GUIDE DE DÉPLOIEMENT DE L’AUTHENTIFICATION …

GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR 01

GUIDE DE DEacutePLOIEMENT DE LrsquoAUTHENTIFICATION MULTIFACTEUR

Okta FranceParis

parisoktacom 01 85 64 08 80


Introduction

La seacutecuriteacute des mots de passe srsquoest fragiliseacutee ces derniegraveres anneacutees En reacuteaction lrsquoauthentification multifacteur (MFA) gagne en populariteacute car il srsquoagit drsquoune meacutethode efficace pour renforcer la fiabiliteacute de lrsquoauthentification au niveau des applications web et mobiles professionnelles et grand public

Pour que lrsquoauthentification srsquoopegravere il faut geacuteneacuteralement

valider lrsquoun des trois types de facteurs suivants un

eacuteleacutement que vous connaissez (par ex un mot de passe)

que vous posseacutedez (par ex une carte drsquoidentiteacute) ou

qui vous caracteacuterise (par ex une empreinte digitale)

Lrsquoauthentification multifacteur (MFA Multi-Factor

Authentication) utilise au minimum deux types de facteurs

Souvent les solutions web et mobiles associent un mot de

passe et un jeton agrave dureacutee limiteacutee deacutetenu par lrsquoutilisateur

mais globalement les modaliteacutes drsquoimpleacutementation de

lrsquoauthentification MFA sont tregraves varieacutees

Ce guide explique pourquoi lrsquoutilisation drsquoune solution

drsquoauthentification multifacteur (MFA) est un choix logique

et preacutesente les bonnes pratiques de deacuteploiement dans

ce domaine Il propose eacutegalement les reacutesultats drsquoune

enquecircte reacutealiseacutee en partenariat avec IDG qui montre les

prioriteacutes de vos pairs et le rocircle de la gestion des identiteacutes

et des accegraves (IAM) dans les systegravemes de seacutecuriteacute et

drsquoauthentification forte Il deacutetaille ensuite les eacuteleacutements agrave

prendre en compte avant de deacuteployer une solution MFA

notamment les politiques et les besoins en matiegravere

drsquoaccegraves Enfin ce guide fournit des conseils pratiques

agrave ceux qui deacuteveloppent une solution drsquoauthentification

multifacteur pour leurs applications sur la base de notre

expeacuterience et en collaboration avec des ingeacutenieurs et des

eacutequipes produits

Utiliser lrsquoIAM et le MFA agrave lrsquoacircge drsquoor des cyberattaques

Les menaces se multiplient malwares piratage phishing social engineeringhellip Ces tactiques se

soldent souvent par le piratage de comptes et le vol didentifiants

Extension de la base

utilisateurs agrave des personnes

externes agrave lrsquoentreprise

Gestion des identiteacutes et des accegraves dans plusieurs

environnements applicatifs

Reacuteutilisation des mecircmes

mots de passe

Controcircles drsquoauthentification

peu pratiques ignoreacutes ou

contourneacutes

Inteacutegration avec les solutions de seacutecuriteacute

en place (50 dans les grandes entreprises)

Vol drsquoidentifiants

Absence de politiques IAM

Collecte drsquoinformations et rapports sur les

modegraveles drsquoaccegraves des utilisateurs

Principaux problegravemes de seacutecuriteacute lieacutes agrave lidentiteacute

Les grands deacutefis de la gestion des identiteacutes et des accegraves

59 43 33

29 24

6135 35


Anticiper lrsquoavenir - Prioriteacute de lrsquoIAM et eacutevaluation des fonctionnaliteacutes IAM actuelles

Gestion des identiteacutes et

des accegraves dans plusieurs

environnements applicatifs92 des managers77

30 indiquent une

bonne ou meilleure

capaciteacute agrave deacutetecter

lutilisation illeacutegitime

didentifiants

45 integravegrent les

donneacutees IAM dans

leur SOC (Security

Operations Center)

Authentification dans tous

les services et applications

permettant deacutelargir la base

utilisateurs en toute seacutecuriteacute

Ameacutelioration de lexpeacuterience

utilisateur avec des

controcircles utilisateurs moins

contraignants

Adoption de controcircles daccegraves

plus stricts

Automatisation du provisioning

deacuteprovisioning

Faire face aux problegravemes de seacutecuriteacute principaux avantages potentiels des solutions IAM

53

45

43

43

Consultez le site dOkta pour en savoir plus sur lIAM et le MFA

Enquecircte IDG


7 eacuteleacutements agrave prendre en compte avant drsquoadopter lrsquoauthentification multifacteur (MFA)Les mots de passe sont complexes agrave mettre en

œuvre Leurs critegraveres de creacuteation de plus en plus

stricts sont censeacutes les rendre plus sucircrs mais dans

bien des cas ils produisent lrsquoeffet inverse Les

mots de passe qui respectent toutes les exigences

de seacutecuriteacute sont difficiles agrave meacutemoriser et souvent

reacuteutiliseacutes drsquoun site agrave lrsquoautre Les utilisateurs les

griffonnent sur des Post-it Ils emploient des noms

drsquoanimaux de compagnie des dates de naissance

ou des numeacuteros de teacuteleacutephone familiers tous

faciles agrave deviner Bref en matiegravere de protection

de donneacutees nous sommes loin de la panaceacutee

Heureusement certaines entreprises commencent

agrave prendre conscience du danger mais aussi agrave

adheacuterer au principe selon lequel les accegraves doivent

ecirctre dissuasifs pour les pirates et simples pour les

utilisateurs autoriseacutes La meilleure solution consiste

agrave opter pour lrsquoauthentification multifacteur ou MFA

(Multi-Factor Authentication)

