7 éléments à prendre en compte avant d'adopter à l'authentification multifacteur (MFA)
Les mots de passe sont complexes à mettre en œuvre. Leurs critères de création de plus en plus stricts sont censés les rendre plus sûrs, mais dans bien des cas, ils produisent l'effet inverse. Les mots de passe qui respectent toutes les exigences de sécurité sont difficiles à mémoriser, et souvent réutilisés d'un site à l'autre. Les utilisateurs les griffonnent sur des Post-it. Ils emploient des noms d'animaux de compagnie, des dates de naissance ou des numéros de téléphone familiers, tous faciles à deviner. Bref, en matière de protection de données, nous sommes loin de la panacée. Heureusement, certaines entreprises commencent à prendre conscience du danger, mais aussi à adhérer au principe selon lequel les accès doivent être dissuasifs pour les pirates et simples pour les utilisateurs autorisés. La meilleure solution consiste à opter pour l'authentification multifacteur, ou MFA (Multi-Factor Authentication).
L'authentification MFA est un excellent moyen de protéger les applications et services de vos utilisateurs finaux contre tout accès non autorisé. Voici quelques points à prendre en considération si vous envisagez de l'adopter.
1. Sensibiliser les utilisateurs
Vous déployez l'authentification multifacteur pour réduire les risques que présentent les accès reposant sur un simple mot de passe, mais certains utilisateurs pourraient trouver cette nouvelle méthode fastidieuse et craindre que ce changement leur fasse perdre un temps précieux.
Veillez donc à ce que tous les collaborateurs, du management aux utilisateurs finaux, comprennent bien les raisons de cette transition vers l'authentification multifacteur. Il est important d’obtenir l'adhésion de toute l'entreprise afin que chacun contribue activement à sa sécurité. Menez des actions de sensibilisation auprès des utilisateurs pour les aider à cerner les avantages de cette étape supplémentaire.
2. Définir les politiques MFA
Afin de ne pas alourdir le coût d'un déploiement MFA, il est recommandé de concilier sécurité et ergonomie. Vos politiques MFA doivent donc décrire quand et comment appliquer un facteur supplémentaire.
Bien que cela puisse sembler paradoxal, il est parfois judicieux d'appliquer l'authentification renforcée avec parcimonie plutôt qu'à tout-va. Pour être efficaces, les politiques axées sur les risques ne doivent déclencher une authentification renforcée qu'en cas de nécessité.
On peut par exemple imaginer une politique qui exige un deuxième facteur uniquement en cas de connexion à un service en dehors du réseau de l'entreprise (sur la base d'une série d'adresses IP) ou en dehors du pays (sur la base de données de géolocalisation). De même, il est envisageable d'appliquer une politique plus stricte à un groupe d'utilisateurs ayant accès à des données sensibles. L'authentification MFA vous permet d'exiger un deuxième facteur pour accéder aux ressources sensibles, mais pas pour consulter le calendrier des événements de l'entreprise. L'idée est de rendre cette vérification supplémentaire la plus transparente possible afin de garantir une expérience utilisateur satisfaisante, sans compromettre la sécurité.
3. S'adapter aux différentes demandes d’accès
Il arrive qu'un utilisateur dispose d'un accès à Internet mais que sa couverture mobile soit faible, voire inexistante. C'est parfois le cas à bord d'un avion proposant le Wi-Fi, dans une habitation en zone rurale, ou tout simplement au sous-sol d'un grand bâtiment en béton. Dans ces situations où les services vocaux et SMS ne sont pas disponibles, Okta Verify avec envoi de notifications ou génération de mots de passe à usage unique (OTP) constitue une alternative intéressante, le chiffrement des communications s'opérant sur la connexion Internet du téléphone.
Les dispositifs matériels qui génèrent des mots de passe à usage unique à durée limitée (TOTP) ou basés sur des événements ne nécessitent aucun canal de communication. Ils sont aussi plus difficiles à pirater ou à copier. Mais au-delà du coût de déploiement, ces terminaux constituent une contrainte supplémentaire pour les utilisateurs, qui peuvent les oublier chez eux ou même les perdre. Cette solution n’est donc pas forcément judicieuse pour les sous-traitants à court terme et les entreprises à forte rotation d'effectifs.
En ce qui concerne les facteurs MFA, un grand nombre de possibilités s'offrent à vous pour couvrir une multitude de scénarios. Optez pour une configuration adaptée à votre entreprise, tout en sachant que, s'il n'existe pas de solution standard (il y en a rarement), l'application de plusieurs politiques et facteurs est le meilleur moyen de gérer toutes les situations.
4. Peser le pour et le contre de l'envoi de mots de passe à usage unique par SMS
Les SMS sont très pratiques et, avec la multiplication des téléphones mobiles et tablettes, ils sont devenus un moyen de communication courant, notamment pour l'envoi de mots de passe à usage unique. S’ils sont généralement considérés comme suffisamment sécurisés dans ce cas de figure, c'est en partie dû au fait que l'infrastructure sous-jacente est à la fois propriétaire et opaque.
Des études montrent cependant que la sécurité des SMS est lacunaire, et pas seulement dans le cas des vulnérabilités documentées. En y ayant recours, vous faites confiance aux bonnes pratiques de sécurité des opérateurs de télécommunications, mais le risque de compromissions par usurpation d'identité ou social engineering subsiste. Bien souvent, il n'est pas très compliqué pour un pirate de transférer votre numéro sur un appareil qu'il contrôle, et d'accéder ainsi à vos SMS et mots de passe à usage unique.
Si la CNIL déconseille d'utiliser les SMS pour ces raisons précises, il vous incombe néanmoins d'évaluer votre exposition aux risques en fonction de vos utilisateurs, de vos cas d'usage et des données à protéger. Après tout, l'authentification multifacteur par SMS n'est pas parfaite, mais elle vaut mieux que son absence totale.
