Réévaluation du contexte avec FastPass

Les cyberattaquants évoluent et développent constamment des méthodes plus sophistiquées. Les attaques de phishing et d'ingénierie sociale sont en augmentation, et les attaquants s'adaptent aussi vite que les organisations mettent en œuvre des authentificateurs plus avancés. Une stratégie émergente consiste à voler les jetons de session directement depuis les navigateurs web des utilisateurs, ce qui représente un nouveau défi dans la lutte constante pour la sécurité numérique.

Chez Okta, empêcher les attaquants d'accéder aux informations sensibles sur les appareils de nos utilisateurs est une priorité absolue. Okta FastPass contribue à déjouer ce type d'attaques en utilisant la réévaluation du contexte.

Qu'est-ce que la réévaluation du contexte et quels sont ses avantages ?

FastPass effectue silencieusement des contrôles de sécurité chaque fois que vous accédez à une nouvelle application et empêche tout accès supplémentaire si Okta détermine que l'identité ou la posture de l'appareil a changé de manière significative, ce qui peut indiquer une session compromise. Cette capacité à gérer les changements de risque liés aux appareils et aux utilisateurs offre un avantage considérable en empêchant les sessions volées d'accéder aux applications en aval.

Comment configurer Okta FastPass avec une réévaluation du contexte ?

Étape 1 : Ajouter Okta Verify comme méthode d'authentification.

Étape 2 : Créer une stratégie d'inscription de l'authentificateur. Dans la section « Authentificateurs éligibles », assurez-vous qu'Okta Verify est défini sur « Requis ».

Étape 3 : Créer une stratégie d’authentification et affecter des applications.

1. Ajoutez une règle de politique d'authentification avec les paramètres suivants.
   1. « État de l'appareil » est défini sur « Enregistré ».
   2. « L'utilisateur doit s'authentifier avec » est défini sur « Possession ».
   3. Lacase à cocher « Résistant au phishing » est cochée.
   4. La case à cocher « Protégé par le matériel » est cochée (recommandé).
   5. Vous pouvez également définir "L'appartenance au groupe de l'utilisateur inclut" à un groupe spécifique à des fins de test.
   6. Dans la section “Fréquence de réauthentification”, définissez “Réauthentifier après” sur deux heures. Cette valeur peut être modifiée en fonction des besoins de l'entreprise.
2. Modifiez la règle générale par défaut et définissez « Accès » sur « Refusé ».

Veuillez suivre les étapes énumérées à l'étape 4 pour vous assurer que vos utilisateurs ne sont pas bloqués.

3. Ajouter une ou des applications en aval à la politique.
   1. Sélectionnez l'onglet « Applications », puis cliquez sur « Add app ».
   2. Cliquez sur « Add » pour chaque application que vous souhaitez ajouter à cette politique.
   3. Cliquez sur « Fermer ».

Étape 4 : Vérifiez à l'aide de l'outil Access Testing Tool (recommandé)

L'outil de test d'accès vous permet d'exécuter des simulations de requêtes d'utilisateurs réels pour accéder à une application. Le résultat indique si l'utilisateur serait autorisé à accéder à l'application et quelles règles et quels paramètres de votre configuration ont été mis en correspondance pour créer les exigences d'authentification et d'inscription.

1. Dans la console d'administration, accédez à « Rapports > Outil de test d'accès ».
2. Application: Sélectionnez l’application utilisée à l’étape 3.
3. Nom d'utilisateur : Saisissez le nom d'utilisateur d'un utilisateur dont vous souhaitez tester l'accès. Sélectionnez-le dans la liste lorsqu'il apparaît.
4. Définir l'état de l'appareil (Device State) sur « Registered ».
5. Modifiez les autres options selon vos besoins
6. Cliquez sur « Exécuter le test ».
    

Passez en revue les résultats dans la section « Résultats » de la page. Dans la section « Stratégies correspondantes », toutes les stratégies qui correspondent aux critères apparaissent si le test a réussi. Dans l’option « Parcours de connexion » , sélectionnez la vignette « Authentifier ». Cette option indique quelles stratégies contenaient les authentificateurs et les exigences d’authentification qui correspondaient aux critères que vous avez configurés dans le simulateur. Ici, vous devriez voir la stratégie d’authentification créée à l’étape 3.

Étape 5. Ajouter des applications en aval supplémentaires (Add additional downstream applications) à la politique d'authentification (facultatif).

Étape 6 : Ajouter une stratégie Device Assurance (recommandé).

Les contrôles d'assurance des appareils comprennent des ensembles d'attributs d'appareil liés à la sécurité. En ajoutant des contrôles d'assurance des appareils aux règles de politique d'authentification, vous pouvez établir des exigences minimales pour les appareils ayant accès aux systèmes et aux applications de votre organisation.

  Étape 6.1 : Ajouter une stratégie d’assurance des appareils.

   Étape 6.2 : Ajouter l'assurance de l'appareil à une politique d'authentification.

Voyons maintenant la réévaluation du contexte en action.

Et après?

Okta s'engage à améliorer continuellement la façon dont FastPass peut offrir encore plus de sécurité aux organisations. Nous collaborons actuellement avec les fournisseurs de navigateurs sur une solution standard pour empêcher le vol des cookies de session et leur utilisation sur un autre appareil que l'appareil d'origine auquel ils ont été accordés.

—

Vous avez une question sur FastPass ou Device Security ? Rejoignez le forum de la communauté Okta Devices and Mobility et lancez une conversation.

Vous avez des questions sur cet article de blog ? Contactez-nous à l'adresse eng_blogs@okta.com.

Consultez d’autres Blogs sur l’ingénierie d’Okta pour approfondir vos connaissances.

Prêt à rejoindre notre équipe d’ingénieurs aussi passionnés qu’exceptionnels ? Consultez notre page Carrières.

Libérez le potentiel d'une gestion des identités moderne et sophistiquée pour votre organisation.

Contacter le service commercial pour plus d’informations.