L’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information), en collaboration avec la CNIL (Commission nationale de l'informatique et des libertés), a élaboré un Guide « Recommandations relatives à l’authentification multifacteur et aux mots de passe », dont l’objectif est de transmettre aux organisations des conseils et bonnes pratiques à mettre en place au sein de vos structures pour vous garantir une meilleure protection.
Évolution du Guide de l’ANSSI : une mise à jour majeure
Après une première version publiée en 2012, l’ANSSI et la CNIL ont retravaillé leur Guide afin d’en proposer une réécriture complète. Cette nouvelle version a pour but de constituer un support technique pour accompagner une analyse de risque sur l’authentification.
Pour ce faire, ils ont mis l’accent sur l’authentification des personnes aux machines connectées à votre réseau d’entreprise.
L’ANSSI recommande l’authentification multifacteur (MFA)
Aujourd'hui, l'authentification par mot de passe n'est plus considérée comme une méthode d'identification sûre face aux risques en cybersécurité. L’ANSSI et la CNIL recommandent donc de mettre en place l’authentification multifacteur (MFA), c’est-à-dire d’ajouter un second facteur d’authentification à votre mot de passe afin d’en renforcer la sécurité. Ce second facteur d’authentification peut appartenir à une des trois catégories suivantes :
- Facteur de connaissance : ce que je sais
- Facteur de possession : ce que je possède
- Facteur inhérent : ce que je suis
L'objectif de la MFA est aussi simple qu'efficace : en multipliant le nombre de facteurs d'authentification, les risques sont diminués.
De cette façon, si le mot de passe d'un de vos utilisateurs est compromis, le pirate ne peut accéder au second facteur d'authentification. La mise en place d'un facteur d'authentification supplémentaire renforce ainsi la sécurité des comptes utilisateurs.
Quelles sont les recommandations clés de l'ANSSI concernant la MFA ?
L'ANSSI énumère quelles sont les actions essentielles, par rapport à l’utilisation et au cadre d’application de la MFA.
R1 : Privilégier l'authentification multifacteur
La première recommandation de l’ANSSI consiste à utiliser une authentification multifacteur (MFA).
La MFA de UserLock vous permet d’être en conformité vis-à-vis de cette protection fondamentale. En effet, Userlock rend possible une MFA « granulaire », afin de trouver le bon équilibre entre sécurité et productivité.
R2 : Privilégier l'utilisation de moyens d'authentification forts
Parmi les bonnes pratiques relatives à l’utilisation de la MFA, l’ANSSI recommande l’utilisation de moyens d'authentification forts, basés sur des mécanismes cryptographiques.
Userlock s’appuie sur des algorithmes cryptographiques basés sur TOTP. Grâce à cela, vous pouvez choisir la méthode MFA qui vous correspond le mieux, parmi l'app d'authentification, les clés de sécurité comme Yubikey, ou encore Token2 ou les notifications Push.
Ces options offrent une authentification à deux facteurs forte et simple d'utilisation, afin de protéger les accès au sein de votre organisation.
R9 : Conserver les historiques d'utilisation des facteurs d'authentification
L’ANSSI recommande de conserver les histoires des événements liés aux facteurs d’authentification afin de faciliter la détection de comportements anormaux. Parmi les événements à suivre il peut y avoir : la date de création, les tentatives d’authentification, les demandes de renouvellements, etc.
UserLock permet d’obtenir un audit et des rapports afin de suivre les différents événements (authentifications ou toute autre tentative d’accès) survenus sur les machines connectées au réseau. Ainsi dans le cas d’un accident de sécurité, d’une violation de données ou d’une fuite d’informations, les administrateurs sont en mesure de retracer l’incident grâce à la journalisation.
R11 : Réaliser l'authentification au travers d'un canal sécurisé
L'ANSSI recommande également d'utiliser un canal sécurisé dans le cadre d'une authentification, afin de garantir les propriétés de confidentialité, d’intégrité et d’authenticité.
L'installation de Userlock se veut simple et rapide en tant qu'extension d'Active Directory, afin d'appliquer la MFA pour sécuriser l'étape d'identification sur l'accès à votre Active Directory. En ce qui concerne les accès Cloud, Userlock SSO vous permet de conserver l'authentification des accès sur site.
R39 : Utiliser un facteur de possession…
L’ANSSI conseille l’utilisation d’un facteur de possession (de type clé de sécurité ou token) conforme aux normes RGS. Ils conseillent également de mettre en place des mesures de protection supplémentaires telles que des éléments cryptographiques, des restrictions d’accès, etc.
Dans cette perspective, Userlock vous offre plusieurs méthodes MFA basées sur un facteur de possession, comme un token ou une clé de sécurité, ainsi qu'une application d'authentification sur smartphone.
Répondre aux recommandations de l’ANSSI grâce à UserLock
La MFA de UserLock permet à votre entreprise d’être conforme aux réglementations de l’ANSSI présentées dans ce guide. UserLock se déploie en tant qu'extension de votre Active Directory. La solution UserLock offre une MFA personnalisable et granulaire, pour bénéficier des meilleures pratiques MFA recommandées par l'ANSSI, tout en obtenant le meilleur équilibre entre sécurité et productivité.
Pour résumer, voici les critères de recommandations de l’ANSSI pour lesquels UserLock vous accompagne afin d’assurer votre conformité :
- R1 : Privilégier l'authentification multifacteur
- R2 : Privilégier l'utilisation de moyens d'authentification forts
- R9 : Conserver les historiques d'utilisation des facteurs d'authentification
- R11 : Réaliser l'authentification au travers d'un canal sécurisé
- R39 : Utiliser un facteur de possession…
Pour découvrir plus en détails comment UserLock peut vous aider à être conforme, bénéficiez d’un essai gratuit.