UserLock :
une alternative
à l'authentification
multifacteur Duo

L'importance de l'authentification multifacteur (MFA) n'est plus à débattre.

Aujourd'hui les entreprises doivent faire face à des milliers de cyberattaques. Ces dernières sont de plus en plus sophistiquées et les professionnels de tous les secteurs s'accordent sur le fait qu'un simple mot de passe ne suffit plus à protéger les accès. De ce fait, la mise en place d'au moins deux facteurs d'authentification est devenue la nouvelle norme.

Et les données le confirment. Les mots de passe sont loin d'être infaillibles : un rapport indépendant réalisé par Dataprot (en anglais) affirme que plus de la moitié d'entre nous recyclons les mêmes mots de passe entre nos comptes personnels et professionnels. De plus, près de 60 % des victimes de phishing déclarent ne pas avoir modifié leur mot de passe après avoir subi une attaque.

En outre, le rapport d'enquête sur les violations de données 2022 de Verizon indique que plus de 80 % des violations de données sont causées par des erreurs humaines. On constate également que les cas d'attaques par ransomware, en particulier, ont progressé de plus de 10 % ces derniers mois.

Pour toutes ces raisons, et parce qu'il est vital de protéger les données sensibles de votre entreprise, l'accès aux ressources importantes doit exiger au moins deux facteurs d'authentification. Pour autant, votre solution de MFA doit aussi s'adapter aux besoins spécifiques de votre entreprise.

Intéressons-nous de plus près à deux solutions de MFA, en examinant notamment la façon dont elles s'intègrent à Active Directory et leur compatibilité avec les environnements hybrides sur site/cloud. Nous avons analysé les détails des solutions UserLock et Duo en vue de comparer leurs avantages et leurs inconvénients, afin de vous donner une meilleure idée de la solution qui conviendrait le mieux à votre entreprise.

MFA Duo

Duo, également connue sous le nom Duo Security, fait partie de la suite de produits de sécurité Cisco Secure Suite ; l'édition Duo MFA propose la MFA (authentification multifacteur) et la 2FA (authentification à deux facteurs). Les utilisateurs de la MFA choisissent souvent l'application mobile Duo Push comme seconde méthode d'authentification, mais d'autres méthodes sont également disponibles : biométrie, clés de sécurité, jetons, codes de sécurité ou codes de vérification supplémentaires pour l'application mobile Duo Push.

Selon Cisco Secure, Duo a été conçue pour être facilement déployée et intégrée sur n'importe quel appareil. L'entreprise souligne également la capacité d'évolution de la plateforme, ainsi que l'implication minimale des équipes informatiques pendant sa mise en œuvre.

Les administrateurs IT peuvent également gérer et surveiller un tableau de bord présentant tous les appareils des collaborateurs ainsi que les applications auxquelles ils souhaitent accéder, tout en gérant la fonctionnalité d'authentification unique (SSO). Il est également possible de restreindre l'accès ou d'attribuer d'autres mesures de sécurité en fonction du réseau et de l'application auxquels l'utilisateur final cherche à accéder.

Toutefois, il convient de bien faire la distinction entre les différentes éditions proposées, dont le tarif et le niveau de fonctionnalité varient.

  • MFA Duo est proposée au tarif de 3 $ par utilisateur et par mois
  • Duo Access (l'option la plus populaire) est proposée au tarif de 6 $ par utilisateur et par mois
  • Duo Beyond est disponible au tarif de 9 $ par utilisateur et par mois
  • Duo Free, comme son nom l'indique, est gratuite pour un maximum de 10 utilisateurs différents

Toutes les éditions sont fournies avec les options de sécurité 2FA et MFA via Duo Push, mais seul Duo Beyond donne accès à l'ensemble des fonctionnalités. Les autres versions sont limitées à un nombre restreint de méthodes d'authentification. L'édition gratuite n'inclut pas la gestion par tableau de bord. Vous retrouverez le profil complet de chaque édition ici.