Lrsquoauthentification MFA est un excellent moyen

de proteacuteger les applications et services de vos

utilisateurs finaux contre tout accegraves non autoriseacute

Voici quelques points agrave prendre en consideacuteration si

vous envisagez de lrsquoadopter

1 Sensibiliser les utilisateurs

Vous deacuteployez lrsquoauthentification multifacteur

pour reacuteduire les risques que preacutesentent les accegraves

reposant sur un simple mot de passe mais certains

utilisateurs pourraient trouver cette nouvelle

meacutethode fastidieuse et craindre que ce changement

leur fasse perdre un temps preacutecieux

Veillez donc agrave ce que tous les collaborateurs du

management aux utilisateurs finaux comprennent

bien les raisons de cette transition vers

lrsquoauthentification multifacteur Il est important

drsquoobtenir lrsquoadheacutesion de toute lrsquoentreprise afin que

chacun contribue activement agrave sa seacutecuriteacute Menez

des actions de sensibilisation aupregraves des utilisateurs

pour les aider agrave cerner les avantages de cette eacutetape

suppleacutementaire


2 Deacutefinir les politiques MFA

Afin de ne pas alourdir le coucirct drsquoun

deacuteploiement MFA il est recommandeacute de concilier

seacutecuriteacute et ergonomie Vos politiques MFA doivent

donc deacutecrire quand et comment appliquer un

facteur suppleacutementaire

Bien que cela puisse sembler paradoxal il est

parfois judicieux drsquoappliquer lrsquoauthentification

renforceacutee avec parcimonie plutocirct qursquoagrave tout-va

Pour ecirctre efficaces les politiques axeacutees sur les

risques ne doivent deacuteclencher une authentification

renforceacutee qursquoen cas de neacutecessiteacute

On peut par exemple imaginer une politique qui

exige un deuxiegraveme facteur uniquement en cas de

connexion agrave un service en dehors du reacuteseau de

lrsquoentreprise (sur la base drsquoune seacuterie drsquoadresses IP)

ou en dehors du pays (sur la base de donneacutees de

geacuteolocalisation) De mecircme il est envisageable

drsquoappliquer une politique plus stricte agrave un

groupe drsquoutilisateurs ayant accegraves agrave des donneacutees

sensibles Lrsquoauthentification MFA vous permet

drsquoexiger un deuxiegraveme facteur pour acceacuteder aux

ressources sensibles mais pas pour consulter le

calendrier des eacuteveacutenements de lrsquoentreprise Lrsquoideacutee

est de rendre cette veacuterification suppleacutementaire

la plus transparente possible afin de garantir

une expeacuterience utilisateur satisfaisante sans

compromettre la seacutecuriteacute

3 Srsquoadapter aux diffeacuterentes demandes drsquoaccegraves

Il arrive qursquoun utilisateur dispose drsquoun accegraves agrave

Internet mais que sa couverture mobile soit faible

voire inexistante Crsquoest parfois le cas agrave bord drsquoun

avion proposant le Wi-Fi dans une habitation en

zone rurale ou tout simplement au sous-sol drsquoun

grand bacirctiment en beacuteton Dans ces situations ougrave les

services vocaux et SMS ne sont pas disponibles

Okta Verify avec envoi de notifications push ou

geacuteneacuteration de mots de passe agrave usage unique (OTP)

constitue une alternative inteacuteressante le chiffrement

des communications srsquoopeacuterant sur la connexion

Internet du teacuteleacutephone

Les dispositifs physiques qui geacutenegraverent des mots

de passe agrave usage unique agrave dureacutee limiteacutee (TOTP)

