrave ses activiteacutes IT
Cette approche externaliseacutee preacutesente un autre
avantage elle permet aux utilisateurs drsquoacceacuteder
agrave la totaliteacute des ressources avec un seul et mecircme
jeton
Conclusion
Roadmap pour une authentification MFA efficace
En reacutesumeacute lrsquoauthentification multifacteur est une
excellente meacutethode qui permet aux deacuteveloppeurs
drsquoapplications de renforcer la seacutecuriteacute drsquoaccegraves agrave
leurs solutions Certaines conditions doivent ecirctre
remplies pour seacutecuriser une fonctionnaliteacute MFA
parmi lesquelles lrsquoanalyse du flux de reacutecupeacuteration
du deuxiegraveme facteur la protection contre les
attaques par force brute et lrsquoeacutequilibre entre seacutecuriteacute
ergonomie et coucirct
Une approche automatiseacutee et moderne de
lrsquoauthentification multifacteur aide agrave prendre le
controcircle des identifiants pour reacuteduire sensiblement
le risque de bregraveche Mais par quoi les entreprises
doivent-elles commencer
Nous vous conseillons de vous concentrer sur
quelques eacutetapes cleacutes
1 Eacuteliminer les mots de passe chaque fois que crsquoest
possible
2 Utiliser des mots de passe forts et uniques dans
les autres cas
3 Seacutecuriser les flux de reacutecupeacuteration de comptes
avec des facteurs principaux et secondaires
indeacutependants
4 Optimiser la seacutecuriteacute des applications
strateacutegiques gracircce agrave lrsquoauthentification forte
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 13
5 Adopter une strateacutegie unifieacutee pour les
applications on-premise cloud et mobiles
6 Automatiser le provisioning avec une deacutefinition
preacutecise des droits
7 Opter pour le deacuteprovisioning agrave lrsquoeacutechelle de
toute lrsquoentreprise et ameacuteliorer la visibiliteacute et le
reporting
8 Geacuteneacuterer en temps reacuteel des alertes et des
rapports centraliseacutes sur tous les eacuteveacutenements
drsquoauthentification
9 Inteacutegrer la strateacutegie de gestion des identiteacutes
avec les outils de seacutecuriteacute en place
10 Eacutetendre la gestion des identiteacutes et
lrsquoauthentification multifacteur aux partenaires
fournisseurs et sous-traitants
Pourquoi choisir Okta pour lrsquoauthentification MFA
Gracircce agrave son approche innovante de la gestion des
identiteacutes Okta est le mieux placeacute pour aider les
entreprises agrave geacuterer les identiteacutes et lrsquoauthentification
multifacteur afin de limiter les bregraveches Avec la
solution drsquoauthentification multifacteur drsquoOkta vous
pouvez
Geacuteneacuteraliser lrsquoutilisation de fonctions drsquoauthentification MFA forte
bull Deacuteployer rapidement et facilement
lrsquoauthentification MFA avec les
6 500 preacuteinteacutegrations drsquoOkta Integration
Network
bull Eacutetendre la couverture aux applications on-
premise gracircce agrave la prise en charge des
protocoles RADIUS RDP ADFS et LDAP
bull Mettre en place des politiques drsquoaccegraves
intelligentes et contextualiseacutees en fonction des
attributs de connexion et des terminaux
Neacuteanmoins lrsquoauthentification forte nrsquoest pas une
protection absolue contre les bregraveches Avec Okta
vous pouvez facilement
Centraliser la gestion des identiteacutes
bull Simplifier la gestion des comptes
bull Unifier lrsquoaccegraves pour offrir aux utilisateurs un
accegraves simplifieacute sans mot de passe
bull Reacuteduire les risques et la prolifeacuteration des
identiteacutes en limitant lrsquoaccegraves aux services via des
connexions SAML
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 14
Reacuteduire la surface drsquoattaque
bull Le provisioning et le deacuteprovisioning automatiseacutes
acceacutelegraverent lrsquoonboarding tout en eacuteliminant les
comptes orphelins
bull La solution peut ecirctre eacutetendue aux applications
ldquomaisonrdquo via le protocole SCIM un kit SDK et
lrsquoAPI drsquoOkta
bull La gestion complegravete du cycle de vie des
utilisateurs garantit un niveau drsquoaccegraves adapteacute aux
applications approprieacutees gracircce agrave des workflows
de demande drsquoaccegraves
Reacuteagir plus rapidement aux tentatives de piratage
bull Obtenir une vue centraliseacutee de toutes les
