L’importance de l’authentification multifacteur (MFA) hors ligne

Nombreux sont les référentiels de conformité et de sécurité qui imposent de fournir une preuve d’authentification multifacteur (MFA) dans toutes les circonstances, y compris lorsque les utilisateurs sont hors ligne (non connectés à Internet).

La MFA est la méthode reine pour protéger les identifiants vulnérables contre les abus. Lorsqu’un utilisateur se connecte à un compte, il doit fournir un second facteur d’identification : code à usage unique, jeton physique, ou validation d’une notification push « Approuver » sur un smartphone agréé.

Tous les types de MFA relèvent le niveau de sécurité, mais pratiquement toutes les solutions de MFA partent du principe que l’utilisateur est en mesure de se connecter au serveur d’authentification. Autrement dit, ces solutions n’offrent pas toujours la MFA hors ligne.

Aujourd’hui, le télétravail change la donne. Lorsque les collaborateurs travaillent chez eux ou à l’extérieur, leur ordinateur portable peut se retrouver hors ligne pendant une période prolongée. Si vos administrateurs sont uniquement capables d’imposer la MFA pour le télétravail lorsque les utilisateurs sont en ligne, les accès hors ligne ne peuvent être protégés et deviennent une source de risque.

Pour protéger leurs ordinateurs, certaines entreprises abandonnent complètement la MFA et reviennent aux mots de passe de compte Windows (avec ou sans chiffrement au niveau du disque). Cette approche n’élimine toutefois pas le risque de violation de données, notamment en cas de perte ou de vol d’un ordinateur portable.

Si la sécurité des mots de passe Windows semble convenable de premier abord, il existe un risque non négligeable que des attaquants la contournent à l’aide d’un outil de cassage de mot de passe ou autres formes d’ingénierie sociale.

Le défi de la MFA à distance et hors ligne pour les administrateurs

Du point de vue de la gestion de la sécurité et de la conformité, l’incapacité à appliquer la MFA quand les utilisateurs sont hors ligne est un véritable handicap. Les entreprises investissent dans la MFA pour augmenter leur niveau de sécurité, en particulier pour les collaborateurs en télétravail ou disposant de privilèges spécifiques. Malheureusement, lorsque la MFA en ligne n’est pas possible, elles doivent tolérer l’absence de sécurité pour leurs collaborateurs hors ligne. Les ordinateurs portables sont uniquement sécurisés lorsque les utilisateurs s’authentifient auprès d’un serveur de MFA, et uniquement dans ce cas.

Certaines organisations se contentent de courir ce risque, en imaginant que la MFA disponible sur les autres types de connexion fera l’affaire.

Mais du point de vue de la conformité, lorsque la MFA devient conditionnelle, la sécurité de l’ensemble est faible. Les bonnes pratiques en matière de MFA préconisent de la déployer de façon homogène. En principe, lorsqu’un collaborateur distant se connecte à Windows en mode hors ligne, il doit toujours recevoir une notification lui demandant de renseigner un second facteur si la politique applicable à son rôle l’exige.

Bien entendu, de nombreuses normes et réglementations sectorielles imposent aussi aux entreprises de prouver l’application de la MFA sur tous les types de connexion. Cette exigence est également courante dans le secteur public et de la défense. Pour une majorité de ces entreprises et leurs sous-traitants, la MFA hors ligne est une donnée non négociable.

D’un point de vue plus général, la question de l’application de la MFA hors ligne s’inscrit dans la problématique globale de la sécurisation du télétravail. Les collaborateurs se connectent à différents canaux selon le moment, et ne se connectent parfois pas du tout. Pour les administrateurs, tout l’enjeu consiste à gérer l’ensemble de ces aspects complexes en établissant un jeu unique de politiques, sans que la MFA ne devienne un obstacle ni une corvée pour l’utilisateur.

Le travail hors ligne ne devrait pas empêcher les entreprises d’avoir recours à la MFA

Si le principe de la MFA est simple (demander un second facteur de sécurité pour authentifier les utilisateurs), sa mise en œuvre peut poser de nombreuses difficultés aux administrateurs. La nature des réseaux a évolué. Beaucoup de collaborateurs travaillent désormais à distance, parfois sans avoir accès à une connexion Internet. Ils peuvent également avoir accès à Internet, mais sans pouvoir garantir la sécurité de la connexion.

Les politiques de MFA de l’entreprise doivent prendre en charge tous ces scénarios d’utilisation de façon homogène, notamment lorsque les utilisateurs distants ou nomades et leurs appareils sont concernés. Pour les administrateurs, il est important de pouvoir déployer cette couche de sécurité supplémentaire sans avoir à configurer des exceptions qui créent autant de lacunes dans les politiques.

Il faut permettre l’application de la MFA à tous les scénarios d’utilisation de sorte que les collaborateurs puissent s’authentifier de la même façon à chaque nouvelle connexion.

Peu importe que votre ordinateur (fixe ou portable) soit hors ligne : il contient des données et des paramètres de connectivité précieux et doit être protégé en cas de perte. Il est important de choisir d’un système de MFA qui permet d’appliquer le même niveau de sécurité à tous les utilisateurs, quel que soit leur niveau de connectivité ou leur emplacement.