ou baseacutes sur des eacuteveacutenements ne neacutecessitent

aucun canal de communication Ils sont aussi plus

difficiles agrave pirater ou agrave copier Mais au-delagrave du coucirct

de deacuteploiement ces terminaux constituent une

contrainte suppleacutementaire pour les utilisateurs qui

peuvent les oublier chez eux ou mecircme les perdre

Cette solution nrsquoest donc pas forceacutement judicieuse

pour les sous-traitants agrave court terme et les

entreprises agrave forte rotation drsquoeffectifs

En ce qui concerne les facteurs MFA un grand

nombre de possibiliteacutes srsquooffrent agrave vous pour couvrir

une multitude de sceacutenarios Optez pour une

configuration adapteacutee agrave votre entreprise tout en

sachant que srsquoil nrsquoexiste pas de solution standard

(il y en a rarement) lrsquoapplication de plusieurs

politiques et facteurs est le meilleur moyen de geacuterer

toutes les situations


4 Peser le pour et le contre de lenvoi de mots de passe agrave usage unique par SMS

Les SMS sont tregraves pratiques et avec la multiplication

des teacuteleacutephones mobiles et tablettes ils sont

devenus un moyen de communication courant

notamment pour lrsquoenvoi de mots de passe agrave usage

unique Srsquoils sont geacuteneacuteralement consideacutereacutes comme

suffisamment seacutecuriseacutes dans ce cas de figure crsquoest

en partie ducirc au fait que lrsquoinfrastructure sous-jacente

est agrave la fois proprieacutetaire et opaque

Des eacutetudes montrent cependant que la seacutecuriteacute

des SMS est fait deacutefaut et pas seulement dans le

cas des vulneacuterabiliteacutes documenteacutees En y ayant

recours vous faites confiance aux bonnes pratiques

de seacutecuriteacute des opeacuterateurs de teacuteleacutecommunications

mais le risque de compromissions par usurpation

drsquoidentiteacute ou social engineering subsiste Bien

souvent il nrsquoest pas tregraves compliqueacute pour un pirate

de transfeacuterer votre numeacutero sur un terminal qursquoil

controcircle et drsquoacceacuteder ainsi agrave vos SMS et mots de

passe agrave usage unique

Si la CNIL deacuteconseille drsquoutiliser les SMS pour

ces raisons preacutecises il vous incombe neacuteanmoins

drsquoeacutevaluer votre exposition aux risques en fonction

de vos utilisateurs de vos cas drsquousage et des

donneacutees agrave proteacuteger Apregraves tout lrsquoauthentification

multifacteur par SMS nrsquoest pas parfaite mais elle

vaut mieux que son absence totale

5 Eacutetudier attentivement les exigences de conformiteacute

La plupart des normes de conformiteacute IT telles que

PCI DSS SOX et HIPAA exigent des controcircles

drsquoauthentification stricts ce qui peut justifier un

deacuteploiement MFA Cela peut paraicirctre eacutevident

mais si vous voulez vous conformer agrave ces normes

vous devez en cerner toutes les exigences afin de

pouvoir adapter votre configuration et vos politiques

en conseacutequence

Par exemple les normes PCI et HIPAA neacutecessitent

une authentification forte avec application drsquoau

moins deux des trois facteurs suivants un facteur

de connaissance un facteur de possession et un

facteur de biomeacutetrie La norme SOX est moins

centreacutee sur la technologie mais en cas drsquoaudit

vous devez prouver que les donneacutees financiegraveres et

comptables de votre entreprise sont seacutecuriseacutees

La conformiteacute IT neacutecessite de mettre en œuvre les

normes pertinentes mais aussi de prouver que

leurs principes sont respecteacutes Documentez vos

configurations et impleacutementations afin de pouvoir

deacutemontrer rapidement et avec assurance que toutes

les conditions sont remplies

Vous vous en feacuteliciterez plus tard et votre

entreprise vous en sera reconnaissante


6 Preacutevoir les mesures agrave prendre en cas de perte drsquoun terminal

Dans le cadre drsquoun deacuteploiement MFA classique le

deuxiegraveme facteur drsquoauthentification est un laquo facteur

de possession raquo (le premier eacutetant un laquo facteur de

connaissance raquo et le troisiegraveme un laquo facteur de

biomeacutetrie raquo) Dans le cas drsquoun SMS drsquoun message

vocal ou drsquoune application drsquoauthentification comme

Okta Verify ou Google Authenticator lrsquoutilisateur

se sert de son teacuteleacutephone Et dans le cas drsquoun

jeton physique de type YubiKey ou RSA il est en

possession du dispositif en question Or tout ce qui

est en sa possession peut ecirctre eacutegareacute

Votre support IT doit donc ecirctre assorti drsquoune

proceacutedure de gestion des terminaux perdus Pensez

agrave inclure les appareils utiliseacutes pour le MFA et veillez

agrave ce que la perte drsquoun eacutequipement entraicircne

bull lrsquoexpiration des sessions en cours et un demande de reacuteauthentification de lrsquoutilisateur

bull la dissociation de lrsquoeacutequipement du compte utilisateur et des droits drsquoaccegraves correspondants

bull la suppression agrave distance des informations de lrsquoentreprise sur les terminaux mobiles si neacutecessaire