donneacutees drsquoauthentification des applications
cloud mobiles et on-premise
bull Repeacuterer les comportements inhabituels et
suspects
bull Enrichir et eacutetoffer votre environnement de
cyberseacutecuriteacute via lrsquoAPI SysLog Okta (Splunk
ArcSight IBM QRadar Palo Alto Networks
F5 Networks)
Pour deacutecouvrir agrave quel point il est
facile drsquoadministrer la solution
Okta drsquoauthentification Adaptive
(AMFA) et de piloter le processus
drsquoauthentification
visionnez cette deacutemo
Agrave propos drsquoOkta
Okta est un eacutediteur indeacutependant speacutecialiseacute dans la gestion
et la protection des donneacutees drsquoidentification leader du
secteur La plateforme Okta Identity Cloud connecte et
protegravege les collaborateurs des plus grandes entreprises
au monde en plus drsquoassurer une connexion seacutecuriseacutee
avec leurs partenaires fournisseurs et clients Gracircce agrave son
inteacutegration avanceacutee agrave plus de 6 500 applications Okta
Identity Cloud permet agrave nrsquoimporte quel utilisateur de se
connecter facilement et en toute seacutecuriteacute tous terminaux
confondus Des milliers de clients dont 20th Century
Fox Adobe Dish Networks Experian Flex LinkedIn et
News Corp font confiance agrave Okta pour ameacuteliorer leur
productiviteacute doper leur chiffre drsquoaffaires et preacuteserver leur
seacutecuriteacute Gracircce agrave Okta ils peuvent acceacuteder facilement
et sans risque aux technologies dont ils ont besoin pour
accomplir leurs missions strateacutegiques
Pour en savoir plus consultez le site wwwoktacomfr ou
suivez-nous sur wwwoktacomblog
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 11
Dans les sceacutenarios drsquoentreprise les socieacuteteacutes qui
utilisent des secrets partageacutes issus des travaux
ou du profil des collaborateurs de lrsquoorganisation
elle-mecircme ou des relations humaines sont mieux
armeacutees pour authentifier leurs propres effectifs
Lrsquoapproche consistant agrave demander au responsable
drsquoun collaborateur drsquoauthentifier cet utilisateur
avant drsquoautoriser lrsquoeacutequipe IT agrave reacuteinitialiser les
identifiants MFA est particuliegraverement inteacuteressante
Dans les cas drsquousage grand public un
administrateur peut interroger un utilisateur
sur un grand nombre de secrets partageacutes Par
exemple lors de lrsquoonboarding les applications
bancaires reacuteserveacutees aux particuliers collectent
diverses informations personnelles peu connues
qui deviennent des secrets partageacutes destineacutes
agrave la reacutecupeacuteration des comptes Par ailleurs les
reacutecents eacuteveacutenements figurant dans lrsquohistorique de
la personne avec lrsquoapplication ou la socieacuteteacute sont
autant de secrets partageacutes possibles Lrsquoeacutevaluation
drsquoun ensemble de secrets partageacutes peut ecirctre
automatiseacutee en ligne ou par voie vocale ce qui offre
la plupart du temps de meilleures garanties qursquoun
ecirctre humain plus exposeacute au social engineering
bull Preacutevoyez un deuxiegraveme facteur de secours De
nombreuses situations exigent une meacutethode
automatiseacutee de reacutecupeacuteration du deuxiegraveme
facteur Crsquoest notamment le cas des produits
desservant un grand nombre drsquoutilisateurs
et dont lrsquoassistance individuelle est hors de
prix ou lorsqursquoil est neacutecessaire de reacuteduire les
coucircts drsquoexploitation En adheacuterant agrave plusieurs
facteurs secondaires lors de lrsquoonboarding
lrsquoutilisateur peut reacutecupeacuterer un deuxiegraveme facteur
en srsquoidentifiant au moyen drsquoun second facteur
de secours Fournir aux utilisateurs une carte
(physique ou imprimable) contenant une seacuterie
de codes agrave usage unique pouvant servir de
deuxiegraveme facteur de secours est une pratique
judicieuse simple et eacuteconomique
Proteacuteger les flux de connexion des attaques par force brute
Plus les ressources informatiques bon marcheacute se
multiplient plus les systegravemes drsquoauthentification sont
exposeacutes aux attaques par force brute Plusieurs
techniques simples permettent toutefois drsquoameacuteliorer
sensiblement la seacutecuriteacute de lrsquoauthentification
multifacteur en cas de piratage du mot de passe
