Récapitulatif des fonctionnalités introduites dans le cadre de l'engagement Okta Secure Identity Commitment pour protéger notre infrastructure, nos clients et les clients de nos clients.
L'identité est attaquée — par des groupes de ransomware, des acteurs étatiques, des initiés malveillants et d'autres cybercriminels — et, ces dernières années, elle est devenue le principal point d'entrée de la sécurité d'entreprise pour toutes les applications professionnelles et grand public.
Par conséquent, aucune stratégie ou posture de sécurité n'est complète sans des protections complètes contre les menaces liées à l'identité.
En tant que leader indépendant dans le domaine de l'identité, Okta prend cette responsabilité très au sérieux. En février 2024, nous avons lancé l'Okta Secure Identity Commitment pour :
- Proposer des produits et services d’identité sécurisés de pointe
- Renforcer notre infrastructure d’entreprise
- Promouvoir les bonnes pratiques auprès des clients pour optimiser leur protection
- Encourager notre secteur à renforcer la protection contre les attaques ciblant l’identité
Dans cet article, nous souhaitons prendre un moment pour partager une partie du travail que nos équipes Produit, Ingénierie, Sécurité et Technologie d'entreprise ont réalisé pour améliorer Okta Customer Identity Cloud, en particulier pour sécuriser :
- Notre infrastructure
- Nos clients
- Les clients de nos clients
Sécurisation de notre infrastructure
Nous reconnaissons que la continuité de l'activité a un impact direct sur la sécurité de nos clients et, plus fondamentalement, sur leur capacité à mener leurs activités et à servir leurs utilisateurs.
De manière générale, nous appliquons à l'ensemble de notre personnel, de nos processus et de nos technologies les mêmes standards de sécurité rigoureux que ceux de nos produits orientés client — en mettant l'accent sur une approche holistique et intégrée de la sécurité.
De plus, nous accélérons nos investissements pour renforcer davantage nos systèmes auxiliaires (c'est-à-dire adjacents à la production) et d'entreprise. Vous trouverez une liste complète des investissements et activités divulgués publiquement dans le Okta Secure Identity Commitment livre blanc.
Protection de nos clients
Les comptes d'administrateur sont régulièrement la cible d'attaques de type usurpation de compte (ATO), en raison des privilèges élevés associés à ces rôles.
Pour aider à se prémunir contre les tentatives d'usurpation de compte (ATO) ciblant les rôles à privilèges, nous avons introduit plusieurs nouvelles fonctionnalités.
Exiger l'authentification multifacteur pour tous les administrateurs du tableau de bord Auth0
L'authentification multifacteur (MFA) avec des facteurs secondaires forts est un moyen éprouvé de renforcer considérablement les défenses contre les tentatives d'usurpation de compte (ATO), que ces tentatives utilisent des identifiants connus (c'est-à-dire volés) ou des techniques de force brute.
Auparavant, l'authentification multifacteur était une exigence facultative pour les administrateurs Auth0, afin d'éviter d'imposer une friction d'authentification supplémentaire aux organisations à l'aise de fonctionner sans cette couche de défense. Cependant, en réponse à l'évolution du paysage des menaces, l'authentification multifacteur est désormais obligatoire pour tous les administrateurs disposant d'une connexion basée sur un nom d'utilisateur/mot de passe ou d'une authentification sociale tierce.
Renforcer le contrôle de la sécurité et le support à la gouvernance avec Auth0 Teams
Auth0 Teams est une plateforme pour simplifier la gestion de vos tenants et des membres de vos tenants tout en permettant une visibilité plus claire sur le tableau de bord Auth0. En approfondissant un peu plus, Auth0 Teams offre :
- Visibilité sur les tenants avec des détails pertinents (région, type de tenant, etc.)
- Visibilité et contrôle des membres du tenant (qui a accès à quel tenant avec quel rôle)
- Possibilité d'appliquer l'authentification unique (SSO) avec votre propre fournisseur d'identité pour l'accès de tous les membres de l'équipe et du tenant à Auth0
- La possibilité de restreindre la création de tenants sur une équipe donnée
- Possibilité de gérer les détails de l'abonnement et de la facturation (pour les abonnements en libre-service)
Avec Auth0 Teams au-dessus de l'adhésion au compte de tenant, c'est le point unique de visibilité et de contrôle pour un utilisateur afin de créer, lire, mettre à jour et supprimer tous les détails au sein de l'adhésion au compte de tenant.
La liaison ASN dans le portail de l'administrateur CIC
En réponse à des formes d'authentification plus sécurisées, les adversaires ciblent les cookies de session comme moyen alternatif d'accéder aux applications et environnements protégés.
Généralement extraits des navigateurs via des voleurs d'informations et d'autres malware, ou par le biais d'attaques de type « adversaire au milieu », les cookies de session sont comme des tickets d'or qui permettent aux cybercriminels d'usurper l'identité d'utilisateurs légitimes sans déclencher d'alertes. Si un attaquant vole un cookie de session et l'injecte dans son navigateur, il peut souvent accéder à la même session que l'utilisateur légitime tant que la session reste active.
Bien que le détournement de session puisse être étendu dans une certaine mesure, l'approche est plus susceptible d'être utilisée dans le cadre d'une attaque ciblée contre des utilisateurs particuliers (par exemple, des administrateurs) dans des organisations de grande valeur.
Pour aider à prévenir le détournement de sessions établies, Okta révoquera automatiquement une session Okta console d'administrtaion si l'ASN (Autonomous System Number) observé lors d'une requête API ou web diffère de l'ASN enregistré lors de l'établissement de la session.