Il est eacutegalement important drsquoauditer les activiteacutes

du compte utilisateur avant la perte du terminal

afin de deacutetecter toute activiteacute inhabituelle En cas

drsquoeacuteveacutenement suspect recherchez les eacuteventuelles

bregraveches et faites-les remonter le cas eacutecheacuteant

Une fois les premiegraveres mesures de seacutecuriteacute prises

donnez agrave lrsquoutilisateur les moyens de se remettre

au travail en lui fournissant un terminal de

remplacement ou une autre meacutethode de connexion

Un appel au service drsquoassistance IT pour veacuterifier son

identiteacute peut par exemple lui permettre de rester

productif en attendant lrsquoimpleacutementation des facteurs

de remplacement

7 Se preacuteparer agrave reacuteexaminer et reacuteviser la configuration

Rares sont les politiques et deacuteploiements

complexes qui conviennent parfaitement drsquoembleacutee

Sachant qursquoun changement de processus peut

potentiellement impacter tous les collaborateurs

il est conseilleacute drsquoeacutevaluer lrsquoefficaciteacute drsquoune

solution MFA deacuteployeacutee et utiliseacutee pour ensuite

affiner les regravegles suivant les observations

effectueacutees

Familiarisez-vous en amont du processus avec

la fonctionnaliteacute drsquoaudit qui vous sera tregraves utile

pour reacutesoudre les problegravemes de configuration et

ajuster les politiques comme il convient Une fois

votre MFA deacuteployeacute faites appel agrave des outils drsquoaudit

pour veacuterifier ponctuellement le taux drsquoadoption et

lrsquousage Il peut eacutegalement ecirctre judicieux de donner

la possibiliteacute aux utilisateurs de soumettre des

commentaires

Et si les utilisateurs ne prennent pas toujours le

temps de reacutediger un feedback eacutecrit une trace

drsquoaudit vous offrira une certaine visibiliteacute sur leur

expeacuterience Ont-ils ducirc srsquoy reprendre agrave trois fois pour

saisir leur mot de passe agrave usage unique Ont-ils

abandonneacute Ces difficulteacutes peuvent ecirctre lieacutees agrave une

mauvaise configuration agrave un manque de formation

ou tout simplement agrave un sceacutenario qui nrsquoavait pas eacuteteacute

envisageacute dans le plan de deacuteploiement initial

Utiliser des outils drsquoaudit et encourager les

collaborateurs agrave donner leur avis est le meilleur

moyen drsquoassurer agrave toutes les parties prenantes

que le systegraveme fonctionne comme preacutevu et que les

nouvelles politiques de seacutecuriteacute sont bien adopteacutees


Lrsquoauthentification multifacteur adaptative un plus pour lrsquoentreprise

Ces conseils constituent un excellent point de

deacutepart et si lrsquoauthentification MFA renforceacutee

peut vous permettre de controcircler preacuteciseacutement

quand et comment appliquer lrsquoauthentification

multifacteur sa configuration exige toutefois

mucircre reacuteflexion Mecircme avec des politiques

et critegraveres bien deacutefinis il se peut que vous

souhaitiez prendre des deacutecisions sur le

moment mecircme en fonction des changements

de contextes lieacutes agrave lrsquoutilisateur ou au terminal

Si vous souhaitez effectuer des changements

dynamiques testez la solution Okta

Adaptive MFA qui identifie les modegraveles

drsquoaccegraves puis adapte la politique agrave chaque

utilisateur ou groupe

Ainsi un deuxiegraveme facteur drsquoauthentification

peut ecirctre demandeacute peacuteriodiquement aux

collaborateurs qui se deacuteplacent et consultent

reacuteguliegraverement leurs e-mails depuis lrsquoeacutetranger

et systeacutematiquement agrave ceux qui en temps

normal ne se deacuteplacent jamais Les politiques

axeacutees sur les risques peuvent eacutegalement

srsquoappliquer en cas drsquoeacuteveacutenement suspect Citons

par exemple lrsquoactivation de lrsquoauthentification

forte lors de tentatives drsquoaccegraves agrave des

ressources via un proxy non autoriseacute ou

encore le blocage automatique des adresses IP

malveillantes connues

Okta Adaptive MFA est une solution efficace

pour deacutefinir automatiquement des politiques

dynamiques au fil du temps Concregravetement elle

offre agrave votre entreprise le niveau de seacutecuriteacute

exigeacute et la flexibiliteacute neacutecessaire pour traiter les

utilisateurs de maniegravere individuelle


Une seacutecuriteacute optimale gracircce agrave lrsquoauthentification multifacteur

Trois bonnes pratiques pour les ingeacutenieurs et les chefs de produit

Introduction

Les publications expliquant comment concevoir

une solution drsquoauthentification seacutecuriseacutee pour les

systegravemes informatiques ne manquent pas Nous

proposons ici des conseils pratiques inspireacutes

par notre expeacuterience de collaboration avec des

ingeacutenieurs et des eacutequipes produits et destineacutes agrave

ceux qui deacuteveloppent une solution drsquoauthentification

multifacteur pour leurs applications Voici trois

moyens de renforcer la seacutecuriteacute drsquoune solution

drsquoauthentification MFA

bull Deacuteterminer et geacuterer la vulneacuterabiliteacute du processus de reacutecupeacuteration de comptes

bull Proteacuteger les flux de connexion des attaques par force brute

bull Concilier gestion des risques ergonomie et coucirct

Nous partons ici du principe que le mot de passe

a eacuteteacute compromis et qursquoun deuxiegraveme facteur est

neacutecessaire

Deacuteterminer et geacuterer la vulneacuterabiliteacute du processus de reacutecupeacuteration de comptes

