Gestion des identités et authentification multifacteur : des technologies clés pour garantir une sécurité Zero-Trust
Dans un monde dynamique où la mobilité des utilisateurs représente un défi permanent pour la sécurité, l’authentification multifacteur (MFA) est aujourd’hui essentielle pour déployer un réseau Zero-Trust.
Les utilisateurs se connectent aux ressources de l’entreprise via différents réseaux qui ne sont pas protégés, les horaires de travail sont devenus plus flexibles (et les collaborateurs peuvent désormais travailler très tôt le matin jusqu’à très tard le soir), d’autres membres de la famille peuvent utiliser leurs appareils… Ces nouvelles habitudes représentent une véritable aubaine pour les cybercriminels à la recherche de vulnérabilités.
Les modèles de sécurité axés sur le périmètre réseau ont atteint leurs limites. Face à l’essor du Cloud et de l’accès à distance, les entreprises doivent offrir un accès sécurisé à leurs utilisateurs (collaborateurs, prestataires et partenaires) où qu’ils se trouvent et depuis tout réseau ou appareil. Si l’authentification multifacteur ne suffit pas à elle seule à mettre en place une structure de sécurité Zero-Trust, les solutions de gestion des identités et des accès sont des technologies clés dont une entreprise a besoin pour adopter une approche Zero-Trust où tout est vérifié.
Une authentification multifacteur et basée sur le risque pour une meilleure gestion des utilisateurs
L’authentification basée sur le risque tient compte des facteurs de risque pour chaque décision d’authentification. Elle repousse les limites de l’authentification statique en permettant aux administrateurs de créer des règles qui peuvent modifier le comportement d’authentification. Ainsi, l’authentification sera plus simple si le risque est faible ou des mesures supplémentaires peuvent être requises pour s’assurer qu’il s’agit du bon utilisateur. Et si le risque est trop élevé, l’accès sera refusé, même si l’utilisateur a fourni un mot de passe à usage unique valide.
L’authentification basée sur le risque va ainsi pouvoir par exemple reposer sur des facteurs communs tels que l’emplacement du réseau (l’utilisateur est-il connecté dans le réseau physique, dans un environnement distant, en télétravail, etc.), l’appareil utilisé (et si celui-ci est exposé par une version iOS jailbreakée, etc.), le poste de travail/ordinateur utilisé (un utilisateur équipé de son propre ordinateur portable, avec toutes les protections vs le même utilisateur se connectant à un autre moment de la journée sur un ordinateur inconnu - doté de Linux ou Tor) ou encore l’horaire de connexion.
Si une entreprise ne dispose pas de politique de risque, elle devra appliquer la méthode d’authentification la plus sécurisée à chaque demande d’accès, pour chaque utilisateur, ce qui pourrait être mal perçu par les utilisateurs de certains segments. L’authentification basée sur le risque va permettre de moderniser la stratégie en utilisant le niveau de sécurité adapté avec une protection personnalisée contre les risques, afin de mieux détecter et neutraliser les menaces.
Quatre raisons pour lesquelles une entreprise devrait adopter une politique d’authentification basée sur le risque :
- Des ressources mieux protégées
Avec l’authentification basée sur le risque, on peut classer les ressources à protéger en fonction du niveau de risque et du type d’utilisateur qui doit y accéder. En créant des règles personnalisées adaptées à ses besoins spécifiques, on optimise ainsi l’authentification multifacteur dans l’ensemble de l’entreprise.
- Un pas vers le modèle Zero-Trust
L’identification des utilisateurs et des appareils constitue l’un des principes de base de l’approche Zero-Trust. Et pour cause : l’authentification multifacteur est la pierre angulaire du modèle Zero-Trust car elle fournit la structure de sécurité nécessaire pour la gestion des utilisateurs et des identités, et permet l’authentification continue de tout type d’utilisateur à tout type de ressource.
- Un accès à distance plus sécurisé
Les politiques d’authentification contribuent à renforcer la sécurité, notamment pour les collaborateurs distants qui accèdent aux données et au réseau de l’entreprise en tout lieu. Le télétravail a également accéléré l’adoption des services Cloud et PaaS (Platform as a Service). Dans ce contexte, mettre en place des politiques de risque permet de garantir que seuls les utilisateurs autorisés ont accès aux ressources, et d’identifier toute tentative d’accès frauduleuse.
- Une expérience utilisateur simplifiée
L’authentification basée sur le risque améliore également l’expérience des utilisateurs en supprimant l’authentification supplémentaire dès lors que le niveau de sécurité est jugé suffisant. Par exemple, si un utilisateur accède à une ressource à partir d’un lieu sûr connu, l’authentification multifacteur ne sera pas activée.
À tout point de vue, l’authentification multifacteur est une solution indispensable pour protéger l’identité des utilisateurs, les applications Cloud, le réseau et les données de l’entreprise. Si l’entreprise a pour objectif de mettre en place une approche de sécurité plus sophistiquée, elle est déjà sur le chemin qui la mènera vers le modèle Zero-Trust. Et pour y parvenir, elle aura besoin d’intégrer l’authentification basée sur le risque dans son Framework MFA.