Année après année, les cybercriminels trouvent de nouvelles façons d’exploiter les comptes utilisateurs vulnérables pour accéder aux réseaux des entreprises. Le vol ou la compromission d’identifiants constituent aujourd’hui l’une des plus grandes menaces financières pour les entreprises, avec un coût moyen des fuites de données estimé à 4,5 millions de dollars. Le plus souvent, le vecteur d’attaque initial est un identifiant compromis.
Pour protéger leurs ressources stratégiques, les entreprises peuvent (et doivent) mettre en œuvre l’authentification multifacteur (MFA). La MFA ajoute une couche de protection supplémentaire au processus de connexion en invitant l’utilisateur à valider un second facteur de vérification avant de lui accorder l’accès. Si les identifiants d’un utilisateur authentique tombent entre les mains d’un cybercriminel, la MFA exige une deuxième preuve d’identité, ce qui bloque de nombreuses tentatives d’accès non autorisé (en anglais).
Pourtant, il est parfois difficile de trouver la bonne méthodologie pour mettre en œuvre la MFA. Vous devez protéger vos systèmes contre les accès non autorisés, sans pour autant rendre la vie difficile à vos utilisateurs finaux.
Cet article aborde différentes stratégies pratiques pour l’optimisation des invites de MFA. Autrement dit, comment savoir à quel moment imposer la MFA ? En appliquant ces bonnes pratiques, vous pourrez implémenter des contrôles de sécurité robustes tout en réduisant les désagréments.
En quoi consistent les invites d’authentification multifacteur et comment fonctionnent-ils ?
La MFA impose aux utilisateurs de valider une étape de vérification supplémentaire après avoir renseigné leur mot de passe. Lorsqu’un utilisateur se connecte à l’aide de ses identifiants, le système de MFA lui demande une preuve supplémentaire de son identité. Cette approche renforce la protection des comptes utilisateur, dans l’éventualité où un cybercriminel aurait mis la main sur les identifiants de quelqu’un.
Les demandes de vérification supplémentaires peuvent prendre différentes formes. En général, les méthodes de MFA appartiennent à l’une des catégories suivantes :
- Ce que l’utilisateur connaît : comme un code ou un mot de passe à usage unique (OTP).
- Ce que l’utilisateur possède : comme une notification push émise par une application mobile d’authentification, un jeton physique ou un code diffusé par SMS.
- Ce que l’utilisateur est : comme les données de biométrie (empreintes digitales, reconnaissance faciale, etc.)
En vérifiant l’identité des utilisateurs de plusieurs façons, les entreprises réduisent le risque d’accès non autorisé.
À quelle fréquence les utilisateurs doivent-ils recevoir une invite de MFA ?
L’optimisation de la fréquence des invites MFA est essentielle pour équilibrer sécurité et facilité d’utilisation. On pourrait facilement se dire que des invites plus fréquentes renforcent la sécurité, mais ce n’est pas toujours le cas. Une fréquence trop élevée (à chaque connexion, par ex.) peut finir par agacer les utilisateurs. Les criminels peuvent alors en profiter pour lancer des attaques d’accoutumance à la MFA ou par force brute, sans parler de la baisse de productivité des équipes.
Bonnes pratiques en matière de fréquence de la MFA
Quelle la fréquence la mieux adaptée à votre équipe ? Il n’existe malheureusement pas de réponse toute faite. Néanmoins, vous pouvez commencer par tenter de circonscrire ce qui pourrait ressembler une protection optimale pour votre équipe, en prenant soin de réduire les désagréments au minimum.
Forts de notre expérience auprès de milliers de clients, nous avons élaboré les bonnes pratiques suivantes pour vous aider à bien mettre en œuvre la MFA dans votre environnement.
Équilibrez sécurité et facilité d’utilisation
Pour trouver le bon équilibre, les entreprises et les organisations doivent instaurer des mesures de sécurité à la fois efficaces et adaptées à leurs risques spécifiques, tout en s’efforçant de préserver l’expérience utilisateur. Lorsque la fréquence de la MFA est trop élevée, les utilisateurs perdent patience, ce qui conduit à des abandons de connexion et à des erreurs.
Variez la fréquence de la MFA selon les types de comptes et les services
Nous le savons, chaque compte compromis représente un énorme risque de sécurité. S’il est important de déployer la MFA pour l’ensemble de vos utilisateurs, vous pouvez ajuster la fréquence des invites en fonction du niveau de risque de l’utilisateur, du groupe ou de l’unité d’organisation (UO).
Par exemple, vous pouvez exiger une vérification supplémentaire à chaque connexion pour les utilisateurs de niveau administrateur ou les comptes privilégiés. En parallèle, vous pouvez configurer d’autres politiques pour les comptes standard ou les utilisateurs ne disposant que d’un accès limité à vos données sensibles.
Envisagez de proposer plusieurs méthodes d’authentification
Étudiez les méthodes de MFA courantes et assurez-vous que votre solution propose plusieurs méthodes sécurisées, pour plus de flexibilité.
