Avec une clientèle présente dans le monde entier, Duo est une solution cloud de protection des accès adaptée aux entreprises comme aux particuliers. Elle propose des fonctions de contrôle sécurisé des accès et d’authentification multifacteur (MFA) visant à confirmer l’identité des utilisateurs ayant recours à des identifiants sur site ou dans le cloud.
Si les utilisateurs saluent la plateforme pour son interface, sa flexibilité et ses fonctionnalités spécialisées cloud, plusieurs raisons peuvent néanmoins vous pousser à rechercher des alternatives à la MFA Duo, en particulier si vous exploitez un environnement sur site ou hybride.
Pourquoi choisir une alternative à Duo pour la MFA ?
Chaque organisation, chaque individu a ses propres exigences et ses propres priorités en matière de cybersécurité. Naturellement, nous sommes tous capables de filtrer les solutions de MFA en fonction de notre propre checklist, et la bonne solution des uns ne sera pas celle des autres.
Duo propose une solution cloud robuste de gestion des accès, de MFA et d’authentification unique (SSO). Pourtant, ces fonctions ne sont pas adaptées aux besoins de toutes les organisations.
D’après les avis d’utilisateurs finaux publiés sur Gartner Peer Insights (en anglais), la MFA Duo présente quelques inconvénients qui sont cités régulièrement :
- Le service client est trop simple, les clients se plaignent de la lenteur des réponses
- Les utilisateurs moins techniques peuvent avoir du mal à compléter le processus de configuration, assez complexe
- Les utilisateurs sont parfois confrontés à une expiration du délai d’attente de la MFA
- Les notifications push, notamment, ont souvent du retard et sont soumises à une limite de 30 secondes seulement
- La MFA Duo ne permet pas aux utilisateurs d’enregistrer leur appareil, et elle ne se souvient pas non plus des utilisateurs
- L’intégration à Active Directory s’effectue manuellement
Quelles sont les meilleures alternatives à Duo ?
En dehors de Cisco Duo, le marché compte aujourd’hui de nombreuses solutions de MFA.
UserLock
UserLock est un concurrent sérieux à la MFA Duo pour les environnements AD sur site et hybrides. Cette solution offre un plus grand contrôle des accès utilisateur grâce à la MFA granulaire et à la gestion contextuelle des accès. La MFA est proposée sur tous les types de connexions ; s’y ajoutent en option l’authentification SSO (qui permet d’appliquer la MFA à l’accès aux applications cloud), le provisionnement sécurisé des utilisateurs et des fonctions de gestion des sessions. UserLock permet aux équipes IT de gagner en productivité et d’automatiser une grande partie de la lutte contre les cybermenaces les plus courantes.
À la différence de Duo, UserLock est spécifiquement conçue pour s’intégrer aux environnements AD sur site et hybrides. L’installation et l’utilisation de la solution sont donc extrêmement simples pour les organisations qui ne sont pas encore totalement passées au cloud, que ce soit pour des questions d’optimisation de la sécurité, de rentabilisation des investissements ou de simple préférence. Elle étend les fonctionnalités de sécurité, de surveillance et de reporting de votre environnement sans pour autant remplacer AD en tant qu’annuaire de gestion des identités. UserLock offre une expérience utilisateur particulièrement fluide et conviviale intégrant la gestion contextuelle des accès, des contrôles granulaires et tout un éventail de méthodes de MFA disponibles.
Fonctionnalités
- Vérifie l’identité des utilisateurs AD pour sécuriser l’accès au réseau et aux services cloud
- S’intègre de façon transparente en tant qu’extension pour les environnements AD sans modifier l’infrastructure existante
- Applique la MFA aux connexions Windows, RDP, RD Gateway, VPN, IIS et aux applications cloud
- S’intègre aux applications d’authentification, notamment Google Authenticator, Microsoft Authenticator et LastPass Authenticator
- Compatible avec les jetons physiques comme YubiKey ou Token2, ainsi qu’avec les notifications push grâce à l’application mobile UserLock Push
- MFA sécurisée à l’aide de mots de passe à usage unique à durée limitée ou basés sur HMAC
- Permet aux administrateurs d’appliquer la MFA aux accès utilisateur hors ligne
- S’installe et se déploie en quelques minutes
Microsoft Azure Active Directory (devenu Microsoft Entra ID)
Autre alternative répandue à Duo : Microsoft Azure Active Directory, solution courante pour les environnements AD qui souhaitent soit passer totalement au cloud, soit sécuriser l’accès de leurs utilisateurs aux ressources cloud.
