Oktane fut un vrai succès ! Oktane fut un vrai succès ! Visionner nos sessions à la demande. →
+33 1 85 64 08 80 Recherche

Risk-Based Authentication: Ce que vous devez prendre en compte

Mis à jour: 14 septembre 2024 Temps de lecture: ~

Sujette

Threat Detection, Cybersecurity, Phishing Resistance

Sommaire

 

Cet article a été traduit automatiquement.

 

L'authentification basée sur le risque évalue la probabilité de compromission du compte pour chaque connexion.

Si la demande semble inhabituelle ou suspecte, l'utilisateur doit faire quelque chose de plus pour obtenir l'accès. Des facteurs supplémentaires (comme la biométrie) garantissent que la demande provient d'un utilisateur valide.

Pourquoi cela vous aiderait-il ? Imaginez le scénario suivant.

Quelqu'un veut accéder à votre serveur. Cette personne possède le bon nom d'utilisateur et le bon mot de passe, mais quelque chose dans la demande semble inhabituel. La personne se connecte à partir d'un pays dans lequel vous ne faites pas affaire, par exemple. Ou bien la personne demande l'accès à un dossier que vous êtes le seul à pouvoir consulter.

L'authentification basée sur le risque vous aide à évaluer et à gérer les dangers inhérents à la demande.

Qu'est-ce que Risk-Based Authentication?

L'authentification basée sur le risque utilise l'intelligence en temps réel pour obtenir une vue holistique du contexte de chaque connexion.

Lorsqu'un utilisateur tente de se connecter, une solution d'authentification basée sur le risque analyse des facteurs tels que les suivants :

  • terminal. L'utilisateur se trouve-t-il sur un ordinateur connu ? Ou bien l'utilisateur se trouve-t-il sur un terminal mobile qui ne s'est jamais connecté auparavant ?
  • Lieu de travail. L'utilisateur se trouve-t-il dans le même bâtiment que le serveur ? Ou bien la personne se trouve-t-elle dans un autre fuseau horaire ?
  • Réseau. La personne se connecte-t-elle à partir d'une adresse IP familière ? Ou ces données sont-elles étrangères ?
  • Sensibilité. Le dossier demandé est-il crucial pour l'entreprise ? Ou bien les technologies de l'information sont-elles un élément d'information relativement peu important ?

Sur la base de tous ces facteurs, le système prend une décision. L'utilisateur peut soit

  • Entrez normalement. La personne utilise un système familier, tel qu'un mot de passe, pour obtenir un accès.
  • Preuve de l'offre. La personne doit fournir un autre formulaire de vérification pour pouvoir entrer.

Les systèmes sophistiqués utilisent ces mêmes processus lorsque des fichiers sont demandés. Un utilisateur peut être autorisé à accéder facilement à l'ensemble du système, mais lorsqu'il demande à lire/écrire un fichier important, le système procède à nouveau à des vérifications. 

Avantages & Considérations

Ne modifiez pas les processus d'authentification sur un coup de tête. Mettez soigneusement en balance les avantages (tels qu'une sécurité accrue) et les inconvénients (tels qu'une charge de travail supplémentaire pour l'utilisateur) et prenez une décision judicieuse pour votre entreprise.

Les avantages connus associés à l'authentification basée sur le risque sont les suivants :

  • Utilisation généralisée. De nombreuses agences gouvernementales utilisent et encouragent l' authentification basée sur le risque. Les consommateurs ont probablement entendu parler de cette technique ou l'ont utilisée par le passé, elle ne devrait donc pas les surprendre.
  • Peu de déploiements. Si vous configurez correctement votre système, l'informatique ne se mettra pas toujours en branle. Par exemple, MasterCard estime que 80 % des transactions devraient être considérées comme présentant un risque faible, sans que les consommateurs n'aient à prendre de mesures supplémentaires.
  • Il y a beaucoup de danger. Les piratages sont coûteux. Lors d'un incident publié, un pirate informatique a eu accès à 12 millions de données de cartes de crédit non cryptées. Les consommateurs vous reprocheront d'avoir autorisé ce type de brèche.
  • Conformité avérée. Certaines entreprises, dont celles du secteur bancaire, doivent démontrer qu'elles respectent des règles strictes en matière de sécurité. L'adoption des principes de l'authentification basée sur le risque peut vous aider à prouver que vous accordez la priorité à la sécurité.

Les inconvénients potentiels à prendre en compte lors du déploiement d'une solution d'authentification basée sur le risque sont les suivants :

  • Planification du déploiement. Vous devez développer, tester et déployer ces systèmes avec soin pour que votre projet ait un budget prévisible.
  • Réflexions approfondies. Si vous ne configurez pas correctement vos systèmes, vous risquez de bloquer l'accès de l'utilisateur à l'application à laquelle il doit accéder. Si vous utilisez des méthodes trop laxistes, vous risquez de laisser entrer tout le monde.
  • utilisateur final Formation. Certains utilisateurs peuvent s'opposer à vos mesures de sécurité. Il se peut que vous entendiez des plaintes de personnes occupées qui ne peuvent pas accéder à leur application, surtout si votre système est nouveau. Veillez à communiquer à l'avance les modifications apportées à l'expérience de connexion.

