Rétrospective 2016

MFA granulaire : trouver le bon équilibre entre sécurité et productivité

En moins d’une décennie, l’authentification multifacteur (MFA) est passée de technologie spécialisée, conçue pour sécuriser les comptes privilégiés, à un système permettant de protéger tous les comptes utilisateur et de service.

Pourtant, même si la MFA s’avère très efficace pour éviter les attaques de type prise de contrôle de compte (ATO) ou phishing, cette technologie est aussi réputée pour demander de gros efforts de la part des administrateurs informatiques et des utilisateurs. Heureusement, cet état de fait n’est pas une fatalité : en délimitant l’application de la MFA à l’aide de restrictions contextuelles granulaires, les entreprises sont en mesure de satisfaire aux exigences de sécurité tout en délestant les équipes informatiques et les utilisateurs finaux.

Comment applique-t-on la MFA actuellement ?

Pour mieux comprendre les enjeux liés à la mise en place de MFA, commençons par poser une question toute simple : pourquoi les entreprises déploient-elles la MFA en premier lieu ?

Les organisations mettent en œuvre la MFA pour au moins une des raisons suivantes :

  • On la considère comme une bonne pratique (par exemple, dans le cadre d’une démarche Zero Trust).
  • Elle est imposée ou fortement recommandée par plusieurs réglementations différentes, comme c’est le cas de la future norme PCI DSS 4.0.
  • Elle est exigée pour répondre à un besoin spécifique comme une police de cyberassurance.

Face à ces pressions, il n’est pas étonnant d’observer que les entreprises sont de plus en plus nombreuses à vouloir déployer la MFA à l’ensemble des utilisateurs le plus vite possible.

Si la MFA connaît actuellement une vague de popularité, c’est parce que les comptes utilisateurs constituent souvent la cible de choix des attaquants, et la principale vulnérabilité. Dans pratiquement toutes les cyberattaques, l’identification de l’utilisateur représente le point d’accès commun. La preuve : en se procurant un seul jeu d’identifiants, les attaquants peuvent contourner les couches de sécurité du réseau et des terminaux traditionnels, et il est très difficile pour les équipes de sécurité de se prémunir de cette approche. Les résultats sont tout autour de nous, comme on a pu le constater avec la vague récente de cyberattaques très médiatisées, qui exploitaient pour beaucoup sur des systèmes d’authentification vulnérables.

En quoi la MFA peut-elle devenir un fardeau ?

En l’absence d’une architecture bien conçue et d’outils adaptés, la MFA elle-même peut rapidement poser des problèmes.

Pour commencer, la MFA pose des difficultés liées à la mise en œuvre et à la gestion de la solution.

Il peut également s’avérer délicat de mettre en place et de gérer la MFA en couvrant une multitude de contextes professionnels sans qu’elle devienne un obstacle qui complique la vie des collaborateurs.

Et pour les entreprises qui appliquent la MFA à tous leurs utilisateurs, n’importe quel problème est amplifié.

Pourquoi ? Voyons les choses plus en détail.

1.      Des méthodes MFA disparates

Tout d’abord, les technologies employées pour mettre en œuvre la MFA sont variées, et chacune présente ses avantages et ses inconvénients : codes à usage unique, jetons ou notifications push, par exemple.

2.      Accoutumance à la MFA

Autre problème : on demande souvent aux utilisateurs de s’authentifier à chaque tentative de connexion. En pratique, cela signifie qu’il faut s’authentifier chaque fois qu’on prend une pause ou qu’on revient à son poste, par exemple après la pause déjeuner ou un appel téléphonique.

Résultat : une accoutumance aux procédures d’authentification qui, selon le type de MFA utilisé, peuvent nécessiter de saisir plusieurs codes à usage unique ou de présenter un jeton physique plusieurs fois par jour. Inévitablement, l’expérience utilisateur (UX) s’en trouve détériorée, le mécontentement se renforce et la productivité baisse.

3.      Rejet par les utilisateurs

Plus les utilisateurs sont mécontents, moins ils sont enclins à utiliser la MFA. Les administrateurs informatiques doivent alors tâcher de leur expliquer une situation qu’ils ne peuvent pas modifier sans affaiblir la posture de sécurité de toute l’entreprise.

Comment minimiser la charge de la MFA

La solution ? Permettre une application conditionnelle de la MFA, en utilisant des contrôles granulaires imposés à l’aide d’un outil de gestion dédié.  En pratique, la granularité (qui identifie les conditions pertinentes dans un contexte donné) peut prendre deux formes.

  • La première se base sur qui est invité à utiliser la MFA. Par exemple, les rôles ou les services indiqués par Active Directory (AD) ou l’unité organisationnelle (OU).

  • La seconde examine comment ou si les utilisateurs sont invités à s’authentifier lorsqu’une ou plusieurs conditions spécifiques s’appliquent. Par exemple, il peut s’agir de demander la MFA aux utilisateurs en fonction de la type de connexion, ou d’une plage d’adresses IP (accès interne ou accès distant), par exemple.

Même si pratiquement toutes les solutions de MFA offrent un certain niveau de granularité pour définir qui déclenche une authentification par MFA, rares sont celles qui proposent la seconde approche. Tout du moins, elles n’offrent pas la précision dont les entreprises ont vraiment besoin pour délester leurs équipes des tâches liées à la MFA.