bull Seacutequence de flux de connexion limitation du
deacutebit et blocage de comptes Placer la demande
de deuxiegraveme facteur sur une page situeacutee en
dessous de la page de connexion offre deux
avantages Premiegraverement lrsquoutilisateur est
proteacutegeacute contre les attaques destineacutees agrave bloquer
son compte une fois le nombre maximal drsquoeacutechecs
de connexion atteint (sous reacuteserve qursquoune
limitation du deacutebit soit appliqueacutee pour le premier
facteur) Deuxiegravemement dans la mesure ougrave le
deuxiegraveme facteur est dissimuleacute le pirate a moins
de visibiliteacute sur une autre couche de seacutecuriteacute
Instaurez une limitation du deacutebit et une regravegle
de blocage pour le deuxiegraveme facteur Comme
il est peu probable qursquoun utilisateur se trompe
plusieurs fois en entrant son jeton la suspicion
drsquoattaque doit se renforcer agrave chaque tentative
rateacutee Les temps de reacuteponse doivent augmenter
agrave chaque tentative afin de reacuteduire le nombre
maximal drsquoessais possibles par uniteacute de temps
avec un verrouillage complet du compte (si
possible) apregraves plusieurs eacutechecs successifs Pour
les facteurs secondaires agrave dureacutee limiteacutee adaptez
la limitation du deacutebit agrave la dureacutee de vie du jeton
bull Journaux et alertes Collectez et analysez les
tentatives de deuxiegraveme facteur ayant eacutechoueacute En
cas drsquoeacutechec de plusieurs demandes de deuxiegraveme
facteur alertez lrsquoutilisateur ou un administrateur
de ce comportement suspect et invitez
lrsquoutilisateur agrave obtenir un nouveau jeton
bull Utilisez un jeton hors bande Un deuxiegraveme
facteur veacuterifieacute via un canal autre que celui
du premier facteur est un gage de protection
suppleacutementaire contre les attaques par force
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 12
brute (et par phishing) Ainsi la tendance
actuelle consiste agrave envoyer sur le smartphone
de lrsquoutilisateur une notification push contenant
des deacutetails sur la demande drsquoauthentification et
lrsquoinvitant agrave accepter ou refuser cette demande
Ce canal est inaccessible pour les attaques par
force brute classiques
Concilier gestion des risques ergonomie et coucirct
Quel que soit le contexte la conception drsquoune
fonctionnaliteacute drsquoauthentification multifacteur a
des reacutepercussions importantes sur la seacutecuriteacute
lrsquoergonomie et le coucirct Un deuxiegraveme facteur
offrant de meilleures garanties peut dans certains
cas alourdir la tacircche des utilisateurs et des
administrateurs ce qui freine lrsquoadoption du MFA et
reacuteduit drsquoautant la seacutecuriteacute Voici quelques bonnes
pratiques agrave mettre en œuvre pour trouver le juste
eacutequilibre entre gestion des risques ergonomie et
coucirct
bull Offrez des options adapteacutees agrave diffeacuterentes
populations drsquoutilisateurs Les risques varient
en fonction des populations drsquoutilisateurs et
exigent par conseacutequent des niveaux de garantie
diffeacuterents Par exemple un administrateur peut
avoir un peacuterimegravetre drsquoaccegraves plus large que celui
drsquoun utilisateur lambda Vous pouvez donc
preacutevoir des facteurs secondaires relativement
plus forts pour les administrateurs et offrir des
options plus pratiques aux utilisateurs Dans les
cas drsquousage grand public les preacutefeacuterences varient
drsquoun utilisateur agrave lrsquoautre et une option offrant
de faibles garanties mais pratique et donc
facilement adopteacutee peut se reacuteveacuteler plus sucircre
qursquoune option offrant une assurance maximale
mais boudeacutee par les utilisateurs
bull Optez pour lrsquoauthentification feacutedeacutereacutee Dans les
sceacutenarios drsquoentreprise de nombreuses socieacuteteacutes
mettent en place des systegravemes drsquoauthentification
unique et multifacteur en local pour les identiteacutes
dont elles assurent la gestion et les feacutedegraverent
avec les ressources Cette approche permet
aux eacutequipes de deacuteveloppement de produits de
confier lrsquoadministration des politiques et des
processus de seacutecuriteacute aux clients Les clients
peuvent ainsi impleacutementer lrsquoauthentification MFA
de maniegravere autonome ce qui leur permet