Lrsquoauthentification multifacteur nrsquoest seacutecuriseacutee que

si ses flux de reacutecupeacuteration de comptes le sont

eacutegalement Dans de nombreux cas reacutecents ultra-

meacutediatiseacutes les pirates avaient su exploiter les

vulneacuterabiliteacutes du processus de reacutecupeacuteration pour

prendre le controcircle drsquoun compte

Prenons lrsquoexemple de lrsquoapplication web

drsquoune entreprise qui inteacutegrerait un dispositif

drsquoauthentification multifacteur baseacute sur un jeton

logiciel installeacute sur le smartphone drsquoun utilisateur

Supposons que lrsquoapplication permette agrave ce dernier

drsquoenregistrer un numeacutero de teacuteleacutephone pour recevoir

un deuxiegraveme facteur de secours afin de reacutecupeacuterer

son compte srsquoil ne parvient pas agrave acceacuteder agrave son

jeton logiciel Dans ce cas lrsquoefficaciteacute du deuxiegraveme

facteur deacutepend du niveau de seacutecuriteacute des processus

utiliseacutes par lrsquoopeacuterateur de teacuteleacutecommunications

pour authentifier lrsquoabonneacute et lui transmettre des

appels ou des SMS Un pirate parviendrait-il agrave

usurper lrsquoidentiteacute de lrsquoutilisateur et agrave convaincre ou

contraindre un chargeacute de clientegravele de transfeacuterer les

appels ou les SMS vers un numeacutero qursquoil controcircle

Chaque deuxiegraveme facteur exige une meacutethode de

remplacement La question est donc de savoir

comment mettre au point des flux de reacutecupeacuteration

seacutecuriseacutes Voici quelques conseils pour y parvenir

sachant que lrsquoapproche peut varier selon les

circonstances

bull Indeacutependance des facteurs principaux et

secondaires Dissociez la reacutecupeacuteration

du deuxiegraveme facteur de celle du premier

Si un pirate a accegraves au premier facteur

drsquoauthentification le deuxiegraveme devient inefficace

srsquoil peut ecirctre reacuteinitialiseacute sur simple saisie du mot

de passe En outre le flux de reacutecupeacuteration du

deuxiegraveme facteur doit ecirctre totalement distinct

de celui du mot de passe Par exemple si la

reacutecupeacuteration du mot de passe srsquoeffectue par

e-mail veillez agrave reacutecupeacuterer le deuxiegraveme facteur

par un autre canal

bull Faites intervenir un administrateur Dans bien

des cas un administrateur est parfaitement

capable de mettre en place une meacutethode

drsquoauthentification sophistiqueacutee offrant des

garanties eacuteleveacutees


Dans les sceacutenarios drsquoentreprise les socieacuteteacutes qui

utilisent des secrets partageacutes issus des travaux

ou du profil des collaborateurs de lrsquoorganisation

elle-mecircme ou des relations humaines sont mieux

armeacutees pour authentifier leurs propres effectifs

Lrsquoapproche consistant agrave demander au responsable

drsquoun collaborateur drsquoauthentifier cet utilisateur

avant drsquoautoriser lrsquoeacutequipe IT agrave reacuteinitialiser les

identifiants MFA est particuliegraverement inteacuteressante

Dans les cas drsquousage grand public un

administrateur peut interroger un utilisateur

sur un grand nombre de secrets partageacutes Par

exemple lors de lrsquoonboarding les applications

bancaires reacuteserveacutees aux particuliers collectent

diverses informations personnelles peu connues

qui deviennent des secrets partageacutes destineacutes

agrave la reacutecupeacuteration des comptes Par ailleurs les

reacutecents eacuteveacutenements figurant dans lrsquohistorique de

la personne avec lrsquoapplication ou la socieacuteteacute sont

autant de secrets partageacutes possibles Lrsquoeacutevaluation

drsquoun ensemble de secrets partageacutes peut ecirctre

automatiseacutee en ligne ou par voie vocale ce qui offre

la plupart du temps de meilleures garanties qursquoun

ecirctre humain plus exposeacute au social engineering

bull Preacutevoyez un deuxiegraveme facteur de secours De

nombreuses situations exigent une meacutethode

automatiseacutee de reacutecupeacuteration du deuxiegraveme

facteur Crsquoest notamment le cas des produits

desservant un grand nombre drsquoutilisateurs

et dont lrsquoassistance individuelle est hors de

prix ou lorsqursquoil est neacutecessaire de reacuteduire les

coucircts drsquoexploitation En adheacuterant agrave plusieurs

facteurs secondaires lors de lrsquoonboarding

lrsquoutilisateur peut reacutecupeacuterer un deuxiegraveme facteur

en srsquoidentifiant au moyen drsquoun second facteur

de secours Fournir aux utilisateurs une carte

(physique ou imprimable) contenant une seacuterie

de codes agrave usage unique pouvant servir de

deuxiegraveme facteur de secours est une pratique

judicieuse simple et eacuteconomique

Proteacuteger les flux de connexion des attaques par force brute

Plus les ressources informatiques bon marcheacute se

multiplient plus les systegravemes drsquoauthentification sont

exposeacutes aux attaques par force brute Plusieurs

techniques simples permettent toutefois drsquoameacuteliorer

sensiblement la seacutecuriteacute de lrsquoauthentification

multifacteur en cas de piratage du mot de passe

bull Seacutequence de flux de connexion limitation du

deacutebit et blocage de comptes Placer la demande

de deuxiegraveme facteur sur une page situeacutee en

dessous de la page de connexion offre deux

avantages Premiegraverement lrsquoutilisateur est