Avantages

Pour résumer les avantages que nous avons observés dans notre étude de marché de Duo, les utilisateurs choisissent la plateforme pour les raisons suivantes :

  • Elle prend en charge une multitude d'appareils très répandus, notamment iOS, Android, Windows, etc.
  • L'interface utilisateur est lisible, conviviale et le portail utilisateur est également facile d'accès pour les administrateurs et les utilisateurs finaux.
  • De nombreuses méthodes d'authentification sont disponibles.
  • L'application permet aux administrateurs informatiques de choisir entre l'inscription des utilisateurs par un administrateur ou l'auto-inscription.
  • L'accès à distance et la gestion de la plateforme facilitent l'identification des menaces et renforcent la sécurité des systèmes et des réseaux de l'entreprise.
  • L'analyse des terminaux permet à Duo de gérer et de surveiller les utilisateurs qui s'authentifient, quel que soit l'appareil utilisé.
  • Les fonctionnalités orientées cloud de Duo profiteront particulièrement aux entreprises qui sont déjà passées à une gestion des identités 100 % dans le cloud.
  • Avant de mettre en œuvre Duo, il est possible d'utiliser la version d'essai gratuite de 30 jours pour tester la solution dans l'environnement réel et décider si elle est adaptée.

Inconvénients

Nos recherches ont également révélé plusieurs problèmes rencontrés par certains utilisateurs lors de l'utilisation de Duo :

  • Les intégrations et les fonctionnalités sur site sont implémentées à l'aide d'un module complémentaire plutôt que nativement.
  • Les profils utilisateurs doivent être créés dans Duo, manuellement ou via la fonction de synchronisation.
  • Les administrateurs informatiques disposant d'un environnement Active Directory doivent gérer un annuaire supplémentaire en double, car l'authentification a lieu dans le cloud, ce qui complique la gestion et peut prendre du temps.
  • Comme l'authentification a lieu dans le cloud, la MFA n'est pas disponible hors ligne. Cela peut entraîner des risques de sécurité en cas de problème de fiabilité de la connexion au cloud. En outre, cette situation peut engendrer des problèmes de conformité.
  • L'intégration à Active Directory n'est pas automatique et nécessite l'installation d'un autre logiciel, Duo Authentication Proxy.
  • La synchronisation est nécessaire, car Duo agit en tant que fournisseur d'identité, ce qui peut s'avérer problématique.
  • La synchronisation avec Active Directory ne s'exécute que deux fois par jour automatiquement (même si la synchronisation manuelle reste possible), ce qui peut conduire à une perte de temps et un manque de visibilité.
  • Étant donné que de nombreuses réglementations de conformité imposent que l’authentification d’identité reste sur site, Duo n'est pas en mesure de satisfaire aux exigences de sécurité de nombreuses entreprises.
  • Par ailleurs, ces systèmes cloud ne disposent souvent pas d'outils ni de fonctionnalités permettant de gérer l'infrastructure sur site des entreprises qui ont besoin de maintenir leurs systèmes traditionnels.
  • Le contrôle des sessions au-delà de la MFA n'est pas possible.
  • L'absence de MFA granulaire signifie que les paramètres locaux et RDP sont pratiquement inexistants et que les administrateurs ne peuvent pas choisir d'appliquer la MFA à certains utilisateurs ou groupes uniquement pour les connexions distantes ou locales.
  • La grande variété des méthodes d'authentification peut être déroutante et compliquée.
  • L'interface est parfois difficile à comprendre ; certains utilisateurs pensent que le portail propose trop d'options (en particulier les administrateurs IT).
  • Les tarifs élevés pour les petits comme pour les très grands nombres d'utilisateurs peuvent s'avérer prohibitifs pour les PME et les grandes entreprises.
  • Les entreprises qui choisissent les éditions les moins chères doivent envisager de souscrire à une assistance informatique complémentaire.
  • Les administrateurs ne peuvent configurer la MFA hors ligne (sans connexion Internet) que de façon temporaire, pour un nombre défini de connexions ou de jours.

