Pour bénéficier d’une expérience Web optimale, utilisez Internet Explorer 11 ou version ultérieure, Chrome, Firefox, ou Safari.
Home / Identity and Access Management 101 / Exigences concernant les solutions d’authentification multifacteur (MFA)

Exigences concernant les solutions d’authentification multifacteur (MFA)

L’authentification classique basée sur les mots de passe repose uniquement sur les informations d’identification d’un utilisateur (nom d’utilisateur et mot de passe) pour donner accès à un système d’entreprise. Cette méthode d’authentification « à un facteur » n’est pas sûre ni fiable, car les pirates peuvent facilement voler ou compromettre les mots de passe et obtenir un accès non autorisé au compte ou à l’appareil d’un utilisateur autorisé. Ils peuvent ensuite lancer des attaques diverses, comme l’hameçonnage, le bourrage d’identifiants, les attaques par force brute, par dictionnaire, par enregistreurs de frappe, et des attaques de l’intercepteur (MitM, pour Man-in-the-Middle), etc.

Alors, comment protéger votre entreprise de ces pirates ?

L’une des meilleures alternatives à la sécurité basée sur les mots de passe est l’authentification multifacteur (MFA).

La MFA ne repose pas uniquement sur les informations d’identification de l’utilisateur. À la place, elle demande à l’utilisateur de fournir au moins un facteur d’authentification supplémentaire pour vérifier son identité. Ce n’est que lorsque le système peut vérifier tous les facteurs qu’il donne accès à l’utilisateur. Ainsi, la MFA aide à s’assurer qu’un utilisateur est vraiment celui qu’il prétend être. Elle offre également une sécurité plus forte et plus fiable contre les cybermenaces que les systèmes utilisant uniquement des mots de passe.

Mais il existe bien des solutions de MFA sur le marché. Comment choisir la bonne solution pour votre entreprise ?

Utilisez la liste ci-dessous pour guider vos recherches et votre investissement.

º 1. Méthodes d’authentification

La plupart des systèmes de MFA modernes exigent aux utilisateurs d’employer des facteurs d’authentification d’au moins deux ou trois catégories différentes :

  • Quelque chose que l’utilisateur « connaît » (connaissance)
  • Quelque chose que l’utilisateur « possède » (possession)
  • Quelque chose que l’utilisateur « est » (inhérence)

Votre solution de MFA ne devrait pas compliquer, pour les utilisateurs, l’accès aux solutions de leur entreprise. Pour cette raison, il est essentiel qu’ils puissent utiliser des facteurs qui leur sont déjà familiers, que ceux-ci soient basés sur la connaissance, la possession ou l’inhérence.

Voici quelques méthodes d’authentification que vous pouvez explorer.

Authentifiant de mot de passe mobile à usage unique (OTP), natif et de type push

Un système d’authentification mobile et natif de type push avec mot de passe à usage unique (OTP, pour One-time Password) envoie à l’utilisateur un message texte avec un code numérique qu’il doit saisir avant de pouvoir avoir accès au compte ou à l’application.

AVANTAGES
Un OTP est un facteur d’authentification de type « tout du premier coup ». Dans la mesure où il ne peut être utilisé qu’une seule fois, les pirates ne peuvent pas s’en servir si un utilisateur l’a déjà fait. Cela renforce la sécurité et rend plus difficile, pour les personnes malveillantes, d’accéder à des comptes privés. De plus, il n’est pas nécessaire d’installer un logiciel spécial et la plupart des utilisateurs sont déjà habitués à la messagerie textuelle, ce qui en fait une méthode d’authentification pratique et conviviale.

INCONVÉNIENTS
L’inconvénient d’un OTP par mobile est que si l’appareil est volé, une personne malintentionnée peut intercepter le mot de passe pour compromettre les comptes. La confidentialité et la sécurité des SMS ne sont pas garanties par les opérateurs mobiles, aussi les personnes malintentionnées peuvent les intercepter à des fins malveillantes. De plus, elles peuvent aussi intercepter des messages OTP en installant un logiciel malveillant sur l’appareil d’un utilisateur, en particulier si celui-ci accède à l’appareil sur un réseau ouvert ou non sécurisé.

Codes de vérification temporels hors ligne (TOTP)

Les codes de vérification temporels (TOTP, pour Time-based OTP) constituent un type d’authentification OTP dans laquelle un mot de passe temporaire est généré en utilisant l’heure actuelle comme facteur d’authentification. Ce mot de passe expire après une durée définie et ne peut être réutilisé, même s’il est intercepté par un utilisateur autorisé.

AVANTAGES

Le TOTP est assez facile et rentable à mettre en œuvre. Il ne nécessite pas nécessairement de nouveau matériel. Tout ce dont les utilisateurs ont besoin c’est d’une application sur leur appareil.