drsquooptimiser les points preacuteceacutedents en fonction de
leurs contextes et contraintes speacutecifiques Un
client peut par exemple adapter lrsquoadministration
de la reacutecupeacuteration de comptes agrave ses activiteacutes IT
Cette approche externaliseacutee preacutesente un autre
avantage elle permet aux utilisateurs drsquoacceacuteder
agrave la totaliteacute des ressources avec un seul et mecircme
jeton
Conclusion
Roadmap pour une authentification MFA efficace
En reacutesumeacute lrsquoauthentification multifacteur est une
excellente meacutethode qui permet aux deacuteveloppeurs
drsquoapplications de renforcer la seacutecuriteacute drsquoaccegraves agrave
leurs solutions Certaines conditions doivent ecirctre
remplies pour seacutecuriser une fonctionnaliteacute MFA
parmi lesquelles lrsquoanalyse du flux de reacutecupeacuteration
du deuxiegraveme facteur la protection contre les
attaques par force brute et lrsquoeacutequilibre entre seacutecuriteacute
ergonomie et coucirct
Une approche automatiseacutee et moderne de
lrsquoauthentification multifacteur aide agrave prendre le
controcircle des identifiants pour reacuteduire sensiblement
le risque de bregraveche Mais par quoi les entreprises
doivent-elles commencer
Nous vous conseillons de vous concentrer sur
quelques eacutetapes cleacutes
1 Eacuteliminer les mots de passe chaque fois que crsquoest
possible
2 Utiliser des mots de passe forts et uniques dans
les autres cas
3 Seacutecuriser les flux de reacutecupeacuteration de comptes
avec des facteurs principaux et secondaires
indeacutependants
4 Optimiser la seacutecuriteacute des applications
strateacutegiques gracircce agrave lrsquoauthentification forte
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 13
5 Adopter une strateacutegie unifieacutee pour les
applications on-premise cloud et mobiles
6 Automatiser le provisioning avec une deacutefinition
preacutecise des droits
7 Opter pour le deacuteprovisioning agrave lrsquoeacutechelle de
toute lrsquoentreprise et ameacuteliorer la visibiliteacute et le
reporting
8 Geacuteneacuterer en temps reacuteel des alertes et des
rapports centraliseacutes sur tous les eacuteveacutenements
drsquoauthentification
9 Inteacutegrer la strateacutegie de gestion des identiteacutes
avec les outils de seacutecuriteacute en place
10 Eacutetendre la gestion des identiteacutes et
lrsquoauthentification multifacteur aux partenaires
fournisseurs et sous-traitants
Pourquoi choisir Okta pour lrsquoauthentification MFA
Gracircce agrave son approche innovante de la gestion des
identiteacutes Okta est le mieux placeacute pour aider les
entreprises agrave geacuterer les identiteacutes et lrsquoauthentification
multifacteur afin de limiter les bregraveches Avec la
solution drsquoauthentification multifacteur drsquoOkta vous
pouvez
Geacuteneacuteraliser lrsquoutilisation de fonctions drsquoauthentification MFA forte
bull Deacuteployer rapidement et facilement
lrsquoauthentification MFA avec les
6 500 preacuteinteacutegrations drsquoOkta Integration
Network
bull Eacutetendre la couverture aux applications on-
premise gracircce agrave la prise en charge des
protocoles RADIUS RDP ADFS et LDAP
bull Mettre en place des politiques drsquoaccegraves
intelligentes et contextualiseacutees en fonction des
attributs de connexion et des terminaux
Neacuteanmoins lrsquoauthentification forte nrsquoest pas une
protection absolue contre les bregraveches Avec Okta
vous pouvez facilement
Centraliser la gestion des identiteacutes
bull Simplifier la gestion des comptes
bull Unifier lrsquoaccegraves pour offrir aux utilisateurs un
accegraves simplifieacute sans mot de passe
bull Reacuteduire les risques et la prolifeacuteration des
identiteacutes en limitant lrsquoaccegraves aux services via des
connexions SAML
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 14
Reacuteduire la surface drsquoattaque
bull Le provisioning et le deacuteprovisioning automatiseacutes
acceacutelegraverent lrsquoonboarding tout en eacuteliminant les
comptes orphelins
bull La solution peut ecirctre eacutetendue aux applications
ldquomaisonrdquo via le protocole SCIM un kit SDK et
lrsquoAPI drsquoOkta
bull La gestion complegravete du cycle de vie des
utilisateurs garantit un niveau drsquoaccegraves adapteacute aux
