MFA granulaire : trouver le bon équilibre entre sécurité et productivité
En moins d’une décennie, l’authentification multifacteur (MFA) est passée de technologie spécialisée, conçue pour sécuriser les comptes privilégiés, à un système permettant de protéger tous les comptes utilisateur et de service.
Pourtant, même si la MFA s’avère très efficace pour éviter les attaques de type prise de contrôle de compte (ATO) ou phishing, cette technologie est aussi réputée pour demander de gros efforts de la part des administrateurs informatiques et des utilisateurs. Heureusement, cet état de fait n’est pas une fatalité : en délimitant l’application de la MFA à l’aide de restrictions contextuelles granulaires, les entreprises sont en mesure de satisfaire aux exigences de sécurité tout en délestant les équipes informatiques et les utilisateurs finaux.
Comment applique-t-on la MFA actuellement ?
Pour mieux comprendre les enjeux liés à la mise en place de MFA, commençons par poser une question toute simple : pourquoi les entreprises déploient-elles la MFA en premier lieu ?
Les organisations mettent en œuvre la MFA pour au moins une des raisons suivantes :
- On la considère comme une bonne pratique (par exemple, dans le cadre d’une démarche Zero Trust).
- Elle est imposée ou fortement recommandée par plusieurs réglementations différentes, comme c’est le cas de la future norme PCI DSS 4.0.
- Elle est exigée pour répondre à un besoin spécifique comme une police de cyberassurance.
Face à ces pressions, il n’est pas étonnant d’observer que les entreprises sont de plus en plus nombreuses à vouloir déployer la MFA à l’ensemble des utilisateurs le plus vite possible.
Si la MFA connaît actuellement une vague de popularité, c’est parce que les comptes utilisateurs constituent souvent la cible de choix des attaquants, et la principale vulnérabilité. Dans pratiquement toutes les cyberattaques, l’identification de l’utilisateur représente le point d’accès commun. La preuve : en se procurant un seul jeu d’identifiants, les attaquants peuvent contourner les couches de sécurité du réseau et des terminaux traditionnels, et il est très difficile pour les équipes de sécurité de se prémunir de cette approche. Les résultats sont tout autour de nous, comme on a pu le constater avec la vague récente de cyberattaques très médiatisées, qui exploitaient pour beaucoup sur des systèmes d’authentification vulnérables.
En quoi la MFA peut-elle devenir un fardeau ?
En l’absence d’une architecture bien conçue et d’outils adaptés, la MFA elle-même peut rapidement poser des problèmes.
Pour commencer, la MFA pose des difficultés liées à la mise en œuvre et à la gestion de la solution.
Il peut également s’avérer délicat de mettre en place et de gérer la MFA en couvrant une multitude de contextes professionnels sans qu’elle devienne un obstacle qui complique la vie des collaborateurs.
Et pour les entreprises qui appliquent la MFA à tous leurs utilisateurs, n’importe quel problème est amplifié.
Pourquoi ? Voyons les choses plus en détail.
1. Des méthodes MFA disparates
Tout d’abord, les technologies employées pour mettre en œuvre la MFA sont variées, et chacune présente ses avantages et ses inconvénients : codes à usage unique, jetons ou notifications push, par exemple.
2. Accoutumance à la MFA
Autre problème : on demande souvent aux utilisateurs de s’authentifier à chaque tentative de connexion. En pratique, cela signifie qu’il faut s’authentifier chaque fois qu’on prend une pause ou qu’on revient à son poste, par exemple après la pause déjeuner ou un appel téléphonique.
Résultat : une accoutumance aux procédures d’authentification qui, selon le type de MFA utilisé, peuvent nécessiter de saisir plusieurs codes à usage unique ou de présenter un jeton physique plusieurs fois par jour. Inévitablement, l’expérience utilisateur (UX) s’en trouve détériorée, le mécontentement se renforce et la productivité baisse.
3. Rejet par les utilisateurs
Plus les utilisateurs sont mécontents, moins ils sont enclins à utiliser la MFA. Les administrateurs informatiques doivent alors tâcher de leur expliquer une situation qu’ils ne peuvent pas modifier sans affaiblir la posture de sécurité de toute l’entreprise.
Comment minimiser la charge de la MFA
La solution ? Permettre une application conditionnelle de la MFA, en utilisant des contrôles granulaires imposés à l’aide d’un outil de gestion dédié. En pratique, la granularité (qui identifie les conditions pertinentes dans un contexte donné) peut prendre deux formes.
- La première se base sur qui est invité à utiliser la MFA. Par exemple, les rôles ou les services indiqués par Active Directory (AD) ou l’unité organisationnelle (OU).
- La seconde examine comment ou si les utilisateurs sont invités à s’authentifier lorsqu’une ou plusieurs conditions spécifiques s’appliquent. Par exemple, il peut s’agir de demander la MFA aux utilisateurs en fonction de la type de connexion, ou d’une plage d’adresses IP (accès interne ou accès distant), par exemple.
Même si pratiquement toutes les solutions de MFA offrent un certain niveau de granularité pour définir qui déclenche une authentification par MFA, rares sont celles qui proposent la seconde approche. Tout du moins, elles n’offrent pas la précision dont les entreprises ont vraiment besoin pour délester leurs équipes des tâches liées à la MFA.