proteacutegeacute contre les attaques destineacutees agrave bloquer

son compte une fois le nombre maximal drsquoeacutechecs

de connexion atteint (sous reacuteserve qursquoune

limitation du deacutebit soit appliqueacutee pour le premier

facteur) Deuxiegravemement dans la mesure ougrave le

deuxiegraveme facteur est dissimuleacute le pirate a moins

de visibiliteacute sur une autre couche de seacutecuriteacute

Instaurez une limitation du deacutebit et une regravegle

de blocage pour le deuxiegraveme facteur Comme

il est peu probable qursquoun utilisateur se trompe

plusieurs fois en entrant son jeton la suspicion

drsquoattaque doit se renforcer agrave chaque tentative

rateacutee Les temps de reacuteponse doivent augmenter

agrave chaque tentative afin de reacuteduire le nombre

maximal drsquoessais possibles par uniteacute de temps

avec un verrouillage complet du compte (si

possible) apregraves plusieurs eacutechecs successifs Pour

les facteurs secondaires agrave dureacutee limiteacutee adaptez

la limitation du deacutebit agrave la dureacutee de vie du jeton

bull Journaux et alertes Collectez et analysez les

tentatives de deuxiegraveme facteur ayant eacutechoueacute En

cas drsquoeacutechec de plusieurs demandes de deuxiegraveme

facteur alertez lrsquoutilisateur ou un administrateur

de ce comportement suspect et invitez

lrsquoutilisateur agrave obtenir un nouveau jeton

bull Utilisez un jeton hors bande Un deuxiegraveme

facteur veacuterifieacute via un canal autre que celui

du premier facteur est un gage de protection

suppleacutementaire contre les attaques par force


brute (et par phishing) Ainsi la tendance

actuelle consiste agrave envoyer sur le smartphone

de lrsquoutilisateur une notification push contenant

des deacutetails sur la demande drsquoauthentification et

lrsquoinvitant agrave accepter ou refuser cette demande

Ce canal est inaccessible pour les attaques par

force brute classiques

Concilier gestion des risques ergonomie et coucirct

Quel que soit le contexte la conception drsquoune

fonctionnaliteacute drsquoauthentification multifacteur a

des reacutepercussions importantes sur la seacutecuriteacute

lrsquoergonomie et le coucirct Un deuxiegraveme facteur

offrant de meilleures garanties peut dans certains

cas alourdir la tacircche des utilisateurs et des

administrateurs ce qui freine lrsquoadoption du MFA et

reacuteduit drsquoautant la seacutecuriteacute Voici quelques bonnes

pratiques agrave mettre en œuvre pour trouver le juste

eacutequilibre entre gestion des risques ergonomie et

coucirct

bull Offrez des options adapteacutees agrave diffeacuterentes

populations drsquoutilisateurs Les risques varient

en fonction des populations drsquoutilisateurs et

exigent par conseacutequent des niveaux de garantie

diffeacuterents Par exemple un administrateur peut

avoir un peacuterimegravetre drsquoaccegraves plus large que celui

drsquoun utilisateur lambda Vous pouvez donc

preacutevoir des facteurs secondaires relativement

plus forts pour les administrateurs et offrir des

options plus pratiques aux utilisateurs Dans les

cas drsquousage grand public les preacutefeacuterences varient

drsquoun utilisateur agrave lrsquoautre et une option offrant

de faibles garanties mais pratique et donc

facilement adopteacutee peut se reacuteveacuteler plus sucircre

qursquoune option offrant une assurance maximale

mais boudeacutee par les utilisateurs

bull Optez pour lrsquoauthentification feacutedeacutereacutee Dans les

sceacutenarios drsquoentreprise de nombreuses socieacuteteacutes

mettent en place des systegravemes drsquoauthentification

unique et multifacteur en local pour les identiteacutes

dont elles assurent la gestion et les feacutedegraverent

avec les ressources Cette approche permet

aux eacutequipes de deacuteveloppement de produits de

confier lrsquoadministration des politiques et des

processus de seacutecuriteacute aux clients Les clients

peuvent ainsi impleacutementer lrsquoauthentification MFA

de maniegravere autonome ce qui leur permet

drsquooptimiser les points preacuteceacutedents en fonction de

leurs contextes et contraintes speacutecifiques Un

client peut par exemple adapter lrsquoadministration

de la reacutecupeacuteration de comptes agrave ses activiteacutes IT

Cette approche externaliseacutee preacutesente un autre

avantage elle permet aux utilisateurs drsquoacceacuteder

agrave la totaliteacute des ressources avec un seul et mecircme

jeton

Conclusion

Roadmap pour une authentification MFA efficace

En reacutesumeacute lrsquoauthentification multifacteur est une

excellente meacutethode qui permet aux deacuteveloppeurs

drsquoapplications de renforcer la seacutecuriteacute drsquoaccegraves agrave

leurs solutions Certaines conditions doivent ecirctre

remplies pour seacutecuriser une fonctionnaliteacute MFA

parmi lesquelles lrsquoanalyse du flux de reacutecupeacuteration

du deuxiegraveme facteur la protection contre les

attaques par force brute et lrsquoeacutequilibre entre seacutecuriteacute

ergonomie et coucirct

Une approche automatiseacutee et moderne de

lrsquoauthentification multifacteur aide agrave prendre le

controcircle des identifiants pour reacuteduire sensiblement

le risque de bregraveche Mais par quoi les entreprises

doivent-elles commencer

Nous vous conseillons de vous concentrer sur

quelques eacutetapes cleacutes

1 Eacuteliminer les mots de passe chaque fois que crsquoest