applications approprieacutees gracircce agrave des workflows
de demande drsquoaccegraves
Reacuteagir plus rapidement aux tentatives de piratage
bull Obtenir une vue centraliseacutee de toutes les
donneacutees drsquoauthentification des applications
cloud mobiles et on-premise
bull Repeacuterer les comportements inhabituels et
suspects
bull Enrichir et eacutetoffer votre environnement de
cyberseacutecuriteacute via lrsquoAPI SysLog Okta (Splunk
ArcSight IBM QRadar Palo Alto Networks
F5 Networks)
Pour deacutecouvrir agrave quel point il est
facile drsquoadministrer la solution
Okta drsquoauthentification Adaptive
(AMFA) et de piloter le processus
drsquoauthentification
visionnez cette deacutemo
Agrave propos drsquoOkta
Okta est un eacutediteur indeacutependant speacutecialiseacute dans la gestion
et la protection des donneacutees drsquoidentification leader du
secteur La plateforme Okta Identity Cloud connecte et
protegravege les collaborateurs des plus grandes entreprises
au monde en plus drsquoassurer une connexion seacutecuriseacutee
avec leurs partenaires fournisseurs et clients Gracircce agrave son
inteacutegration avanceacutee agrave plus de 6 500 applications Okta
Identity Cloud permet agrave nrsquoimporte quel utilisateur de se
connecter facilement et en toute seacutecuriteacute tous terminaux
confondus Des milliers de clients dont 20th Century
Fox Adobe Dish Networks Experian Flex LinkedIn et
News Corp font confiance agrave Okta pour ameacuteliorer leur
productiviteacute doper leur chiffre drsquoaffaires et preacuteserver leur
seacutecuriteacute Gracircce agrave Okta ils peuvent acceacuteder facilement
et sans risque aux technologies dont ils ont besoin pour
accomplir leurs missions strateacutegiques
Pour en savoir plus consultez le site wwwoktacomfr ou
suivez-nous sur wwwoktacomblog
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 12
brute (et par phishing) Ainsi la tendance
actuelle consiste agrave envoyer sur le smartphone
de lrsquoutilisateur une notification push contenant
des deacutetails sur la demande drsquoauthentification et
lrsquoinvitant agrave accepter ou refuser cette demande
Ce canal est inaccessible pour les attaques par
force brute classiques
Concilier gestion des risques ergonomie et coucirct
Quel que soit le contexte la conception drsquoune
fonctionnaliteacute drsquoauthentification multifacteur a
des reacutepercussions importantes sur la seacutecuriteacute
lrsquoergonomie et le coucirct Un deuxiegraveme facteur
offrant de meilleures garanties peut dans certains
cas alourdir la tacircche des utilisateurs et des
administrateurs ce qui freine lrsquoadoption du MFA et
reacuteduit drsquoautant la seacutecuriteacute Voici quelques bonnes
pratiques agrave mettre en œuvre pour trouver le juste
eacutequilibre entre gestion des risques ergonomie et
coucirct
bull Offrez des options adapteacutees agrave diffeacuterentes
populations drsquoutilisateurs Les risques varient
en fonction des populations drsquoutilisateurs et
exigent par conseacutequent des niveaux de garantie
diffeacuterents Par exemple un administrateur peut
avoir un peacuterimegravetre drsquoaccegraves plus large que celui
drsquoun utilisateur lambda Vous pouvez donc
preacutevoir des facteurs secondaires relativement
plus forts pour les administrateurs et offrir des
options plus pratiques aux utilisateurs Dans les
cas drsquousage grand public les preacutefeacuterences varient
drsquoun utilisateur agrave lrsquoautre et une option offrant
de faibles garanties mais pratique et donc
facilement adopteacutee peut se reacuteveacuteler plus sucircre
qursquoune option offrant une assurance maximale
mais boudeacutee par les utilisateurs
bull Optez pour lrsquoauthentification feacutedeacutereacutee Dans les
sceacutenarios drsquoentreprise de nombreuses socieacuteteacutes
mettent en place des systegravemes drsquoauthentification
unique et multifacteur en local pour les identiteacutes
dont elles assurent la gestion et les feacutedegraverent
avec les ressources Cette approche permet
aux eacutequipes de deacuteveloppement de produits de
confier lrsquoadministration des politiques et des
processus de seacutecuriteacute aux clients Les clients
peuvent ainsi impleacutementer lrsquoauthentification MFA
de maniegravere autonome ce qui leur permet