INCONVÉNIENTS

Bien entendu, le système n’est pas parfait. Si l’utilisateur perd ou égare son appareil, ou si la batterie est déchargée, il ne peut pas recevoir le code TOTP. De plus, l’application d’authentification et le serveur ont la même clé secrète. Si une personne malintentionnée parvient à cloner cette clé, elle peut générer de nouveaux codes TOTP valides et compromettre le compte d’un utilisateur autorisé. Certains systèmes TOTP bloquent l’accès de l’utilisateur s’il multiplie les tentatives de connexion, par exemple parce que le code expire trop vite.

Jetons matériels

Un jeton matériel est un petit appareil physique qui permet aux utilisateurs d’accéder à un compte ou à une application spécifiques. La clé Yubico YubiKey est un type de jeton matériel qui offre une solide sécurité par authentification pour divers services en ligne et applications. Ce porte-clé en forme de clé se branche sur l’appareil de l’utilisateur pour finaliser l’authentification une fois que l’utilisateur a saisi son mot de passe. Les jetons USB, les jetons Bluetooth et les cartes à puce sont d’autres exemples de jetons matériels.

AVANTAGES

La plupart des jetons combinent une authentification matérielle avec un chiffrement à clé publique, ce qui rend difficile la possibilité de les compromettre. Pour pirater un système, une personne malveillante doit physiquement voler le jeton, ce qui n’est pas toujours facile à faire si l’utilisateur fait attention. De nombreux jetons matériels fonctionnent même sans connexion Internet, ce qui supprime la possibilité d’attaques via Internet.

Les jetons matériels peuvent éviter les attaques à distance, et sont adaptés si vous avez besoin d’un système hautement sécurisé qui nécessite l’isolation du réseau. Certains prennent aussi en charge les gestionnaires de mots de passe, ce qui s’avère pratique pour l’utilisateur. Par ailleurs, les utilisateurs peuvent dissocier le jeton de leurs comptes pour empêcher toute utilisation non autorisée.

INCONVÉNIENTS

L’un des inconvénients possibles est que le jeton peut être perdu ou volé, auquel cas il doit être remplacé. Si cela arrive, les coûts augmentent pour l’entreprise. De même, si le jeton est utilisé pour une violation, la violation elle-même peut être très grave dans le cas où l’utilisateur emploie le même jeton pour accéder à plusieurs comptes.

Jetons logiciels

Un jeton logiciel est une clé d’authentification numérique. Il exige d’installer une application ou un logiciel sur un appareil physique tel qu’un smartphone. Il envoie un code d’authentification à usage unique à l’appareil ou peut accepter des données biométriques telles que la lecture d’empreintes digitales ou la reconnaissance faciale pour l’authentification.

AVANTAGES

Comme les jetons matériels, les jetons logiciels renforcent la sécurité et limitent la possibilité d’accès non autorisé. Ils sont aussi faciles à utiliser, nécessitent peu de maintenance, et sont moins chers que les jetons matériels. Certains sont même gratuits.

INCONVÉNIENTS

Toutefois, un jeton logiciel présente aussi des inconvénients. Il est notamment vulnérable aux cyberattaques à distance puisque son fonctionnement repose sur une connexion Internet et sur un logiciel. Si la connexion est compromise, le jeton peut être exposé à des risques au moment où il est stocké ou transmis. Mais malgré ces inconvénients, les jetons logiciels constituent une amélioration importante en termes de sécurité par rapport aux systèmes uniquement basés sur des mots de passe.

Avant de choisir votre méthode de MFA, assurez-vous de réfléchir à toutes les fonctionnalités ainsi qu’aux avantages et inconvénients indiqués plus haut. Idéalement, trouvez un système comme la MFA OneLogin, qui offre plusieurs facteurs d’authentification pour améliorer la flexibilité, notamment les suivants :

  • OTP
  • E-mail
  • SMS
  • Voix
  • WebAuthn pour la biométrie
  • Options tierces telles que Google Authenticator, Yubico, Duo Security et RSA SecurID

Nº 2. Accès entreprise

Votre solution de MFA doit fonctionner de manière fluide avec tous les systèmes d’accès à vos réseaux. Par exemple, si vous utilisez des réseaux privés virtuels pour chiffrer vos données et fournissez aux utilisateurs distants une connexion sécurisée sur Internet, la solution doit fonctionner avec le VPN. Elle doit également renforcer le VPN, pour éviter les violations de données et s’assurer que seuls les utilisateurs autorisés ont accès.