possible

2 Utiliser des mots de passe forts et uniques dans

les autres cas

3 Seacutecuriser les flux de reacutecupeacuteration de comptes

avec des facteurs principaux et secondaires

indeacutependants

4 Optimiser la seacutecuriteacute des applications

strateacutegiques gracircce agrave lrsquoauthentification forte


5 Adopter une strateacutegie unifieacutee pour les

applications on-premise cloud et mobiles

6 Automatiser le provisioning avec une deacutefinition

preacutecise des droits

7 Opter pour le deacuteprovisioning agrave lrsquoeacutechelle de

toute lrsquoentreprise et ameacuteliorer la visibiliteacute et le

reporting

8 Geacuteneacuterer en temps reacuteel des alertes et des

rapports centraliseacutes sur tous les eacuteveacutenements

drsquoauthentification

9 Inteacutegrer la strateacutegie de gestion des identiteacutes

avec les outils de seacutecuriteacute en place

10 Eacutetendre la gestion des identiteacutes et

lrsquoauthentification multifacteur aux partenaires

fournisseurs et sous-traitants

Pourquoi choisir Okta pour lrsquoauthentification MFA

Gracircce agrave son approche innovante de la gestion des

identiteacutes Okta est le mieux placeacute pour aider les

entreprises agrave geacuterer les identiteacutes et lrsquoauthentification

multifacteur afin de limiter les bregraveches Avec la

solution drsquoauthentification multifacteur drsquoOkta vous

pouvez

Geacuteneacuteraliser lrsquoutilisation de fonctions drsquoauthentification MFA forte

bull Deacuteployer rapidement et facilement

lrsquoauthentification MFA avec les

6 500 preacuteinteacutegrations drsquoOkta Integration

Network

bull Eacutetendre la couverture aux applications on-

premise gracircce agrave la prise en charge des

protocoles RADIUS RDP ADFS et LDAP

bull Mettre en place des politiques drsquoaccegraves

intelligentes et contextualiseacutees en fonction des

attributs de connexion et des terminaux

Neacuteanmoins lrsquoauthentification forte nrsquoest pas une

protection absolue contre les bregraveches Avec Okta

vous pouvez facilement

Centraliser la gestion des identiteacutes

bull Simplifier la gestion des comptes

bull Unifier lrsquoaccegraves pour offrir aux utilisateurs un

accegraves simplifieacute sans mot de passe

bull Reacuteduire les risques et la prolifeacuteration des

identiteacutes en limitant lrsquoaccegraves aux services via des

connexions SAML


Reacuteduire la surface drsquoattaque

bull Le provisioning et le deacuteprovisioning automatiseacutes

acceacutelegraverent lrsquoonboarding tout en eacuteliminant les

comptes orphelins

bull La solution peut ecirctre eacutetendue aux applications

ldquomaisonrdquo via le protocole SCIM un kit SDK et

lrsquoAPI drsquoOkta

bull La gestion complegravete du cycle de vie des

utilisateurs garantit un niveau drsquoaccegraves adapteacute aux

applications approprieacutees gracircce agrave des workflows

de demande drsquoaccegraves

Reacuteagir plus rapidement aux tentatives de piratage

bull Obtenir une vue centraliseacutee de toutes les

donneacutees drsquoauthentification des applications

cloud mobiles et on-premise

bull Repeacuterer les comportements inhabituels et

suspects

bull Enrichir et eacutetoffer votre environnement de

cyberseacutecuriteacute via lrsquoAPI SysLog Okta (Splunk

ArcSight IBM QRadar Palo Alto Networks

F5 Networks)

Pour deacutecouvrir agrave quel point il est

facile drsquoadministrer la solution

Okta drsquoauthentification Adaptive

(AMFA) et de piloter le processus


visionnez cette deacutemo

Agrave propos drsquoOkta

Okta est un eacutediteur indeacutependant speacutecialiseacute dans la gestion

et la protection des donneacutees drsquoidentification leader du

secteur La plateforme Okta Identity Cloud connecte et

protegravege les collaborateurs des plus grandes entreprises

au monde en plus drsquoassurer une connexion seacutecuriseacutee

avec leurs partenaires fournisseurs et clients Gracircce agrave son

inteacutegration avanceacutee agrave plus de 6 500 applications Okta

Identity Cloud permet agrave nrsquoimporte quel utilisateur de se

connecter facilement et en toute seacutecuriteacute tous terminaux

confondus Des milliers de clients dont 20th Century

Fox Adobe Dish Networks Experian Flex LinkedIn et

News Corp font confiance agrave Okta pour ameacuteliorer leur

productiviteacute doper leur chiffre drsquoaffaires et preacuteserver leur

seacutecuriteacute Gracircce agrave Okta ils peuvent acceacuteder facilement

et sans risque aux technologies dont ils ont besoin pour

accomplir leurs missions strateacutegiques

Pour en savoir plus consultez le site wwwoktacomfr ou

suivez-nous sur wwwoktacomblog


Introduction

La seacutecuriteacute des mots de passe srsquoest fragiliseacutee ces derniegraveres anneacutees En reacuteaction lrsquoauthentification multifacteur (MFA) gagne en populariteacute car il srsquoagit drsquoune meacutethode efficace pour renforcer la fiabiliteacute de lrsquoauthentification au niveau des applications web et mobiles professionnelles et grand public

Pour que lrsquoauthentification srsquoopegravere il faut geacuteneacuteralement

valider lrsquoun des trois types de facteurs suivants un

eacuteleacutement que vous connaissez (par ex un mot de passe)

que vous posseacutedez (par ex une carte drsquoidentiteacute) ou

qui vous caracteacuterise (par ex une empreinte digitale)