En théorie, il reste possible de limiter les demandes d’authentification intempestives en combinant les deux types de granularité évoqués. Les administrateurs peuvent appliquer la MFA dans les contextes où le risque est plus élevé, mais pas ailleurs, par exemple lorsqu’un collaborateur revient sur sa machine après une pause. D’apparence, cette solution semble gagnante pour tout le monde : l’authentification est plus simple pour les utilisateurs, tandis que les administrateurs gardent la possibilité d’appliquer les stratégies de sécurité pour des raisons de conformité et de bonnes pratiques.
Malheureusement, la réalité n’est pas toujours aussi simple. Il est très difficile de déterminer à l’avance les paramètres qui auront vraiment de l’importance au moment de déployer une solution de MFA en situation réelle.
Comment UserLock fournit la MFA granulaire
On pourrait donc imaginer que la qualité de la protection par MFA va toujours aller à l’encontre de la facilité d’utilisation. Les administrateurs doivent sacrifier l’une au profit de l’autre. Dans le pire des cas, personne n’est content. La productivité et la sécurité sont toutes les deux impactées, même partiellement.
UserLock propose une réponse simple au problème : offrir plus de contrôle aux administrateurs en augmentant la granularité de la MFA pour déterminer comment, quand et si la MFA doit être appliquée. Plus le nombre de contrôles dont disposent les administrateurs est élevé, plus il devient facile d’appliquer différents niveaux de MFA en fonction du contexte utilisateur. Grâce à UserLock, les administrateurs peuvent appliquer la MFA aux postes de travail et serveurs internes et externes non seulement en observant qui est invité à s’authentifier, mais aussi, et surtout comment et dans quelles circonstances.
Une MFA qui distingue les connexions internes des connexions externes
En plus de configurer la MFA pour les terminaux en fonction des paramètres AD, la granularité d’UserLock offre des avantages spécifiques pour les connexions établies à l’aide de services distants Microsoft comme RDP (Remote Desktop Protocol), Outlook web access pour Exchange, VPN/AlwaysOn, les connexions aux applications cloud ou encore RD Web Access pour IIS.
Les administrateurs peuvent configurer la MFA de sorte qu’elle se déclenche sur un ou plusieurs de ces protocoles à chaque connexion, à chaque connexion depuis une nouvelle adresse IP, pour la première connexion ou après un intervalle de n jours. Cette approche permet de distinguer les connexions internes des connexions externes de manière bien plus complexe, par exemple dans le cas de connexions externes passant par un serveur passerelle RDP interne.
UserLock peut même être configuré pour demander une authentification par MFA aux ordinateurs hors ligne, ou à chaque fois qu’une machine est déverrouillée alors qu’elle est connectée, ou encore pour les utilisateurs privilégiés à chaque connexion.
Pour cela, la MFA d’UserLock propose de s’inscrire facilement à différentes formes d’authentification, y compris les outils d’authentification Google, Microsoft, et LastPass, ou encore les jetons physiques comme YubiKey et Token2.
Étendre la granularité MFA pour l’accès aux applications cloud
L’authentification unique (SSO) simplifie l’accès des utilisateurs aux applications cloud en remplaçant les différentes informations d’identification des applications cloud par l’authentification unique de l’utilisateur avec ses identifiants Active Directory. En fait, le SSO élimine la ré-authentification chronophage. Chaque utilisateur passe moins de temps à accéder aux applications et plus de temps à travailler avec. Lorsqu’elle est associée à MFA, les administrateurs peuvent équilibrer la sécurité et la productivité en spécifiant le moment où les utilisateurs doivent être invités à fournir un deuxième facteur d’authentification.
Associer la MFA à des restrictions contextuelles
UserLock permet également aux professionnels de l’informatique d’aller plus loin en matière de granularité, en associant la MFA à des restrictions contextuelles. Les administrateurs peuvent choisir d’autoriser, de refuser ou de limiter l’accès de l’utilisateur au réseau, même une fois authentifié, en fonction de facteurs contextuels tels que l’emplacement, l’heure et le type de session. Ces restrictions contextuelles vérifient davantage l’identité revendiquée par les utilisateurs et aident les administrateurs informatiques à équilibrer la sécurité et la productivité des utilisateurs.
Simplifiez la gestion de la MFA et profitez d’une meilleure sécurité
La facilité de gestion est une priorité : en effet, elle permet aux équipes de sécurité d’ajuster rapidement les paramètres pour atteindre le bon niveau d’authentification MFA dans chaque contexte.
Les exemples ci-dessus le montrent bien : l’efficacité de la granularité de la MFA dépend de deux aspects essentiels :
- disposer d’un large choix d’options qui permettent d’adapter la solution à la réalité complexe des interactions entre les utilisateurs, les machines et le réseau, et
- permettre aux administrateurs informatiques de configurer ces options de la façon la plus intuitive possible.
Avec UserLock, la MFA cesse d’être une gêne pour les utilisateurs et offre réellement les avantages de sécurité qu’elle a vocation à incarner depuis toujours. Tout cela n’est possible que grâce à une granularité sophistiquée. Les utilisateurs sont uniquement invités à s’authentifier lorsque les conditions l’exigent, ce qui signifie que la sécurité ne représente plus une couche de contrôle qui impose une perte de productivité.