Solution d’authentification
à deux facteurs pour
les connexions Windows,
de bureau à distance (RDP)
et bien plus encore

Télécharger en PDF

15 raisons de choisir l’authentification
à deux facteurs avec UserLock

L’authentification à deux facteurs (2FA) avec UserLock permet aux collaborateurs des environnements Active Directory (AD) sur site ou hybrides d’accéder de façon sécurisée aux réseaux d’entreprise et aux applications cloud, quel que soit l’endroit où ils travaillent. En tant que partie intégrante de la solution de gestion des accès de UserLock, cette technologie vous offre le meilleur des deux mondes : un réseau sécurisé et des employés productifs.

1. Déployez la 2FA aux côtés de Active Directory

Simple à mettre en œuvre et intuitive à gérer, la 2FA de UserLock fonctionne en toute transparence avec votre investissement actuel dans l’infrastructure Microsoft Active Directory sur site. UserLock n’apporte aucune modification à vos comptes, à votre structure ni à votre schéma AD.

2. Activez la 2FA pour les connexions de bureau à distance

Choisissez d’activer la 2FA sur les connexions à distance. Les utilisateurs finaux se connectant à une autre machine (comme un ordinateur distant ou une machine virtuelle) au sein du réseau peuvent toujours recevoir une demande 2FA.

Les administrateurs peuvent choisir d’appliquer la 2FA aux connexions RDP qui proviennent de l’extérieur du réseau d’entreprise, ou à chaque connexion RDP, qu’elle soit interne ou externe au réseau.

Pour visualiser la vidéo, veuillez accepter tous les cookies.

3. Personnalisez la 2FA pour les connexions RD Gateway

La passerelle de bureau à distance (RDG ou RD Gateway) permet aux utilisateurs distants d’accéder au réseau via Internet. En utilisant le bureau à distance et le protocole HTTPS, elle crée une connexion chiffrée sécurisée.

Les connexions RDP qui transitent par une passerelle sont considérées par défaut comme provenant de « l’intérieur » du réseau. UserLock vous permet d’identifier la véritable adresse IP d’une connexion RD Gateway et de considérer cette connexion comme provenant de l’« extérieur » du réseau.

Vous pouvez ensuite choisir d’activer la MFA uniquement pour les connexions RDP qui proviennent de l’extérieur du réseau – et vous assurer d’inclure toutes les connexions de la passerelle RD.

4. Appliquez la 2FA aux connexions VPN et IIS

Les sessions VPN et IIS sont vulnérables à des menaces de sécurité spécifiques, comme les attaques par phishing ou spear-phishing (hameçonnage ciblé). Après avoir facilement installé l’agent UserLock sur chaque machine ou chaque serveur IIS que vous souhaitez protéger, vous pouvez tout aussi facilement appliquer la 2FA à ces connexions. Comme la 2FA empêche les pirates d’accéder à votre réseau en utilisant des identifiants compromis, elle ajoute une couche de sécurité supplémentaire pour protéger votre entreprise des accès VPN et IIS non autorisés.

5. Maintenez la 2FA pour les travailleurs distants sans accès au domaine

Êtes-vous en mesure de protéger les connexions distantes, même lorsque vos employés distants ne disposent ni d’un VPN, ni d’une connexion au réseau ? Cette faille courante constitue bien souvent un angle mort des applications de 2FA. UserLock protège les connexions distantes qui ne sont pas connectées au domaine, en permettant aux administrateurs de maintenir la 2FA, de contrôler l’activité des utilisateurs et d’appliquer les politiques de sécurité.

6. Étendez la 2FA aux ressources cloud

UserLock combine la 2FA à l’authentification unique SSO (single sign-on) afin de permettre un accès sécurisé et transparent à de nombreuses ressources hébergées dans le cloud. Les collaborateurs n’ont qu’à se connecter une fois en utilisant leurs identifiants AD sur site (et la 2FA, si vous le souhaitez) afin d’accéder instantanément à des ressources telles que Microsoft 365 et les applications cloud, quel que soit l’endroit où ils travaillent.

Et puisque les administrateurs peuvent associer la SSO à une MFA granulaire, ils contrôlent la fréquence des demandes MFA afin de trouver le bon équilibre entre sécurité et productivité des employés.

7. Utilisez la 2FA avec des mots de passe à usage unique basés sur le temps ou basés sur HMAC (TOTP et HOTP)

Grâce à UserLock, vous pouvez choisir entre deux méthodes d’authentification 2FA : les applications d’authentification ou les jetons matériels programmables.

Beaucoup d’organisations choisissent une application d’authentification en vue d’équilibrer la sécurité, la facilité d’utilisation et le coût.

Les jetons de sécurité programmables ou clés de sécurité représentent également un moyen simple et sécurisé pour mettre en œuvre la MFA, en particulier pour les utilisateurs finaux qui ne disposent pas d’un smartphone professionnel.

Avec les méthodes TOTP et HOTP, le jeton (le générateur OTP) génère un code numérique. La sécurité OTP (mots de passe à usage unique) repose sur le fait que les codes changent constamment et qu’ils sont à usage unique, d’où son nom. La méthode HOTP fonctionne exactement comme TOTP, si ce n’est qu’elle utilise un compteur d’authentification plutôt qu’un horodatage.