5. Étudier attentivement les exigences de conformité
La plupart des normes de conformité IT telles que PCI DSS, SOX et HIPAA exigent des contrôles d'authentification stricts, ce qui peut justifier un déploiement MFA. Cela peut paraître évident, mais si vous voulez vous conformer à ces normes, vous devez en cerner toutes les exigences afin de pouvoir adapter votre configuration et vos politiques en conséquence.
Par exemple, les normes PCI et HIPAA nécessitent une authentification forte, avec application d’au moins deux des trois facteurs suivants : un facteur de connaissance, un facteur de possession et un facteur de biométrie. La norme SOX est moins centrée sur la technologie, mais en cas d’audit, vous devez prouver que les données financières et comptables de votre entreprise sont sécurisées.
La conformité IT nécessite de mettre en œuvre les normes pertinentes, mais aussi de prouver que leurs principes sont respectés. Documentez vos configurations et implémentations afin de pouvoir démontrer rapidement et avec assurance que toutes les conditions sont remplies. Vous vous en féliciterez plus tard, et votre entreprise vous en saura gré.
6. Prévoir les mesures à prendre en cas de perte d'un terminal
Dans le cadre d'un déploiement MFA classique, le deuxième facteur d'authentification est un « facteur de possession » (le premier étant un « facteur de connaissance » et le troisième un « facteur de biométrie »). Dans le cas d'un SMS, d'un message vocal ou d'une application d'authentification comme Okta Verify ou Google Authenticator, l'utilisateur se sert de son téléphone. Et dans le cas d'un jeton physique de type YubiKey ou RSA, il est en possession du dispositif en question. Or, tout ce qui est en sa possession peut être égaré.
Votre support IT doit donc être assorti d'une procédure de gestion des terminaux perdus. Pensez à inclure les appareils utilisés pour le MFA, et veillez à ce que la perte d'un équipement entraîne :
-
l'expiration des sessions en cours et une demande de réauthentification de l'utilisateur ;
-
la dissociation de l'équipement du compte utilisateur et des droits d'accès correspondants ;
-
la suppression à distance des informations de l'entreprise sur les terminaux mobiles, si nécessaire.
Il est également important d’auditer les activités du compte utilisateur avant la perte du terminal, afin de détecter toute activité inhabituelle. En cas d'événement suspect, recherchez les éventuelles brèches et faites-les remonter, le cas échéant.
Une fois les premières mesures de sécurité prises, donnez à l'utilisateur les moyens de se remettre au travail, en lui fournissant un terminal de remplacement ou une autre méthode de connexion. Un appel au service d’assistance IT pour vérifier son identité peut, par exemple, lui permettre de rester productif en attendant l'implémentation des facteurs de remplacement.
7. Se préparer à réexaminer et réviser la configuration
Rares sont les politiques et déploiements complexes qui conviennent parfaitement d'emblée. Sachant qu'un changement de processus peut potentiellement impacter tous les collaborateurs, il est conseillé d'évaluer l'efficacité d'une solution MFA déployée et utilisée, pour ensuite affiner les règles suivant les observations effectuées.
Familiarisez-vous en amont du processus avec la fonctionnalité d'audit, qui vous sera très utile pour résoudre les problèmes de configuration et ajuster les politiques comme il convient. Une fois votre MFA déployé, faites appel à des outils d'audit pour vérifier ponctuellement le taux d'adoption et l'usage. Il peut également être judicieux de donner la possibilité aux utilisateurs de soumettre des commentaires.
Et si les utilisateurs ne prennent pas toujours le temps de rédiger un feedback écrit, une trace d'audit vous offrira une certaine visibilité sur leur expérience. Ont-ils dû s'y reprendre à trois fois pour saisir leur mot de passe à usage unique ? Ont-ils abandonné ? Ces difficultés peuvent être liées à une mauvaise configuration, à un manque de formation, ou tout simplement à un scénario qui n'avait pas été envisagé dans le plan de déploiement initial.
Utiliser des outils d'audit et encourager les collaborateurs à donner leur avis est le meilleur moyen d'assurer à toutes les parties prenantes que le système fonctionne comme prévu et que les nouvelles politiques de sécurité sont bien adoptées.
L'authentification multifacteur adaptative, un plus pour l'entreprise
Ces conseils constituent un excellent point de départ, et si l'authentification MFA graduelle peut vous permettre de contrôler précisément quand et comment appliquer l'authentification multifacteur, sa configuration exige toutefois mûre réflexion. Même avec des politiques et critères bien définis, il se peut que vous souhaitiez prendre des décisions en direct, en fonction des changements de contextes liés à l'utilisateur ou au terminal.
Si vous souhaitez effectuer des changements dynamiques, testez la solution d'authentification multi-facteurs contextuelle d'Okta, qui identifie les modèles d'accès, puis adapte la politique à chaque utilisateur ou groupe.
Ainsi, un deuxième facteur d'authentification peut être demandé périodiquement aux collaborateurs qui se déplacent et consultent régulièrement leurs e-mails depuis l'étranger, et systématiquement à ceux qui, en temps normal, ne se déplacent jamais. Les politiques axées sur les risques peuvent également s’appliquer en cas d'événement suspect. Citons par exemple l’activation de l'authentification forte lors de tentatives d'accès à des ressources via un proxy non autorisé, ou encore le blocage automatique des adresses IP malveillantes connues.
L'authentification multifacteur adaptative est une solution efficace pour définir automatiquement des politiques dynamiques au fil du temps. Concrètement, elle offre à votre entreprise le niveau de sécurité exigé et la souplesse nécessaire pour traiter les utilisateurs de manière individuelle.