drsquooptimiser les points preacuteceacutedents en fonction de
leurs contextes et contraintes speacutecifiques Un
client peut par exemple adapter lrsquoadministration
de la reacutecupeacuteration de comptes agrave ses activiteacutes IT
Cette approche externaliseacutee preacutesente un autre
avantage elle permet aux utilisateurs drsquoacceacuteder
agrave la totaliteacute des ressources avec un seul et mecircme
jeton
Conclusion
Roadmap pour une authentification MFA efficace
En reacutesumeacute lrsquoauthentification multifacteur est une
excellente meacutethode qui permet aux deacuteveloppeurs
drsquoapplications de renforcer la seacutecuriteacute drsquoaccegraves agrave
leurs solutions Certaines conditions doivent ecirctre
remplies pour seacutecuriser une fonctionnaliteacute MFA
parmi lesquelles lrsquoanalyse du flux de reacutecupeacuteration
du deuxiegraveme facteur la protection contre les
attaques par force brute et lrsquoeacutequilibre entre seacutecuriteacute
ergonomie et coucirct
Une approche automatiseacutee et moderne de
lrsquoauthentification multifacteur aide agrave prendre le
controcircle des identifiants pour reacuteduire sensiblement
le risque de bregraveche Mais par quoi les entreprises
doivent-elles commencer
Nous vous conseillons de vous concentrer sur
quelques eacutetapes cleacutes
1 Eacuteliminer les mots de passe chaque fois que crsquoest
possible
2 Utiliser des mots de passe forts et uniques dans
les autres cas
3 Seacutecuriser les flux de reacutecupeacuteration de comptes
avec des facteurs principaux et secondaires
indeacutependants
4 Optimiser la seacutecuriteacute des applications
strateacutegiques gracircce agrave lrsquoauthentification forte
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 13
5 Adopter une strateacutegie unifieacutee pour les
applications on-premise cloud et mobiles
6 Automatiser le provisioning avec une deacutefinition
preacutecise des droits
7 Opter pour le deacuteprovisioning agrave lrsquoeacutechelle de
toute lrsquoentreprise et ameacuteliorer la visibiliteacute et le
reporting
8 Geacuteneacuterer en temps reacuteel des alertes et des
rapports centraliseacutes sur tous les eacuteveacutenements
drsquoauthentification
9 Inteacutegrer la strateacutegie de gestion des identiteacutes
avec les outils de seacutecuriteacute en place
10 Eacutetendre la gestion des identiteacutes et
lrsquoauthentification multifacteur aux partenaires
fournisseurs et sous-traitants
Pourquoi choisir Okta pour lrsquoauthentification MFA
Gracircce agrave son approche innovante de la gestion des
identiteacutes Okta est le mieux placeacute pour aider les
entreprises agrave geacuterer les identiteacutes et lrsquoauthentification
multifacteur afin de limiter les bregraveches Avec la
solution drsquoauthentification multifacteur drsquoOkta vous
pouvez
Geacuteneacuteraliser lrsquoutilisation de fonctions drsquoauthentification MFA forte
bull Deacuteployer rapidement et facilement
lrsquoauthentification MFA avec les
6 500 preacuteinteacutegrations drsquoOkta Integration
Network
bull Eacutetendre la couverture aux applications on-
premise gracircce agrave la prise en charge des
protocoles RADIUS RDP ADFS et LDAP
bull Mettre en place des politiques drsquoaccegraves
intelligentes et contextualiseacutees en fonction des
attributs de connexion et des terminaux
Neacuteanmoins lrsquoauthentification forte nrsquoest pas une
protection absolue contre les bregraveches Avec Okta
vous pouvez facilement
Centraliser la gestion des identiteacutes
bull Simplifier la gestion des comptes
bull Unifier lrsquoaccegraves pour offrir aux utilisateurs un
accegraves simplifieacute sans mot de passe
bull Reacuteduire les risques et la prolifeacuteration des
identiteacutes en limitant lrsquoaccegraves aux services via des
connexions SAML
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 14
Reacuteduire la surface drsquoattaque
bull Le provisioning et le deacuteprovisioning automatiseacutes
acceacutelegraverent lrsquoonboarding tout en eacuteliminant les
comptes orphelins
bull La solution peut ecirctre eacutetendue aux applications
ldquomaisonrdquo via le protocole SCIM un kit SDK et
lrsquoAPI drsquoOkta
bull La gestion complegravete du cycle de vie des
utilisateurs garantit un niveau drsquoaccegraves adapteacute aux