8. Personnalisez la façon dont vous demandez la 2FA

Pour chaque utilisateur, groupe d’utilisateurs ou unité organisationnelle, vous pouvez spécifier les circonstances dans lesquelles la 2FA est demandée : par type de connexion (connexion à un poste de travail ou à un serveur) et par fréquence (à chaque connexion, tous les X jours, à la première connexion du jour, pour chaque nouvelle machine).

9. Exigez la 2FA pour tous les utilisateurs, y compris les comptes
les plus privilégiés

Sécuriser l’accès de tous les utilisateurs correspond à la volonté de la plupart des organisations de protéger tout compte Active Directory ayant accès aux données et ressources critiques.

Cette démarche renforce en outre la capacité des administrateurs informatiques à restreindre et à intervenir sur les comptes les plus privilégiés : comptes d’administrateurs sur site Windows, comptes d’administrateurs de domaine ou comptes de service Active Directory.

10. Appuyez-vous sur un hébergement sur site,
sûr et toujours disponible

Pour une sécurité maximale, UserLock s’installe directement aux côtés de l’environnement AD sur site de votre organisation. Il peut être administré à distance à partir de n’importe quel poste de travail. Ainsi, toute votre équipe informatique reçoit les informations, les alertes et les rapports sur toutes les activités 2FA de votre organisation.

11. Aidez les utilisateurs finaux avec une réponse
en un clic

Depuis la console, les administrateurs peuvent facilement interagir et répondre à n’importe quelle session, ainsi que réinitialiser ou contourner les paramètres d’authentification pour un utilisateur spécifique.

12. Réduisez les perturbations liées à la 2FA grâce aux restrictions contextuelles

Lorsqu’ils utilisent les restrictions contextuelles de UserLock, les administrateurs peuvent personnaliser les contrôles 2FA afin d’éviter de demander une deuxième authentification à l’utilisateur à chaque fois qu’il se connecte.

Transparentes pour l’utilisateur final, ces restrictions constituent un obstacle considérable pour les attaquants, sans toutefois brider la productivité des employés. Elles aident également les administrateurs à distinguer les demandes légitimes de contournement ou de réinitialisation de la 2FA.

Les facteurs contextuels de UserLock incluent l’emplacement, la machine, l’heure, le type de session et le nombre de sessions simultanées.

13. Trouvez le bon équilibre entre sécurité et productivité avec la 2FA non intrusive

La 2FA de UserLock est non intrusive, pour les utilisateurs comme pour les équipes informatiques.

• Pour les utilisateurs: L’inscription est intuitive et facilement réalisable par les utilisateurs. Les administrateurs informatiques peuvent choisir de fournir aux utilisateurs un ensemble de codes de récupération, qui leur permet de récupérer l’accès aux ressources s’ils ne disposent pas de leur téléphone portable ou de leur clé de sécurité. Des alertes avertissent également les utilisateurs finaux lorsque leurs informations d’identification sont utilisées (avec succès ou non), ce qui aide les utilisateurs à assumer la responsabilité de leur propre accès sécurisé.
• Pour les équipes informatiques: Les demandes d’aide alertent les administrateurs en temps réel. Ils peuvent immédiatement réagir en un clic et permettre aux utilisateurs de poursuivre leur travail.

14. Imposez la 2FA même en l’absence d’accès à Internet

UserLock propose une solution de 2FA sur site complète, qui fonctionne même sans accès à Internet. Cela signifie que l’authentification sécurisée de vos collaborateurs reste possible pratiquement partout.

15. Choisissez une 2FA économique

La 2FA ne coûte pas forcément cher, mais elle doit nécessairement être efficace. UserLock offre une 2FA de qualité professionnelle, puissante et efficace, mais qui reste abordable pour les PME en termes de facilité d’utilisation et de mise en œuvre.

La solution complète de UserLock pour sécuriser les identités AD sur site

La 2FA est l’une des six fonctions principales de UserLock qui fonctionnent ensemble pour sécuriser l’accès aux environnements Active Directory sur site et hybrides.

• Authentification à deux facteurs (2FA) : Authentification sécurisée à deux facteurs sur les connexions Windows, RDP et VPN. Définissez les paramètres de vérification de l’identité de tous les utilisateurs en utilisant des mots de passe à usage unique.
• Authentification unique (SSO): Associée à la MFA et à la gestion des sessions, la SSO de UserLock offre aux collaborateurs un accès transparent et sécurisé aux ressources hébergées dans le cloud, tout en conservant l’authentification sur site.
• Politique et restrictions d’accès contextuelles: Il est possible d’établir des restrictions afin de limiter les périodes où un compte peut se connecter, ainsi que les machines, périphériques ou adresses IP utilisés pour établir la connexion, en utilisant uniquement certains types de session approuvés (y compris Wi-Fi, VPN et IIS), un nombre défini de sessions simultanées, etc. dans le but de réduire le risque d’utilisation inappropriée.
• Surveillance et reporting en temps réel: Chaque connexion est surveillée et testée par rapport aux politiques existantes afin de déterminer si elle doit être autorisée. Une visibilité complète donne un aperçu de tout comportement anormal du compte pouvant indiquer une menace potentielle. Les rapports permettent d’obtenir des informations détaillées pour toute enquête éventuelle.
• Alertes pour l’équipe informatique et l’utilisateur final: Informent le service informatique et l’utilisateur lui-même en cas de connexion inappropriée ou de tentative de connexion échouée.
• Réponse immédiate: Permet au service informatique d’interagir avec une session suspecte, de verrouiller la console, de déconnecter l’utilisateur ou même de le bloquer définitivement.

Plus d’informations sur UserLock.