L'alternative à la MFA Duo : UserLock

Userlock, notre alternative à la MFA Duo, sécurise les accès sur site, dans le cloud et à distance en proposant des fonctionnalités MFA et SSO. En outre, votre entreprise peut compléter la MFA par de puissantes fonctionnalités de gestion des sessions et des restrictions contextuelles, qui ajoutent de nouvelles couches de sécurité afin de renforcer la vérification de l'identité de tous les utilisateurs et de mieux sécuriser l'accès au réseau.

Grâce aux restrictions contextuelles de UserLock, vos administrateurs IT peuvent définir des stratégies permettant d'autoriser, de limiter ou de rejeter les tentatives d'accès en fonction de la machine, de l'appareil, de l'emplacement, de l'heure, du type de session, du point d'accès initial et du nombre de sessions simultanées.

Les administrateurs IT peuvent également personnaliser les conditions de la MFA afin de fluidifier l'expérience utilisateur. La MFA granulaire de UserLock permet aux entreprises de personnaliser, définir et gérer la MFA en se basant sur différents aspects tels que l'utilisateur, le groupe, l'unité organisationnelle (OU) et le type de connexion. Conséquence essentielle : l'administrateur IT n'a plus à exiger la MFA chaque fois qu'un utilisateur se connecte. Il lui suffit de définir les circonstances dans lesquelles la MFA doit s'appliquer, ce qui permet aux entreprises d'équilibrer la productivité et la sécurité des utilisateurs.

Facile à déployer, la MFA UserLock peut être facilement installée en tant qu'extension de votre annuaire AD sur site existant. Elle s'adapte à l'évolution des besoins de votre entreprise, et comme l'authentification reste sur site, la SSO sécurisée de Userlock permet aux structures hybrides d'accéder aux ressources du cloud sans sacrifier la facilité d'utilisation ni l'aspect familier d'AD.

Des rapports et des audits complémentaires peuvent également être exploités pour renforcer la protection contre les comportements inadaptés ou dangereux. En outre, UserLock permet aux administrateurs IT de suivre et de créer des rapports sur tous les événements d'accès à AD et aux applications cloud, ce qui soutient l'investigation d'incidents IT.

Plutôt que de proposer un tarif calculé en fonction du nombre de machines à protéger, UserLock utilise un tarif annuel basé sur le nombre d'utilisateurs actifs sur une période de 30 jours. Pour plus d'informations sur la tarification de UserLock et pour demander un devis, cliquez ici.

Avantages

Nos études de marché et les témoignages publiés par nos clients mettent en lumière plusieurs avantages intéressants :

  • UserLock est facile à déployer et à mettre en œuvre, et comme la solution est conçue pour Active Directory, l'intégration s'effectue automatiquement.
  • L'authentification des identités a lieu entièrement sur site en utilisant les comptes AD pour l'authentification locale et SSO.
  • Les nouveaux groupes et utilisateurs sont synchronisés toutes les 5 minutes, et les utilisateurs ajoutés aux groupes sont synchronisés en temps réel.
  • L'agent UserLock est automatiquement déployé sur toutes les machines au moment de l'installation, ce qui élimine toute configuration manuelle des appareils.
  • Différents niveaux d'accès peuvent être définis afin de s'adapter aux différents niveaux de sécurité des collaborateurs.
  • Grâce aux stratégies de MFA, les administrateurs IT peuvent demander la MFA en fonction de l'utilisateur AD, du groupe, de l'unité organisationnelle, et même en fonction du type et de la fréquence de connexion.
  • Les options complètes de contrôle des sessions leur permettent également de restreindre le nombre de sessions simultanées et de limiter l'accès selon l'heure, la machine, la plage d'adresses IP, l'emplacement et bien d'autres paramètres.
  • Le contrôle des accès peut s'appuyer sur le rôle ou sur des attributs. Grâce à ces capacités détaillées et granulaires, les entreprises sont en mesure d'équilibrer de façon optimale la sécurité et la productivité.
  • L'authentification des identités sur site leur permet en outre de répondre aux exigences de conformité qui imposent que l'authentification reste sur site.
  • Par sa structure tarifaire, UserLock est une solution plus abordable pour les PME et les grandes entreprises.
  • La MFA fonctionne même sans accès à Internet.
  • La MFA est opérationnelle sur les connexions hors réseau grâce à UserLock Anywhere, qui prend en charge la création de restrictions contextuelles, de rapports et d'alertes de la même façon que sur le réseau d'entreprise.
  • La MFA peut être demandée pour les sessions interactives sans connexion au réseau ; il suffit que les utilisateurs se soient auparavant inscrits à la MFA.