Fonctionnalités
- Contrôles d’accès conditionnels avec politiques adaptatives
- Visibilité en temps réel sur différents signaux comme le contexte, la machine ou l’emplacement des utilisateurs
- Authentification SSO avec Azure AD
- Azure ID Identity Protection
Inconvénients
- Coût élevé par rapport à d’autres solutions de MFA
- Pannes occasionnelles d’Azure Active Directory
- Interface utilisateur d’Azure Active Directory peu ergonomique
- Certaines personnes ont du mal à trouver les rapports qu’elles cherchent à cause de l’interface utilisateur
Tarification de Microsoft Azure Active Directory
Les licences Azure Premium P1 sont tarifées à partir de 6 $ par mois et par utilisateur ; une licence P2 coûte 9 $ par utilisateur par mois.
Symantec VIP
Symantec Validation and ID Protection Service (VIP) est un service cloud d’authentification qui permet aux entreprises de sécuriser l’accès à leurs réseaux et applications. Ce service garantit que les utilisateurs finaux et professionnels sont en mesure de s’authentifier de façon sécurisée à partir de n’importe quel emplacement ou dispositif.
Fonctionnalités
- Large choix de méthodes de MFA, y compris les notifications push
- Les utilisateurs disposent d’un portefeuille d’identifiants (Credential Wallet) où sont stockées les clés de sécurité utilisées le plus fréquemment
- Des fonctionnalités anti-clonage automatisent la protection des identités utilisateur en ligne
- Alertes en temps réel sur les activités suspectes
Inconvénients
- Quelques bugs : les utilisateurs qui s’authentifient par notification push reçoivent parfois une erreur d’expiration du délai d’attente
- La personnalisation des politiques n’est pas assez granulaire pour satisfaire toutes les organisations
- La plateforme peut s’avérer coûteuse pour les entreprises récentes ou de petite taille
- L’intégration native à Azure n’est pas prise en charge
Tarification de Symantec VIP
Environ 30 $ par utilisateur et par an, selon les fonctionnalités choisies et le nombre d’utilisateurs.
Okta
Okta est une solution cloud de gestion des identités et des accès (IAM) qui propose une authentification sécurisée et conviviale. Elle fournit également des solutions complémentaires de MFA et de SSO.
Fonctionnalités
- Les administrateurs peuvent configurer la MFA Okta au niveau application ou organisationnelle, en utilisant un grand choix de méthodes de vérification
- Okta s’intègre à une myriade de fournisseurs de services cloud et applications SaaS
- La gestion contextuelle des accès permet aux administrateurs de rationaliser l’application de la MFA
- La console d’administration Okta offre des fonctionnalités détaillées de surveillance et d’audit
Inconvénients
- Le service cloud d’Okta se synchronise à l’aide d’un logiciel supplémentaire pour protéger les applications sur site et héritées
- Impossible pour les administrateurs de restreindre les connexions utilisateur en fonction de l’heure
- Impossible de restreindre le nombre de sessions simultanées pour un même utilisateur
- Les utilisateurs se plaignent souvent d’un décalage entre l’acceptation d’une notification push et la connexion effective
Tarification d’Okta
Okta est soumis à une tarification annuelle minimum (actuellement de 1 500 $) qui peut s’avérer trop coûteuse pour certaines organisations.
Imprivata Confirm ID
Imprivata Confirm ID aide les organisations à confirmer l’identité des utilisateurs pour les accès distants, les appareils connectés et les applications cloud. Elle fournit une plateforme de gestion unique qui permet aux administrateurs de déployer des contrôles de sécurité sur l’ensemble des réseaux d’entreprise.