Discutez soigneusement de ces avantages et inconvénients avec votre équipe avant de lancer votre programme. 

Risque élevé ou faible ? Les réactions du système expliquées

Comment votre système détermine-t-il si une connexion présente un risque élevé ou faible ? Un exemple tiré de la vie réelle peut rendre le processus plus clair.

Imaginez que l'on frappe à votre porte tard dans la nuit. Vous hésitez peut-être à ouvrir le service informatique, mais votre ami vous appelle de l'extérieur. En reconnaissant leur voix, vous serez plus enclin à ouvrir la porte et à les laisser entrer.

Une solution d'authentification basée sur le risque fonctionne à peu près de la même manière. Si un utilisateur tente de se connecter à l'adresse log avec un terminal inconnu du système, le service informatique n'autorisera pas l'accès tant que l'utilisateur n'aura pas vérifié son identité auprès d'un facteur supplémentaire.

Ce facteur supplémentaire pourrait impliquer :

  • Un code PIN permanent ou temporaire.
  • Répondre à une question de sécurité.
  • Données biométriques, telles que les empreintes digitales. 
  • Codes délivrés par smartphone. 

Capacités clés à rechercher

De nombreuses entreprises proposent des fonctions d'authentification basée sur le risque. Ils ne sont pas tous égaux.

Lorsque vous faites vos achats, assurez-vous que vos solutions ont.. :

  • Accès aux données sur les menaces en temps réel afin d'identifier les risques potentiels pour la sécurité.
  • l'analyse du contexte de l'utilisateur, y compris son terminal, sa localisation et sa connexion au réseau.
  • La possibilité pour l'utilisateur de saisir un facteur d'authentification supplémentaire pour prouver son identité dans des scénarios à risque.
  • Configuration politique permettant à l'administrateur de mettre en place des procédures d'authentification plus sûres que la saisie de tbd.

Mettre en œuvre Risk-Based Authentication avec Okta

OktaL'adaptatif authentification multifacteur (Adaptive MFA ) analyse le contexte de l'utilisateur au moment de la connexion. Lorsque l'utilisateur tente de se connecter, l'authentification basée sur le risque (Risk-Based Authentication), à la une de Adaptive MFA, attribue un score de risque à la tentative sur la base de deux indices, tels que l'emplacement, le terminal et l'adresse IP de l'utilisateur. En fonction du niveau de risque, les solutions peuvent refuser l'accès ou inviter l'utilisateur à soumettre un facteur d'authentification supplémentaire pour se prémunir contre une brèche potentielle.

En associant l'informatique à Okta, vous disposez d'un outil d'évaluation des risques encore plus performant. ThreatInsight vous permet de disposer d'un outil d'évaluation des risques encore plus performant, puisque ThreatInsight analyse des données provenant d'un grand nombre de sources afin de découvrir des risques qui auraient pu causer des problèmes.

Le service informatique peut, par exemple, attribuer un niveau de risque plus élevé aux adresses IP qui ne semblent pas suspectes mais qui ont été signalées comme telles sur le réseau de Okta. ThreatInsight permet également d'éliminer complètement le tbd en trois étapes simples :

     1. Un nom d'utilisateur est saisi lors de la connexion.

     2. ThreatInsight analyse le contexte de cette connexion particulière et évalue le risque.

     3. Si l'utilisateur a essayé d'obtenir un accès dans un environnement à faible risque, il peut simplement appuyer sur une notification push d'Okta Verify pour le faire.

Contrairement à tbd, l'authentification basée sur le risque vous indique tout ce que vous devez savoir sur l'utilisateur. IT facilite l'accès des bonnes personnes aux bons niveaux d'accès.

Références

Marché mondial Risk-Based Authentication, 2019 à 2014 : Analysé par offre, déploiement, utilisateur final, secteur vertical et géographie. (Juillet 2019). Globe Newswire.

Avantages d'une stratégie Risk-Based Authentication pour le MasterCard SecureCode. (2011), MasterCard.

Protéger les données avec les techniques avancées de Risk-Based Authentication . (Novembre 2013). Le Wall Street Journal.

Risk-Based Authentication en ligne à l'aide de la biométrie comportementale. (juillet 2013). ResearchGate.

Continuez votre parcours dans l‘univers de l’identité

Essayez Okta gratuitement, ou contactez notre équipe pour discuter de vos besoins spécifiques.

Découvrir
Nous contacter