applications approprieacutees gracircce agrave des workflows
de demande drsquoaccegraves
Reacuteagir plus rapidement aux tentatives de piratage
bull Obtenir une vue centraliseacutee de toutes les
donneacutees drsquoauthentification des applications
cloud mobiles et on-premise
bull Repeacuterer les comportements inhabituels et
suspects
bull Enrichir et eacutetoffer votre environnement de
cyberseacutecuriteacute via lrsquoAPI SysLog Okta (Splunk
ArcSight IBM QRadar Palo Alto Networks
F5 Networks)
Pour deacutecouvrir agrave quel point il est
facile drsquoadministrer la solution
Okta drsquoauthentification Adaptive
(AMFA) et de piloter le processus
drsquoauthentification
visionnez cette deacutemo
Agrave propos drsquoOkta
Okta est un eacutediteur indeacutependant speacutecialiseacute dans la gestion
et la protection des donneacutees drsquoidentification leader du
secteur La plateforme Okta Identity Cloud connecte et
protegravege les collaborateurs des plus grandes entreprises
au monde en plus drsquoassurer une connexion seacutecuriseacutee
avec leurs partenaires fournisseurs et clients Gracircce agrave son
inteacutegration avanceacutee agrave plus de 6 500 applications Okta
Identity Cloud permet agrave nrsquoimporte quel utilisateur de se
connecter facilement et en toute seacutecuriteacute tous terminaux
confondus Des milliers de clients dont 20th Century
Fox Adobe Dish Networks Experian Flex LinkedIn et
News Corp font confiance agrave Okta pour ameacuteliorer leur
productiviteacute doper leur chiffre drsquoaffaires et preacuteserver leur
seacutecuriteacute Gracircce agrave Okta ils peuvent acceacuteder facilement
et sans risque aux technologies dont ils ont besoin pour
accomplir leurs missions strateacutegiques
Pour en savoir plus consultez le site wwwoktacomfr ou
suivez-nous sur wwwoktacomblog
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 13
5 Adopter une strateacutegie unifieacutee pour les
applications on-premise cloud et mobiles
6 Automatiser le provisioning avec une deacutefinition
preacutecise des droits
7 Opter pour le deacuteprovisioning agrave lrsquoeacutechelle de
toute lrsquoentreprise et ameacuteliorer la visibiliteacute et le
reporting
8 Geacuteneacuterer en temps reacuteel des alertes et des
rapports centraliseacutes sur tous les eacuteveacutenements
drsquoauthentification
9 Inteacutegrer la strateacutegie de gestion des identiteacutes
avec les outils de seacutecuriteacute en place
10 Eacutetendre la gestion des identiteacutes et
lrsquoauthentification multifacteur aux partenaires
fournisseurs et sous-traitants
Pourquoi choisir Okta pour lrsquoauthentification MFA
Gracircce agrave son approche innovante de la gestion des
identiteacutes Okta est le mieux placeacute pour aider les
entreprises agrave geacuterer les identiteacutes et lrsquoauthentification
multifacteur afin de limiter les bregraveches Avec la
solution drsquoauthentification multifacteur drsquoOkta vous
pouvez
Geacuteneacuteraliser lrsquoutilisation de fonctions drsquoauthentification MFA forte
bull Deacuteployer rapidement et facilement
lrsquoauthentification MFA avec les
6 500 preacuteinteacutegrations drsquoOkta Integration
Network
bull Eacutetendre la couverture aux applications on-
premise gracircce agrave la prise en charge des
protocoles RADIUS RDP ADFS et LDAP
bull Mettre en place des politiques drsquoaccegraves
intelligentes et contextualiseacutees en fonction des
attributs de connexion et des terminaux
Neacuteanmoins lrsquoauthentification forte nrsquoest pas une
protection absolue contre les bregraveches Avec Okta
vous pouvez facilement
Centraliser la gestion des identiteacutes
bull Simplifier la gestion des comptes
bull Unifier lrsquoaccegraves pour offrir aux utilisateurs un
accegraves simplifieacute sans mot de passe
bull Reacuteduire les risques et la prolifeacuteration des
identiteacutes en limitant lrsquoaccegraves aux services via des
connexions SAML
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 14
Reacuteduire la surface drsquoattaque
bull Le provisioning et le deacuteprovisioning automatiseacutes
acceacutelegraverent lrsquoonboarding tout en eacuteliminant les
comptes orphelins
bull La solution peut ecirctre eacutetendue aux applications
ldquomaisonrdquo via le protocole SCIM un kit SDK et