Inconvénients

Certains utilisateurs ont remarqué les inconvénients suivants :

  • Aucune application Push mobile n'est actuellement disponible comme méthode d'authentification secondaire en parallèle de la plateforme. Cependant, une application Push est en cours de développement ; elle devrait être disponible au début de l'année 2023.
  • À la différence d'autres solutions, UserLock n'utilise pas de plateforme de gestion des licences pour les fournisseurs de services managés, mais une plateforme est en cours de production, avec une sortie prévue en 2023. Lorsque cette plateforme sera déployée, elle inclura une tarification globale (basée sur le nombre total d'utilisateurs chez tous les clients), ainsi qu'un provisionnement des licences en libre-service pour les clients finaux.
  • La plateforme ne peut pas être personnalisée pour refléter les couleurs ou le thème de l'entreprise.
  • Les méthodes d'authentification par MFA disponibles ne sont pas aussi nombreuses que dans d'autres solutions, parce que nous avons choisi de nous passer des facteurs secondaires faibles comme les SMS, les e-mails ou le téléphone.
  • Les utilisateurs doivent s'inscrire eux-mêmes.
  • UserLock n'analyse pas les terminaux, ce qui peut être un point bloquant pour certaines entreprises. UserLock applique les stratégies aux machines sur lesquelles un agent a été déployé, ce qui permet d'utiliser la MFA sans connexion Internet.

Pour en savoir plus sur les avantages et les inconvénients de UserLock, découvrez nos autres témoignages d'utilisateurs ici. Vous pouvez également consulter notre sélection d'études de cas qui présentent ce que UserLock a proposé à diverses entreprises opérant dans une multitude de secteurs d'activité.

Comparatif UserLock/Duo : focus sur la compatibilité avec Active Directory

Dernier point, mais pas le moindre, l'une des exigences clés des clients lorsqu'il s'agit de comparer UserLock à Duo concerne la compatibilité de la solution avec AD. Les deux plateformes peuvent être intégrées à AD et considérées comme sûres, mais il subsiste une différence majeure :

UserLock se déploie à partir d'AD et conserve AD en tant que plateforme d'identité principale. Ainsi, UserLock est capable d'appliquer des modifications aux règles de contrôle des accès utilisateur pratiquement en temps réel.

L'interopérabilité transparente entre UserLock et AD permet aux administrateurs de voir les menaces et de réagir en temps réel pour les prévenir. Par exemple, si un utilisateur de votre entreprise demande à travailler en dehors des règles de contrôle d'accès existantes (par ex. en dehors des heures autorisées), l'administrateur peut appliquer une nouvelle règle temporaire qui reviendra automatiquement à la normale par la suite.

À titre comparatif, la MFA de Duo se synchronise uniquement à Active Directory deux fois par jour, ou manuellement. Ce processus est clairement moins efficace et réactif que Userlock, et il n'est pas aussi pratique. Sa gestion est également susceptible de prendre plus de temps.

En l'état, UserLock permet à votre entreprise de conserver l'usage et les fonctionnalités de votre système AD : votre processus global est ainsi moins sujet aux perturbations.

Toutes ces informations devraient vous donner les moyens de choisir une plateforme qui correspond aux besoins spécifiques de votre entreprise, qu'il s'agisse d'AD ou d'autres aspects. Si UserLock vous intéresse, vous pouvez l’essayer en réservant une démonstration.

Découvrez comment UserLock peut vous aider
à gérer la sécurité de votre entreprise.

Téléchargez un essai gratuit Planifiez une démo