Fonctionnalités
- Nombreuses méthodes de MFA, notamment l’authentification mains libres
- Les puissantes fonctionnalités de reporting facilitent les audits
- Avec la MFA pour le télétravail, les administrateurs peuvent continuer à authentifier les utilisateurs qui travaillent à l’extérieur du réseau de l’entreprise
- S’intègre à une grande variété d’applications cloud afin de fournir une étape de vérification supplémentaire
Inconvénients
- Certains utilisateurs font part d’une mauvaise expérience avec le service client
- L’interface utilisateur peut être déroutante et il est parfois difficile de trouver certaines fonctionnalités spécifiques
- Le déploiement du logiciel peut être difficile et long
- La feuille de route des prochaines versions est limitée
Tarification d’Imprivata Confirm ID
Les prix du pack gestion de l’authentification et SSO débutent à environ 50 $ par utilisateur et par an (sur la base de 1 000 utilisateurs).
SecureAuth Arculix
La plateforme d’identité Arculix s’intègre aux principaux fournisseurs de services cloud, aux principales applications Web et aux types de VPN les plus courants afin d’améliorer l’accès distant. Elle prend en charge la MFA et l’authentification SSO tout en complétant les systèmes IAM existants.
Fonctionnalités
- La MFA intelligente sans mot de passe permet aux organisations de déployer une philosophie de sécurité Zero Trust
- Les utilisateurs ont la possibilité de gérer eux-mêmes la réinitialisation de leurs mots de passe, ce qui allège la charge de travail des équipes IT
- Les administrateurs sont en mesure de rationaliser leurs contrôles de MFA grâce à la création de polices simplifiée
- Les modèles de machine learning attribuent un score de risque à chaque connexion utilisateur et alertent les administrateurs en cas de tentative suspecte
Inconvénients
- La version mobile du logiciel comporte quelques bugs et offre une mauvaise expérience utilisateur
- Si l’équipe d’assistance est efficace pour résoudre les problèmes, elle met parfois très longtemps à répondre
- Certains utilisateurs se plaignent de devoir passer à la version supérieure du logiciel pour accéder à des fonctionnalités qui sont disponibles dans la version standard d’autres solutions
- Le provisionnement et l’inscription à la MFA des utilisateurs distants sont souvent difficiles et prennent du temps
Tarification de SecureAuth Arculix
Le tarif de la solution est actuellement inconnu. Les commentaires de certains utilisateurs mentionnent que la solution est économique pour leur organisation. D’autres indiquent que le coût minimum est prohibitif pour les petites entreprises, et que certaines fonctionnalités de sécurité entraînent des coûts supplémentaires.
Thales SafeNet Authentication Service (SAS)
Thales SAS est une solution cloud d’authentification offrant un accès sécurisé à différentes plateformes. Elle dispose de puissantes fonctionnalités de MFA, ainsi que d’outils de surveillance et de reporting qui vous donnent plus de contrôle et de visibilité sur l’activité des utilisateurs. Thales s’intègre à de nombreuses applications SaaS populaires et peut être rapidement déployée pour protéger l’accès utilisateur aux applications cloud.
Fonctionnalités
- En tant que plateforme d’authentification basée dans le cloud, Thales SAS permet de sécuriser les identités en ligne et les comptes de services cloud
- Thales propose un large éventail de méthodes d’authentification, dont plusieurs types de jetons physiques
- L’authentification contextuelle améliore l’expérience d’identification des utilisateurs en réduisant la fréquence des requêtes
- Le moteur de politiques Thales offre une gestion flexible des accès pour les administrateurs responsables de configurer les contrôles granulaires
Inconvénients
- Thales requiert des composants logiciels supplémentaires et une synchronisation pour les environnements AD sur site et hybrides
- L’authentification SSO SafeNet Trusted Access est uniquement disponible dans un produit distinct
- Les utilisateurs déplorent que très peu de nouvelles fonctionnalités aient été ajoutées au cours des dernières années
- Thales ne permet pas actuellement aux administrateurs de restreindre le nombre de sessions simultanées, ce qui expose les organisations à des vulnérabilités potentielles
Tarification de Thales SafeNet Authentication Service (SAS)
Le tarif est actuellement inconnu. Les utilisateurs indiquent souvent que Thales propose une structure tarifaire par utilisateur raisonnable et flexible.