 En théorie, il reste possible de limiter les demandes d’authentification intempestives en combinant les deux types de granularité évoqués. Les administrateurs peuvent appliquer la MFA dans les contextes où le risque est plus élevé, mais pas ailleurs, par exemple lorsqu’un collaborateur revient sur sa machine après une pause. D’apparence, cette solution semble gagnante pour tout le monde : l’authentification est plus simple pour les utilisateurs, tandis que les administrateurs gardent la possibilité d’appliquer les stratégies de sécurité pour des raisons de conformité et de bonnes pratiques.

Malheureusement, la réalité n’est pas toujours aussi simple. Il est très difficile de déterminer à l’avance les paramètres qui auront vraiment de l’importance au moment de déployer une solution de MFA en situation réelle.

Comment UserLock fournit la MFA granulaire

On pourrait donc imaginer que la qualité de la protection par MFA va toujours aller à l’encontre de la facilité d’utilisation. Les administrateurs doivent sacrifier l’une au profit de l’autre. Dans le pire des cas, personne n’est content. La productivité et la sécurité sont toutes les deux impactées, même partiellement.

UserLock propose une réponse simple au problème : offrir plus de contrôle aux administrateurs en augmentant la granularité de la MFA pour déterminer comment, quand et si la MFA doit être appliquée. Plus le nombre de contrôles dont disposent les administrateurs est élevé, plus il devient facile d’appliquer différents niveaux de MFA en fonction du contexte utilisateur. Grâce à UserLock, les administrateurs peuvent appliquer la MFA aux postes de travail et serveurs internes et externes non seulement en observant qui est invité à s’authentifier, mais aussi, et surtout comment et dans quelles circonstances.

Une MFA qui distingue les connexions internes des connexions externes

En plus de configurer la MFA pour les terminaux en fonction des paramètres AD, la granularité d’UserLock offre des avantages spécifiques pour les connexions établies à l’aide de services distants Microsoft comme RDP (Remote Desktop Protocol), Outlook web access pour Exchange, VPN/AlwaysOn, les connexions aux applications cloud ou encore RD Web Access pour IIS.

Les administrateurs peuvent configurer la MFA de sorte qu’elle se déclenche sur un ou plusieurs de ces protocoles à chaque connexion, à chaque connexion depuis une nouvelle adresse IP, pour la première connexion ou après un intervalle de  n jours.  Cette approche permet de distinguer les connexions internes des connexions externes de manière bien plus complexe, par exemple dans le cas de connexions externes passant par un serveur passerelle RDP interne.

UserLock peut même être configuré pour demander une authentification par MFA aux ordinateurs hors ligne, ou à chaque fois qu’une machine est déverrouillée alors qu’elle est connectée, ou encore pour les utilisateurs privilégiés à chaque connexion.

Pour cela, la MFA d’UserLock propose de s’inscrire facilement à différentes formes d’authentification, y compris les outils d’authentification Google, Microsoft, et LastPass, ou encore les jetons physiques comme YubiKey et Token2.

Étendre la granularité MFA pour l’accès aux applications cloud

L’authentification unique (SSO) simplifie l’accès des utilisateurs aux applications cloud en remplaçant les différentes informations d’identification des applications cloud par l’authentification unique de l’utilisateur avec ses identifiants Active Directory. En fait, le SSO élimine la ré-authentification chronophage. Chaque utilisateur passe moins de temps à accéder aux applications et plus de temps à travailler avec. Lorsqu’elle est associée à MFA, les administrateurs peuvent équilibrer la sécurité et la productivité en spécifiant le moment où les utilisateurs doivent être invités à fournir un deuxième facteur d’authentification.

Associer la MFA à des restrictions contextuelles

UserLock permet également aux professionnels de l’informatique d’aller plus loin en matière de granularité, en associant la MFA à des restrictions contextuelles. Les administrateurs peuvent choisir d’autoriser, de refuser ou de limiter l’accès de l’utilisateur au réseau, même une fois authentifié, en fonction de facteurs contextuels tels que l’emplacement, l’heure et le type de session. Ces restrictions contextuelles vérifient davantage l’identité revendiquée par les utilisateurs et aident les administrateurs informatiques à équilibrer la sécurité et la productivité des utilisateurs.

Simplifiez la gestion de la MFA et profitez d’une meilleure sécurité

La facilité de gestion est une priorité : en effet, elle permet aux équipes de sécurité d’ajuster rapidement les paramètres pour atteindre le bon niveau d’authentification MFA dans chaque contexte.

Les exemples ci-dessus le montrent bien : l’efficacité de la granularité de la MFA dépend de deux aspects essentiels :

  • disposer d’un large choix d’options qui permettent d’adapter la solution à la réalité complexe des interactions entre les utilisateurs, les machines et le réseau, et
  • permettre aux administrateurs informatiques de configurer ces options de la façon la plus intuitive possible.

Avec UserLock, la MFA cesse d’être une gêne pour les utilisateurs et offre réellement les avantages de sécurité qu’elle a vocation à incarner depuis toujours. Tout cela n’est possible que grâce à une granularité sophistiquée. Les utilisateurs sont uniquement invités à s’authentifier lorsque les conditions l’exigent, ce qui signifie que la sécurité ne représente plus une couche de contrôle qui impose une perte de productivité.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.