Ces dernières années, les cyberattaques ont considérablement augmenté. Les violations de données et les attaques de phishing sont devenues des menaces courantes pour les particuliers et les entreprises. Selon le Centre de signalement des crimes sur Internet du FBI, les organisations ont perdu 12,5 milliards de dollars à cause de la cybercriminalité rien qu'en 2023, soit une augmentation de près de 10 milliards de dollars par rapport à 2019.
Étant donné qu'il n'existe actuellement aucun moyen de protéger la récupération de compte et l'enregistrement de l'authentificateur contre les attaques de phishing, nous avons créé une solution personnalisable pour combler ces lacunes et protéger nos clients.
Nous appliquons l'assurance de l'authentification à deux facteurs (2FA) pour l'inscription et la désinscription des authentificateurs. Bien que cela présente une solide couche de sécurité, cela permet toujours la possibilité d'hameçonnage.
La récupération de compte et les opérations de mot de passe en libre-service sont contrôlées via des règles de politique de mot de passe. L'implémentation actuelle n'autorise qu'une personnalisation limitée de l'assurance et, encore une fois, aucun moyen de garantir la résistance au phishing.
Quelle est la politique de gestion des comptes Okta ?
Avec toutes les personnalisations et les capacités des politiques d'authentification, nous nous sommes dit : « Pourquoi ne pas les étendre aux flux de récupération et d'inscription ? » Okta a réalisé de nombreux investissements afin d'accroître la personnalisation et la sécurité des politiques d'authentification. Réutiliser ces capacités nous a semblé une évidence. Voici la politique de gestion des comptes Okta (OAMP).
Nous permettons désormais aux administrateurs de définir des règles interdisant les opérations d'authentificateur si les contraintes de politique ne peuvent pas être satisfaites. Auparavant, les administrateurs ne pouvaient pas explicitement interdire l'inscription ou la désinscription de l'authentificateur via des appareils non gérés ou à des utilisateurs qui ne satisfaisaient pas aux exigences d'assurance personnalisées.
Nous avons également exploité et étendu le langage d'expression Okta (EL) existant pour offrir aux administrateurs des contrôles précis lors de la définition des règles. Les règles actuelles de politique de mot de passe ne peuvent pas prendre en charge les expressions EL personnalisées. Avec OAMP, vous pouvez autoriser la récupération de compte à partir d'un appareil géré via un authentificateur résistant au phishing tel que Okta FastPass.
Intégration et récupération sécurisées
En utilisant les nouvelles fonctionnalités d'Okta EL, les administrateurs peuvent personnaliser différentes contraintes d'assurance pour différentes actions. Par exemple, cette expression EL — accessRequest.operation == ‘recover’ || accessRequest.operation == ‘unlockAccount’ — s'appliquera uniquement aux opérations impliquant la réinitialisation d'un mot de passe ou le déverrouillage d'un compte.
Il est désormais possible d'intégrer en toute sécurité un nouvel utilisateur en tirant parti de l'option de vérification d'identité dans OAMP, comme on peut le voir avec la nouvelle option « Identity verification ». Un utilisateur en cours d'intégration sera invité à prouver son identité avec une pièce d'identité valide émise par le gouvernement et un selfie de contrôle de présence. Cela fournit un niveau d'assurance supplémentaire avant qu'un utilisateur n'intègre son compte et n'inscrive des authentificateurs.
Des fournisseurs tiers, tels que Persona, peuvent être configurés dans une organisation Okta et utilisés dans une règle OAMP pour appliquer la vérification de l'utilisateur avant toute opération de gestion de compte ou d'authentificateur. La vérification d'identité peut également être étendue aux cas d'utilisation de récupération où les utilisateurs peuvent être tenus de prouver leur identité avant de modifier leurs authentificateurs.
Sécurité renforcée dès le premier jour
Maintenant que les administrateurs peuvent vérifier en toute sécurité les utilisateurs eux-mêmes dès le premier jour, nous pouvons appliquer des contrôles de sécurité stricts tout au long de leur parcours. Avec l'augmentation des attaques d'ingénierie sociale, il est essentiel de sécuriser tous les flux avec une résistance au phishing. La politique de gestion des comptes d'Okta permet aux administrateurs d'accomplir cela.
En savoir plus sur la politique de gestion des comptes Okta.