Par exemple, les comptes de niveau administrateur s’authentifient souvent avec des jetons ou des clés physiques, tandis que les utilisateurs « moyens » ont davantage recours aux notifications push ou à une application d’authentification. Vous pouvez également varier les méthodes pour les employés à distance ou hybride : ces derniers peuvent par exemple utiliser un jeton physique lorsqu’ils travaillent sur site, et des notifications push lorsqu’ils sont à l’extérieur (en contrepartie, la MFA peut leur être demandée plus souvent dans ce cas). Tout est une question d’équilibre.
Auditez régulièrement les paramètres de fréquence de la MFA
Le niveau de risque de vos comptes et de vos services change avec le temps. De même, le comportement des utilisateurs peut évoluer au point que vos paramètres ne sont plus adaptés. Vérifiez vos journaux système, cherchez à comprendre les modèles d’usage et auditez régulièrement vos paramètres de fréquence de la MFA pour vous assurer que les mesures de sécurité en place sont toujours pertinentes et efficaces.
Suivez les recommandations du secteur en matière de fréquence de la MFA
Votre fournisseur de MFA peut vous proposer de l’aide au moment du déploiement de votre système. Lors de l’installation d’UserLock, vous êtes conseillés sur la mise en œuvre des politiques de MFA. Nous vous aidons notamment à bien définir la fréquence, les paramètres de granularité et les bonnes pratiques.
Optimisez vos paramètres de fréquence de la MFA
Dans l’optique d’optimiser vos invites, il peut être utile d’effectuer les tâches suivantes régulièrement :
- Auditer vos paramètres de fréquence pour vous assurer qu’ils reflètent bien vos niveaux de risque
- Vérifier les paramètres des machines afin de confirmer que vos utilisateurs ne peuvent se connecter qu’à partir des machines habilitées à le faire, ce qui réduit votre surface d’attaque.
- Installer toutes les mises à jour logicielles nécessaires
Est-il possible de personnaliser les invites de MFA ?
La plupart des solutions de MFA offrent un certain niveau de personnalisation des invites de MFA. Plus vos paramètres de MFA sont granulaires, plus il vous sera facile de les configurer et de bien protéger votre environnement.
Vous pouvez personnaliser les invites de MFA de deux façons : en ajustant les paramètres ou en personnalisant le texte de l’invite.
Définissez qui doit s’authentifier et à quel moment
Vous pouvez activer la MFA pour chaque utilisateur, groupe ou UO de votre domaine, et ce pour toutes les tentatives de connexion, de déverrouillage et de reconnexion aux sessions interactives.
La clé de la réussite en matière de MFA consiste à ne la demander que lorsqu’elle est nécessaire.
Avec la MFA granulaire, vous pouvez choisir d’appliquer la MFA en fonction du type de système d’exploitation (poste de travail ou serveur), du type de connexion (locale ou distante),et configurer la fréquence des demandes de MFA (à chaque connexion, tous les X jours). Avec UserLock, les équipes de sécurité peuvent personnaliser en détail leurs paramètres de MFA pour appliquer la MFA selon l’utilisateur, la machine, le poste de travail, l’emplacement ou le pays.
Personnalisez le message de votre invite de MFA
Il peut également être utile de personnaliser le texte que vos utilisateurs liront lorsqu’ils seront invités à s’authentifier avec la MFA. UserLock vous permet de personnaliser entièrement l’invite de MFA qui s’affichera pour vous et vos utilisateurs.
En outre, les utilisateurs d’UserLock peuvent activer un bouton « Demander de l’aide » sur les boîtes de dialogue qui s’affichent pour permettre aux utilisateurs de demander de l’aide aux administrateurs UserLock responsables du déploiement de la MFA, que ce soit par e-mail (ou via d’autres applications compatibles avec les e-mails, comme Slack) ou par fenêtre contextuelle.
Les avantages d’une bonne utilisation des invites de MFA
On pourrait croire qu’il s’agit d’un détail (tant que la MFA est activée, tout va bien, n’est-ce pas ?), mais la personnalisation de l’expérience que vous proposez à vos utilisateurs peut avoir un impact considérable sur leur ressenti, et logiquement sur la sécurité.
Améliorez votre posture de sécurité globale
Les utilisateurs mécontents ont plus de chances d’être victimes d’une attaque de contournement de la MFA. Appliquez la MFA à un niveau suffisant pour protéger les connexions, mais en faisant preuve de modération, pour éviter que vos utilisateurs n’en viennent à considérer la MFA comme une gêne qu’il faut à tout prix faire disparaître. Cet équilibre contribuera à réduire grandement le risque d’accès non autorisé.
Ne demandez la MFA que lorsque c’est nécessaire
La clé de la réussite en matière de MFA consiste à ne la demander que lorsqu’elle est nécessaire. Avec UserLock, les équipes de sécurité peuvent personnaliser leurs paramètres de MFA pour appliquer la MFA selon l’utilisateur, la machine, le poste de travail, l’emplacement ou le pays.
Difficultés liées au bon déploiement de la MFA
Si la MFA offre bien des avantages, elle peut également poser quelques problèmes.