De même, si vous êtes susceptible d’avoir recours au Secure Socket Shell (SSH) pour accéder aux systèmes Linux distants ou au protocole RDP pour vous connecter à distance à d’autres ordinateurs, vous devez pouvoir utiliser la solution de MFA avec ces systèmes. Par ailleurs, la solution doit permettre de prévenir le piratage de comptes sur ces systèmes.

Vérifiez également que votre VPN intègre le protocole RADIUS (Remote Authentication Dial-In User Service) et communique directement avec votre solution de MFA à l’aide des protocoles RADIUS standard.

La solution de MFA prend-elle en charge les systèmes d’accès réseau actuels (ou futurs) ?

  • Accès VPN
  • Accès Wi-Fi
  • Accès SSH/RDP
  • Intégration de RADIUS

Nº 3. Méthodes d’authentification

Si votre entreprise dispose d’un répertoire LDAP (Lightweight Directory Access Protocol), la solution de MFA doit permettre une intégration avec celui-ci, soit en tant qu’agent logiciel installé sur votre réseau local, soit par LDAP sur SSL (LDAPS). Idéalement, la solution devrait également offrir des intégrations étroites avec d’autres produits de sécurité et solutions de gestion des identités, pour aider à authentifier les utilisateurs et simplifier la gestion de la sécurité des réseaux.

Recherchez aussi une solution prenant en charge les intégrations personnalisées avec les applications et les services, tant sur site que dans le Cloud. Elle doit être compatible avec l’intégration avec ces applications via une API, sans qu’il soit nécessaire d’extraire et de remplacer d’autres solutions.

La solution de MFA fonctionne-t-elle avec toutes les applications stratégiques ?

  • Intégration avec les applications Cloud
  • Intégration avec les applications sur site
  • Intégration avec les systèmes de gestion des ressources humaines (HRMS, pour Human Resource Management System)
  • Intégration d’annuaires tels qu’Active Directory (AD) et LDAP
  • Intégration avec d’autres solutions de gestion des identités telles que les gestionnaires de mots de passe et les solutions de sécurité des terminaux

Nº 4. Stratégies d’authentification flexibles

Déployez une solution de MFA qui vous permet de configurer des stratégies granulaires à différents niveaux : par utilisateur, par application, par groupe, mais aussi globalement.

Les stratégies au niveau des applications et des groupes sont importantes, car elles vous permettent de configurer des règles de protection spécifiques pour les applications sensibles ou les utilisateurs qui présentent des risques élevés. Avec des stratégies globales, vous pouvez appliquer le seuil de sécurité désiré ou un niveau de référence dans l’ensemble de l’entreprise.

Vérifiez aussi quel type de contrôles administratifs sont à disposition. La solution doit aider les administrateurs à mieux contrôler l’accès aux systèmes, applications et données d’entreprise, en particulier dans un environnement de sécurité Zero Trust.

La solution de MFA permet-elle la mise en place de stratégies d’authentification flexibles et sophistiquées au niveau granulaire ?

  • Stratégies granulaires pour des identités, applications, appareils, communautés et contextes divers
  • Permet la définition des facteurs pouvant être utilisés pour vérifier les identités
  • Flux d’authentification personnalisable
  • Console d’administration intuitive et conviviale
  • Flux basé sur les risques
  • Inclut de la documentation concernant les configurations de stratégie

Nº 5. Prise en charge des standards ouverts

La solution de MFA doit prendre en charge des standards ouverts modernes pour l’autorisation et l’authentification. Par exemple, le langage SAML (Security Assertion Markup Language) permet aux utilisateurs d’accéder à plusieurs applications Web en utilisant un seul jeu d’informations d’identification de connexion. Il peut également servir à configurer la MFA entre différents appareils. Choisissez une solution qui fonctionne avec SAML afin de fournir une mesure d’authentification supplémentaire pour les utilisateurs autorisés.

De même, le standard OAuth 2.0 (Open Authorization) offre un processus d’autorisation, de sorte que les utilisateurs peuvent se déplacer de façon fluide entre les services. Il protège également les informations d’identification de connexion des utilisateurs. Toutefois, il ne régit que l’autorisation de l’utilisateur, et non l’authentification, aussi les systèmes basés uniquement sur des mots de passe restent vulnérables aux cyberattaques. La MFA ajoute un ou plusieurs facteurs d’authentification pour vérifier l’identité de l’utilisateur avant de lui accorder l’accès, et réduit ainsi le risque d’attaques.

La solution de MFA prend-elle en charge les standards modernes et courants pour des connexions sécurisées aux applications Web ?

  • SAML
  • OpenID Connect
  • OAuth 2.0

Nº 6. Support pour les développeurs

Si votre entreprise doit étroitement intégrer les applications existantes avec la MFA, la solution doit fournir les outils nécessaires pour les développeurs, y compris les interfaces de programmation d’application (API, pour Application Programming Interface) et les kits de développement logiciel (SDK, pour Software Development Kit).