IBM Security Verify
IBM Security Verify est une solution IAM très répandue auprès des professionnels et des consommateurs.· Proposant un large éventail de méthodes de MFA permettant de vérifier les utilisateurs sur les applications Web, les postes de travail et les appareils mobiles, elle s’intègre à la fois aux serveurs cloud et sur site.
Fonctionnalités
- L’intégration complète de la solution aux autres produits IBM permet de l’ajouter facilement dans un écosystème IBM
- L’accès adaptatif aide les administrateurs à ajuster la configuration de la MFA pour améliorer l’expérience utilisateur
- Nombreuses méthodes de MFA disponibles, y compris TouchID, les jetons physiques et l’application IBM Verify pour iOS et Android
- IBM permet aux administrateurs de définir ce qu’ils considèrent comme un incident à risque élevé : ils peuvent ainsi configurer leurs propres alertes personnalisées
Inconvénients
- Les utilisateurs indiquent que le manque de documentation complique la résolution des problèmes courants
- La solution peut être difficile à déployer : les utilisateurs rapportent que la configuration des contrôles avancés est difficile
- Les fonctionnalités de reporting sont limitées en l’absence de solutions tierces
- Les utilisateurs déplorent l’absence d’une gestion robuste des sessions et de contrôles d’accès aux API
Tarification d’IBM Security Verify
La tarification d’IBM Security Verify est extrêmement transparente et se base sur l’usage. Le tarif exact dépend du nombre d’utilisateurs et des fonctionnalités incluses. Par exemple, une organisation comptant 1 000 utilisateurs et ayant choisi les fonctionnalités de MFA et d’accès adaptatif peut s’attendre à payer 3,75 $ par utilisateur et par mois. Le prix augmente avec l’ajout de fonctionnalités supplémentaires. Le tarif par utilisateur sera plus élevé pour les petites entreprises, tandis que les très grandes entreprises bénéficient de réductions sur volume.
ManageEngine – ADSelfService Plus
ManageEngine ADSelfService Plus est une solution de sécurité des identités. Ce gestionnaire de mots de passe est doté de fonctionnalités supplémentaires comme la MFA. Il propose également une fonction de configuration des mots de passe en libre-service.
Fonctionnalités
- ADSelfService Plus fournit des options en libre-service, comme la réinitialisation de mot de passe ou le déverrouillage de compte, qui déchargent le service d’assistance de certaines tâches de gestion des utilisateurs
- La MFA est disponible pour la connexion aux terminaux et aux applications cloud afin de sécuriser l’accès aux applications courantes
- De nombreuses fonctionnalités sont disponibles en option, comme des méthodes de MFA supplémentaires ou des fonctionnalités d’authentification SSO
- ADSelfService Plus se décline en trois éditions : les organisations peuvent choisir celle qui correspond le mieux à leurs systèmes
Inconvénients
- La structure tarifaire de ManageEngine la rend trop coûteuse pour les petits budgets
- De nombreuses fonctionnalités, qui sont généralement proposées de base dans d’autres solutions, sont uniquement accessibles dans les versions premium du produit
- L’intégration aux systèmes sur site ou hybrides existants est une opération manuelle qui peut prendre du temps
- Les options de personnalisation sont limitées : par exemple, il n’est pas possible de définir des contrôles granulaires par utilisateur pour les utilisateurs AD sur site ou hybrides
Tarification de ManageEngine – ADSelfService Plus
La solution est disponible à partir de 595 $. Plusieurs fonctionnalités généralement disponibles sont ici proposées uniquement sous forme de modules complémentaires. L’édition professionnelle supérieure est disponible à partir de 1 195 $ pour 500 utilisateurs du domaine et propose des fonctionnalités supplémentaires par rapport à l’édition standard, comme les contrôles d’accès conditionnels.