Lorsqu'une telle condition est remplie — qu'un utilisateur administrateur légitime ait changé d'emplacement (par exemple, s'est connecté à domicile, puis s'est reconnecté depuis un café) ou qu'un attaquant tente de détourner une session — l'utilisateur administrateur légitime devra se reconnecter.
Sécurisation des clients de nos clients
Dans un contexte business-to-consumer (B2C), une usurpation de compte (ATO) réussie peut donner à un attaquant l'accès à des ressources (par exemple, des points de fidélité), à des privilèges (par exemple, la possibilité d'effectuer des achats, en particulier de produits en quantité limitée) et à de précieuses informations démographiques et personnelles identifiables (PII).
Dans un contexte business-to-business (B2B), une usurpation de compte (ATO) réussie pourrait donner à un attaquant l'accès à des données très sensibles, entraînant une brèche avec de lourdes sanctions réglementaires et contractuelles pour l'organisation ciblée. Dans des cas extrêmes, la compromission d'un compte pourrait entraîner une perturbation des activités.
Malheureusement, une mauvaise hygiène de sécurité, notamment l'utilisation de mots de passe simples, courants ou réutilisés, expose de nombreux comptes utilisateur aux attaques automatisées basées sur des mots de passe.
De plus, la sécurisation des identités client — et des droits et privilèges associés — ne s'arrête pas à l'authentification. Si un attaquant vole un cookie de session et l'injecte dans son navigateur, il peut souvent accéder à la même session que l'utilisateur légitime tant que la session reste active.
Pour lutter contre ces menaces, nous avons introduit un certain nombre de nouvelles fonctionnalités de sécurité au sein de Customer Identity Cloud.
Détection de robots de quatrième génération
La détection de robots, avec Okta AI, s'est avérée capable de filtrer près de 80 % des robots ciblant les systèmes d'authentification. Il est important de noter que ces capacités défensives sont obtenues sans introduire de friction inutile pour l'utilisateur — en entraînant soigneusement et en affinant continuellement l'IA au cœur de la Bot Detection, nous pouvons garantir que les utilisateurs humains sont rarement confrontés à un CAPTCHA, préservant ainsi des expériences fluides.
De plus, il existe des preuves considérables que cette efficacité est un moyen de dissuasion très fort, car certains de nos plus grands clients ont vu leur moyenne sur 90 jours de trafic de bots diminuer de près de 90 % après avoir activé cette fonctionnalité Attack Protection. La dernière version de Bot Detection intègre des données tierces pour améliorer encore son efficacité contre les bots.
Passkeys
Les organisations B2B et B2C sont particulièrement sensibles aux frictions dans les flux d'authentification des clients, car des frictions inutiles peuvent nuire aux conversions et aux revenus.
Adaptive MFA et authentification renforcée ont contribué à équilibrer la commodité et la sécurité, mais les passkeys se sont déjà avérées offrir une expérience utilisateur sécurisée, pratique et familière qui surpasse à bien des égards la convivialité des autres approches.
Basées sur les normes de FIDO Alliance et du World Wide Web Consortium (W3C), les passkeys remplacent les mots de passe par des paires de clés cryptographiques, ce qui les rend résistant au phishing. Ils peuvent être accessibles (c'est-à-dire utilisés) de la même manière que les utilisateurs déverrouillent leurs terminaux mobiles — généralement par biométrie ou en entrant le code d'accès du terminal.
Avec les passkeys dans Okta Customer Identity Cloud, les créateurs d'applications et les équipes numériques peuvent réduire les frictions de connexion et renforcer les protections contre les ATO (Account Takeover).
API de gestion de session
Les clés USB constituent une étape importante vers l'élimination des mots de passe et contribueront à la lutte contre les prises de contrôle de comptes. Cependant, comme indiqué ci-dessus, les attaquants se concentrent aujourd'hui davantage sur le détournement de session, une menace indépendante de la sécurité de l'authentification.
Notre nouvelle Session Management API permet aux entreprises et aux développeurs de mieux contrôler l'expérience post-authentification de leurs utilisateurs finaux en donnant un accès centralisé à la liste et à la révocation des sessions utilisateur dans toutes les applications. Dans le cas où une entreprise soupçonne qu'une session a été détournée, elle peut révoquer la session de manière préemptive, protégeant ainsi ses clients et son organisation.
Restez informé de l'Okta Secure Identity Commitment
Okta s'engage à être un leader de l'industrie dans la lutte contre les attaques basées sur l'identité, et nous continuerons à évoluer avec la technologie et le paysage des menaces.
Pour rester informé des derniers développements et accéder à des ressources supplémentaires — y compris une liste de contrôle de la sécurité de l'identité — veuillez consulter la page de destination de l'engagement Okta Secure Identity Commitment.
Ces documents et toutes les recommandations qu'ils contiennent ne constituent pas des conseils juridiques, de confidentialité, de sécurité, de conformité ou commerciaux. Ces documents sont fournis à titre d'information générale uniquement et peuvent ne pas refléter les développements juridiques, de confidentialité et de sécurité les plus récents ni tous les problèmes pertinents. Il est de votre responsabilité d'obtenir des conseils juridiques, de sécurité, de confidentialité, de conformité ou commerciaux auprès de votre propre avocat ou autre conseiller professionnel et vous ne devez pas vous fier aux recommandations contenues dans le présent document. Okta n'est pas responsable envers vous de toute perte ou de tout dommage pouvant résulter de votre implémentation de toute recommandation contenue dans ces documents. Okta ne fait aucune déclaration, garantie ou autre assurance concernant le contenu de ces documents. Des informations concernant les assurances contractuelles d'Okta à ses clients sont disponibles sur okta.com/agreements.