lrsquoAPI drsquoOkta
bull La gestion complegravete du cycle de vie des
utilisateurs garantit un niveau drsquoaccegraves adapteacute aux
applications approprieacutees gracircce agrave des workflows
de demande drsquoaccegraves
Reacuteagir plus rapidement aux tentatives de piratage
bull Obtenir une vue centraliseacutee de toutes les
donneacutees drsquoauthentification des applications
cloud mobiles et on-premise
bull Repeacuterer les comportements inhabituels et
suspects
bull Enrichir et eacutetoffer votre environnement de
cyberseacutecuriteacute via lrsquoAPI SysLog Okta (Splunk
ArcSight IBM QRadar Palo Alto Networks
F5 Networks)
Pour deacutecouvrir agrave quel point il est
facile drsquoadministrer la solution
Okta drsquoauthentification Adaptive
(AMFA) et de piloter le processus
drsquoauthentification
visionnez cette deacutemo
Agrave propos drsquoOkta
Okta est un eacutediteur indeacutependant speacutecialiseacute dans la gestion
et la protection des donneacutees drsquoidentification leader du
secteur La plateforme Okta Identity Cloud connecte et
protegravege les collaborateurs des plus grandes entreprises
au monde en plus drsquoassurer une connexion seacutecuriseacutee
avec leurs partenaires fournisseurs et clients Gracircce agrave son
inteacutegration avanceacutee agrave plus de 6 500 applications Okta
Identity Cloud permet agrave nrsquoimporte quel utilisateur de se
connecter facilement et en toute seacutecuriteacute tous terminaux
confondus Des milliers de clients dont 20th Century
Fox Adobe Dish Networks Experian Flex LinkedIn et
News Corp font confiance agrave Okta pour ameacuteliorer leur
productiviteacute doper leur chiffre drsquoaffaires et preacuteserver leur
seacutecuriteacute Gracircce agrave Okta ils peuvent acceacuteder facilement
et sans risque aux technologies dont ils ont besoin pour
accomplir leurs missions strateacutegiques
Pour en savoir plus consultez le site wwwoktacomfr ou
suivez-nous sur wwwoktacomblog
GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 14
Reacuteduire la surface drsquoattaque
bull Le provisioning et le deacuteprovisioning automatiseacutes
acceacutelegraverent lrsquoonboarding tout en eacuteliminant les
comptes orphelins
bull La solution peut ecirctre eacutetendue aux applications
ldquomaisonrdquo via le protocole SCIM un kit SDK et
lrsquoAPI drsquoOkta
bull La gestion complegravete du cycle de vie des
utilisateurs garantit un niveau drsquoaccegraves adapteacute aux
applications approprieacutees gracircce agrave des workflows
de demande drsquoaccegraves
Reacuteagir plus rapidement aux tentatives de piratage
bull Obtenir une vue centraliseacutee de toutes les
donneacutees drsquoauthentification des applications
cloud mobiles et on-premise
bull Repeacuterer les comportements inhabituels et
suspects
bull Enrichir et eacutetoffer votre environnement de
cyberseacutecuriteacute via lrsquoAPI SysLog Okta (Splunk
ArcSight IBM QRadar Palo Alto Networks
F5 Networks)
Pour deacutecouvrir agrave quel point il est
facile drsquoadministrer la solution
Okta drsquoauthentification Adaptive
(AMFA) et de piloter le processus
drsquoauthentification
visionnez cette deacutemo
Agrave propos drsquoOkta
Okta est un eacutediteur indeacutependant speacutecialiseacute dans la gestion
et la protection des donneacutees drsquoidentification leader du
secteur La plateforme Okta Identity Cloud connecte et
protegravege les collaborateurs des plus grandes entreprises
au monde en plus drsquoassurer une connexion seacutecuriseacutee
avec leurs partenaires fournisseurs et clients Gracircce agrave son
inteacutegration avanceacutee agrave plus de 6 500 applications Okta
Identity Cloud permet agrave nrsquoimporte quel utilisateur de se
connecter facilement et en toute seacutecuriteacute tous terminaux
confondus Des milliers de clients dont 20th Century
Fox Adobe Dish Networks Experian Flex LinkedIn et
News Corp font confiance agrave Okta pour ameacuteliorer leur
productiviteacute doper leur chiffre drsquoaffaires et preacuteserver leur
seacutecuriteacute Gracircce agrave Okta ils peuvent acceacuteder facilement
et sans risque aux technologies dont ils ont besoin pour
accomplir leurs missions strateacutegiques
Pour en savoir plus consultez le site wwwoktacomfr ou
suivez-nous sur wwwoktacomblog