Choisissez un fournisseur de MFA qui propose une solution granulaire
Les paramètres granulaires permettent aux administrateurs de personnaliser les invites des utilisateurs à l’échelle de toute l’entreprise afin de trouver le juste milieu entre sécurité et efficacité. Avant de déployer votre solution de MFA, vérifiez qu’elle dispose bien des contrôles granulaires dont vous avez besoin.
Choisissez une solution facile à installer, qui s’intègre bien à votre environnement existant
Certaines solutions de MFA sont plus difficiles à installer que d’autres, ou elles peuvent requérir l’intégration de plusieurs systèmes. Choisissez une solution de MFA qui s’intègre de façon fluide à vos outils de gestion des accès existants. Par exemple UserLock s’intègre en toute transparence aux environnements Active Directory sur site ou hybrides (en anglais).
Résolvez les problèmes de compatibilité en amont
Chaque solution présente des exigences différentes en matière de protocoles d’authentification et de formats d’échange de données. Résultat : l’intégration des outils de MFA au sein des systèmes existants peut nécessiter de mener des tests de compatibilité et de réaliser quelques ajustements. Avant de choisir votre solution de MFA, vérifiez si elle est compatible avec votre environnement existant.
Évitez de gêner vos utilisateurs
Adaptez la fréquence et le type d’invite de MFA afin d’éviter de gêner les utilisateurs. Les cybercriminels le savent : les demandes trop répétées favorisent les erreurs — d’où la montée en puissance des tactiques d’ingénierie sociale exploitant l’accoutumance à la MFA. Dans le but d’offrir une expérience de la MFA aussi fluide que possible à vos utilisateurs, évitez les demandes trop fréquences et ajustez vos paramètres, le cas échéant.
Les équipes IT doivent personnaliser la MFA de sorte qu’elle ne vienne pas perturber les workflows. Si certains utilisateurs ont besoin de travailler hors ligne, choisissez une solution de MFA qui propose la protection des accès hors ligne. De même, si vos collaborateurs télétravaillent, choisissez une plateforme capable de vérifier l’identité des utilisateurs en dehors du réseau de l’entreprise.
Calculez le coût réel de votre déploiement
L’implémentation d’une solution de MFA peut s’avérer coûteuse. Néanmoins, quand on rapporte son prix au coût moyen d’une fuite de données aux États-Unis, qui s’élève à 4,35 millions de dollars, l’investissement est facile à justifier.
Vérifiez la fiabilité des facteurs externes
La MFA exige que les facteurs externes fonctionnent correctement. Avant de déployer la MFA au sein de votre entreprise, vérifiez que les autres facteurs (connectivité, logiciels et accès aux appareils) permettent le bon fonctionnement de vos invites de MFA. Vérifiez également que tous les logiciels et toutes les connexions participant au processus de MFA sont bien sécurisés avant de les utiliser.
La SSO : une alternative aux invites de MFA récurrentes
Pour réduire la fréquence des demandes d’authentification MFA, l’authentification unique (SSO) permet aux utilisateurs d’accéder à plusieurs applications et services en n’utilisant qu’un seul jeu d’identifiants. Une fois leur identité vérifiée une première fois, les utilisateurs peuvent accéder à d’autres services sans authentification supplémentaire. La SSO réduit la fréquence des vérifications et fluidifie l’expérience utilisateur tout en maintenant un niveau de sécurité élevé.
UserLock SSO combine la MFA et la SSO en vue de rationaliser le processus de connexion tout en offrant une vérification sûre de l’identité de l’utilisateur.
L’optimisation de la MFA est un processus continu
La MFA ajoute une couche de sécurité cruciale au processus de connexion. En plus du mot de passe, la MFA demande une vérification supplémentaire aux utilisateurs. Cette opération permet d’éviter que des acteurs malveillants accèdent aux systèmes de façon non autorisée en utilisant des identifiants compromis.
Cependant, trouver le bon équilibre entre sécurité et facilité d’utilisation est un défi de chaque instant. L’optimisation de votre stratégie de MFA peut prendre la forme d’un processus continu, qui vise à ajuster sans cesse la configuration pour équilibrer les mesures de sécurité tout en garantissant une expérience utilisateur conviviale.
Même si la MFA offre de nombreux avantages, sa mise en œuvre peut comporter quelques difficultés :
- Désagréments pour les utilisateurs
- Coûts de l’implémentation initiale
- Interruption des activités quotidiennes de l’utilisateur
- Fiabilité des facteurs externes
En personnalisant les paramètres de la MFA, il est possible de protéger l’accès aux systèmes sans engendrer de perturbations.
Grâce à ses contrôles granulaires et à ses invites personnalisables, UserLock vous donne toute la flexibilité dont vous avez besoin pour trouver le juste milieu entre sécurité et facilité d’utilisation. Userlock propose des contrôles personnalisables et de nombreuses méthodes d’authentification pour vous permettre de mettre en œuvre une stratégie de MFA qui répond précisément aux besoins de vos équipes.