Lrsquoauthentification multifacteur (MFA Multi-Factor

Authentication) utilise au minimum deux types de facteurs

Souvent les solutions web et mobiles associent un mot de

passe et un jeton agrave dureacutee limiteacutee deacutetenu par lrsquoutilisateur

mais globalement les modaliteacutes drsquoimpleacutementation de

lrsquoauthentification MFA sont tregraves varieacutees

Ce guide explique pourquoi lrsquoutilisation drsquoune solution

drsquoauthentification multifacteur (MFA) est un choix logique

et preacutesente les bonnes pratiques de deacuteploiement dans

ce domaine Il propose eacutegalement les reacutesultats drsquoune

enquecircte reacutealiseacutee en partenariat avec IDG qui montre les

prioriteacutes de vos pairs et le rocircle de la gestion des identiteacutes

et des accegraves (IAM) dans les systegravemes de seacutecuriteacute et

drsquoauthentification forte Il deacutetaille ensuite les eacuteleacutements agrave

prendre en compte avant de deacuteployer une solution MFA

notamment les politiques et les besoins en matiegravere

drsquoaccegraves Enfin ce guide fournit des conseils pratiques

agrave ceux qui deacuteveloppent une solution drsquoauthentification

multifacteur pour leurs applications sur la base de notre

expeacuterience et en collaboration avec des ingeacutenieurs et des

eacutequipes produits










mots de passe



contourneacutes









59 43 33

29 24

6135 35






30 indiquent une

bonne ou meilleure



didentifiants



leur SOC (Security

Operations Center)








contraignants


plus stricts


deacuteprovisioning


53

45

43

43


Enquecircte IDG









































suppleacutementaire


































































































en conseacutequence

















































de remplacement









effectueacutees









commentaires






















































Introduction
















neacutecessaire





























circonstances












par un autre canal











































































































coucirct



































jeton

Conclusion



















possible


les autres cas



indeacutependants










reporting















pouvez





Network
















connexions SAML





comptes orphelins













suspects




F5 Networks)



































mots de passe



contourneacutes









59 43 33

29 24

6135 35






30 indiquent une

bonne ou meilleure



didentifiants



leur SOC (Security

Operations Center)








contraignants


plus stricts


deacuteprovisioning


53

45

43

43


Enquecircte IDG









































suppleacutementaire


































































































en conseacutequence

















































de remplacement









effectueacutees









commentaires






















































Introduction
















neacutecessaire





























circonstances












par un autre canal











































































































coucirct



































jeton

Conclusion



















possible


les autres cas



indeacutependants










reporting















pouvez





Network
















connexions SAML





comptes orphelins













suspects




F5 Networks)































30 indiquent une

bonne ou meilleure



didentifiants



leur SOC (Security

Operations Center)








contraignants


plus stricts


deacuteprovisioning


53

45

43

43


Enquecircte IDG









































suppleacutementaire


































































































en conseacutequence

















































de remplacement









effectueacutees









commentaires






















































Introduction
















neacutecessaire





























circonstances












par un autre canal











































































































coucirct



































jeton

Conclusion



















possible


les autres cas



indeacutependants










reporting















pouvez





Network
















connexions SAML





comptes orphelins













suspects




F5 Networks)


































































suppleacutementaire


































































































en conseacutequence

















































de remplacement









effectueacutees









commentaires






















































Introduction
















neacutecessaire





























circonstances












par un autre canal











































































































coucirct



































jeton

Conclusion



















possible


les autres cas



indeacutependants










reporting















pouvez





Network
















connexions SAML





comptes orphelins













suspects




F5 Networks)



























































































































en conseacutequence

















































de remplacement









effectueacutees









commentaires






















































Introduction
















neacutecessaire





























circonstances












par un autre canal











































































































coucirct



































jeton

Conclusion



















possible


les autres cas



indeacutependants










reporting















pouvez





Network
















connexions SAML





comptes orphelins













suspects




F5 Networks)






























































en conseacutequence

















































de remplacement









effectueacutees









commentaires






















































Introduction
















neacutecessaire





























circonstances












par un autre canal











































































































coucirct



































jeton

Conclusion



















possible


les autres cas



indeacutependants










reporting















pouvez





Network
















connexions SAML





comptes orphelins













suspects




F5 Networks)


























































de remplacement









effectueacutees









commentaires






















































Introduction
















neacutecessaire





























circonstances












par un autre canal











































































































coucirct



































jeton

Conclusion



















possible


les autres cas



indeacutependants










reporting















pouvez





Network
















connexions SAML





comptes orphelins













suspects




F5 Networks)

































































Introduction
















neacutecessaire





























circonstances












par un autre canal











































































































coucirct



































jeton

Conclusion



















possible


les autres cas



indeacutependants










reporting















pouvez





Network
















connexions SAML





comptes orphelins













suspects




F5 Networks)





























Introduction
















neacutecessaire





























circonstances












par un autre canal











































































































coucirct



































jeton

Conclusion



















possible


les autres cas



indeacutependants










reporting















pouvez





Network
















connexions SAML





comptes orphelins













suspects




F5 Networks)































































































































coucirct



































jeton

Conclusion



















possible


les autres cas



indeacutependants










reporting















pouvez





Network
















connexions SAML





comptes orphelins













suspects




F5 Networks)













































coucirct



































jeton

Conclusion



















possible


les autres cas



indeacutependants










reporting















pouvez





Network
















connexions SAML





comptes orphelins













suspects




F5 Networks)

































reporting















pouvez





Network
















connexions SAML





comptes orphelins













suspects




F5 Networks)






























comptes orphelins













suspects




F5 Networks)


























Documents

GUIDE DE DÉPLOIEMENT DE L’AUTHENTIFICATION …