La solution de MFA fournit-elle les outils nécessaires aux développeurs pour la personnaliser et l’intégrer avec des applications personnalisées et des systèmes tiers ?

  • API d’inscription MFA et de gestion du cycle de vie
  • SDK pour les plateformes et langages de programmation principaux
  • Ligne de commande pour s’inscrire à la MFA et traiter des notifications push
  • Bibliothèques clientes pour personnaliser l’apparence de la page de MFA
  • Environnement sandbox pour tester la MFA en toute sécurité dans un contexte hors production
  • Documentation, par ex. guides pour les développeurs

Nº 7. Support de la communauté des utilisateurs

La solution de MFA doit être simple d’utilisation pour tous les utilisateurs autorisés, avec le minimum de frictions possible dans leur travail quotidien. Cela concerne à la fois les utilisateurs internes tels que les salariés (au bureau et en télétravail), et les utilisateurs externes tels que les prestataires tiers, les travailleurs indépendants, les fournisseurs, etc.

La solution doit bien fonctionner même si les utilisateurs ont des limitations, notamment des handicaps, s’ils manquent d’appareils intelligents ou encore ont un mauvais réseau mobile. Ils doivent pouvoir s’auto-enregistrer dans le système et choisir les options d’authentification qu’ils préfèrent. Enfin, il doit être facile d’intégrer de nouveaux utilisateurs, avec une résistance minimale.

La solution de MFA prend-elle en charge tous les utilisateurs autorisés qui accèdent à vos systèmes et données ?

  • Effectifs
  • Administrateurs informatiques
  • Prestataires tiers
  • Clients partenaires

Par ailleurs, tous les appareils que ces utilisateurs sont susceptibles d’utiliser sont-ils pris en charge ?

  • Ordinateurs de bureau
  • Ordinateurs portables
  • Appareils mobiles
  • Appareils sur site et distants
  • BYOD (Apportez vos appareils personnels)

Nº 8. Création de rapports

Il est essentiel de rechercher une solution de MFA présentant de solides fonctionnalités de création de rapports et d’analyse. Les rapports permettront une surveillance de votre posture de sécurité, vous aideront à identifier les lacunes et à prendre des mesures pour améliorer la situation. Les rapports sont aussi importants pour les audits et pour prouver votre conformité.

La solution de MFA fournit-elle des rapports qui vous permettent d’améliorer votre sécurité à partir des données détectées sur les menaces et de respecter les exigences en matière de conformité ?

  • Possibilité d’externaliser les événements relatifs aux autorisations vers des solutions SIEM tierces
  • Simplicité d’accès à partir de la console d’administration
  • Programmation, génération et exportation faciles
  • Rapports personnalisés et prêts à l’emploi
  • Journaux d’authentification et pistes d’audit détaillés
  • Capacité à effectuer des changements dans le système à partir des événements relatifs aux autorisations
  • Informations en temps réel concernant les tentatives de connexion malveillantes/échouées, les événements de sécurité, les appareils non sécurisés ou compromis, etc.

Nº 9. Exigences avancées

Votre solution de MFA doit satisfaire toutes les exigences fondamentales mentionnées plus haut. Si de nombreuses solutions présentent toutes ces fonctionnalités, pour choisir la meilleure, il est préférable de les comparer selon les critères d’exigences avancées indiqués ci-dessous.

Analyse des comportements

La solution de MFA utilise-t-elle une analyse des comportements pour s’adapter intelligemment, et exige-t-elle différents facteurs d’authentification ?

  • Signaux de familiarité
  • Signaux d’attaque
  • Anomalies (comportement de l’utilisateur et signaux de contexte)
  • Authentification continue

Appareils de confiance

La solution tient-elle compte de l’appareil d’authentification utilisé ?

  • État de l’appareil, y compris version, falsification, verrouillage, chiffrement, plug-in de navigateur, etc.
  • Réputation de l’appareil
  • Certificats X.509
  • Intégration avec le dispositif de gestion des appareils mobiles (MDM, pour Mobile Device Management)

Considérations d’ordre général

Sélectionnez une solution capable d’évoluer pour prendre en charge vos besoins futurs, et assurez-vous qu’elle soit hautement disponible. De plus, lorsque vous comparez les prix, ne vous laissez pas influencer par le faible coût de la configuration initiale ou de l’intégration pour arrêter votre choix. Considérez plutôt le coût total de possession ou coût TCO, qui varie en fonction des intégrations personnalisées, des contrôles d’administration, des cas d’utilisation, des coûts du support, etc. Recherchez une solution susceptible de vous aider à minimiser les coûts d’administration ou frais généraux, et qui présente un modèle de tarification clairement défini.