Configuration de l’authentification multifacteur sur un serveur de rebond pour une institution financière

Configuration de l’authentification multifacteur sur un serveur de rebond
pour une institution financière

  • Client

    Succursale d’un groupe bancaire multinational

  • Industrie

    Finance

  • Lieu

    Hong Kong

Nous avons trouvé UserLock très simple à mettre en œuvre et nous le recommandons aux autres filiales de la banque.

Responsable informatique

  • Défi: La succursale de Hong Kong d’une banque commerciale devait atténuer le risque d’attaque due à des accès non autorisés sur un serveur de rebond via des services de bureau à distance.

  • Solution: Hébergé sur site, UserLock ajoute une authentification multifacteur aux identifiants de connexion Active Directory pour sécuriser l’accès aux serveurs de rebond, les accès directs aux autres serveurs de terminaux et aux postes de travail.

  • Résultats: Grâce à UserLock, la banque est en mesure de restreindre les accès des utilisateurs aux applications critiques de la banque et de répondre aux exigences C-RAF basées sur les risques de l'Autorité monétaire de Hong Kong (HKMA).

La problématique Protéger les connexions au serveur de rebond

Comme de nombreuses institutions financières, cette banque commerciale située à Hong Kong utilise des serveurs de rebond (en anglais) pour séparer les réseaux avec des exigences de sécurité différentes. Agissant comme un relais pour les administrateurs, il isole les applications bancaires critiques des postes de travail potentiellement infectés.

En se connectant avec ses identifiants de connexion Active Directory de l’entreprise, un administrateur se connecte à un serveur de rebond via les services de bureaux à distance de Microsoft (en anglais). Les comptes AD sont configurés pour autoriser ou refuser les accès.

Toutefois le vol, la compromission et l’utilisation abusive des identifiants de connexion restent les pierres angulaires des attaques ciblées et de la fraude. Les comptes AD sont sujets aux attaques par force brute, où de nombreux mots de passe sont essayés jusqu’à ce qu’un fonctionne, ou à une attaque par dictionnaire, où les mots et combinaisons de mot sont autant testés que les mots de passe.

Pour cette raison, de nombreux standards de sécurité mentionnent le besoin de rajouter une authentification multifacteur supplémentaire (MFA) afin de prévenir les accès ou opérations non autorisés. En ajoutant une information de connexion additionnelle, comme un mot de passe à usage unique temporaire fournit par un jeton logiciel ou une application d’authentification, les identifiants de connexion AD n’ont aucune valeur à moins que les facteurs utilisés pour l’authentification ne soient acquis avec eux.

La solution Ajouter la MFA avec des jetons matériels

L’équipe de gestion informatique souhaitait une solution d’authentification multifacteur pour sécuriser les accès au serveur de rebond et pour répondre aux exigences de l’audit local. La technologie devait être fournie par un système hébergé localement (sur site) et fonctionnant avec les identifiants AD de l’entreprise. L’équipe avait également exigée la MFA pour les accès direct aux autres terminaux de serveurs, pour certaines stations de travail spécifiques utilisées pour un accès privilégié, et d’ajouter la MFA pour mieux protéger les connexions VPN.

UserLock a prouvé qu’il répondait à toutes ces exigences. Avec un hébergement sécurisé sur site ne nécessitant pas de connexion internet, il oblige une preuve d’authentification supplémentaire pour confirmer l’identité d’un utilisateur. Il supporte également plusieurs options de second facteur d’authentification, comme par exemple les applications d’authentification et les jetons matériels tels que la clé YubiKey ou Token2.

Les avantages Adapter facilement la MFA pour protéger les actifs bancaires clés

Dans le but d’améliorer davantage la cyber résilience du monde bancaire, l’autorité monétaire de Hong Kong (HKMA) impose à toutes les institutions financières à compléter le C-RAF (en anglais) un cadre basé sur les risques permettant aux institutions autorisées d'évaluer leurs propres profils de risque et de comparer le niveau de défense et de résilience qui seraient nécessaires pour accorder une protection appropriée contre les cyberattaques.

Grâce à UserLock, la banque est capable de limiter les accès utilisateurs aux applications bancaires critiques et il l’aide à répondre aux exigences C-RAF.

  • Sécurité accrue
    L’introduction de l’authentification multifacteur sur les serveurs de rebond, les terminaux de session et les stations de travail individuelles permet de réduire significativement les conséquences lors d’identifiants de connexion compromis.
  • Facilement adopté
    Un déploiement simple et une gestion centralisée ont assuré une configuration et une expérience d'intégration sans douleur. La surveillance en temps réel donne aux administrateurs une vue d'ensemble instantanée de toutes les activités de session utilisateur, ce qui permet de vérifier facilement qui est connecté depuis où, depuis quand.
  • Sécurité abordable
    La banque dispose désormais d’une solution sécurisée et abordable pour le contrôle et la visibilité sur les accès utilisateurs. Fonctionnant avec Active Directory UserLock offre une solution de MFA robuste pouvant être appliquée à chaque type de connexion : connexion Windows, RDP, RD Gateway, VPN, et IIS simplifiant ainsi la mise en place.

Version d'essai de 30 jours

Obtenez votre version d'évaluation gratuite de 30 jours et sécurisez votre réseau Windows avec UserLock

Essai gratuit Découvrir UserLock

Plus de témoignages?

Lisez d'autres avis de nos clients UserLock.

Découvrir