Pourquoi l'authentification
multifacteur
ou à deux facteurs
pour les identifiants Active Directory?

L’impact d’une mauvaise sécurisation des connexions est important

La menace liée à une mauvaise sécurisation des connexions représente l’une des plus dangereuses pour une entreprise.

Un rapport récent a révélé que 81% des violations liées au piratage informatique utilisaient des mots de passe volés ou faibles, et par violations, nous entendons davantage que le simple vol de données. Souvent, un attaquant détruit des données, modifie des programmes ou des services, ou utilise des serveurs pour transmettre des propagandes, des spams ou des codes malveillants.

Peu importe la qualité des défenses de votre périmètre réseau, des pare-feu, des logiciels antivirus et des logiciels de détection des menaces; si vos employés sont victimes d'escroqueries par phishing, partagent des mots de passe ou ont toujours accès aux fichiers de l'entreprise, même après leur départ, vous êtes tout à fait ouvert aux attaques.

La réalité fait réfléchir: si l’authentification multifacteur n’est pas en place, ces autres mesures de sécurité peuvent être contournées.

L'authentification multifacteur aide à sécuriser l’accès

Comment l'authentification multifacteur aide à sécuriser l’accès

L'authentification multifacteur est l'un des contrôles les plus efficaces qu'une entreprise puisse mettre en œuvre pour empêcher un adversaire non autorisé à accéder à un périphérique ou à un réseau et donc à des informations sensibles. Également appelée MFA, l'authentification multifacteur associe deux facteurs ou plus pour créer une défense en couches.

L'ajout d'un deuxième facteur (authentification à deux facteurs) signifie généralement que vous devez indiquer «quelque chose que vous possédez» ou «quelque chose que vous êtes» en plus d'un mot de passe - «quelque chose que vous connaissez». Si un facteur est compromis ou cassé, un utilisateur non autorisé a toujours au moins une barrière à franchir avant de pénétrer avec succès dans un système cible.

Cela renforce considérablement la sécurité de l'authentification multifacteur dans la mesure où un utilisateur doit prouver qu'il dispose d'un accès physique à un deuxième facteur qu'il possède (par exemple, un smartphone) ou qu'il est (par exemple, une empreinte digitale).

L'utilisation d'au moins un élément de chaque catégorie est requise pour qu'un système soit considéré comme une authentification à trois facteurs et en raison d'un obstacle évident pour les utilisateurs, c’est rare en dehors des systèmes gouvernementaux ou militaires à haute sécurité.

Authentificat ion à deux facteurs pour des réseaux d'entreprise

Authentification à deux facteurs pour des réseaux d'entreprise

L'authentification à deux facteurs, également appelée 2FA, est disponible pour aider à résoudre les vulnérabilités des mots de passe d'entreprise pour les entreprises de toutes tailles.

Par exemple, lors de la connexion à un réseau d'entreprise, les utilisateurs doivent d'abord saisir leurs informations d'identification Active Directory, suivies d'un mot de passe à usage unique (OTP) basé sur le temps ou HMAC. Cet OTP (un code numérique) est recherché auprès de quelque chose qu'un utilisateur «a» - une application pour smartphone spécialisée appelée authentificateur ou jeton matériel programmable.

L’utilisation d’un smartphone en tant que «jeton sécurisé» évite aux utilisateurs de transporter un appareil dédié, qui est coûteux et peut facilement être perdu. Cela simplifie considérablement la vie des utilisateurs et du service informatique, et la mise en place est beaucoup moins chère.

Alternativement, un périphérique externe peut être simplement branché sur un port USB et saisira automatiquement la clé OTP pour vous. L'utilisateur n'a qu'à appuyer sur son appareil, ce qui rend l'expérience utilisateur encore plus fluide.

L’authentification avec un OTP est également considérée comme plus sécurisée que d'autres options telles que l'authentification par SMS. Les SMS se sont révélés extrêmement vulnérables aux atteintes à la sécurité et ont été au centre de nombreux piratages à deux facteurs. La technologie est facilement exposée aux attaques par échange de cartes SIM et les messages SMS peuvent être facilement interceptés.

L'utilisation de l'authentification à deux facteurs avec OTP est considérée comme le meilleur équilibre entre sécurité, convivialité et coût disponible à ce jour.

Approche multi-couches de la MFA

L'authentification multifacteur a ses points forts, mais comme toute approche de sécurité, elle devient plus puissante lorsqu’elle est utilisée conjointement avec d'autres.

Le contexte de la tentative d’authentification de l’utilisateur peut également être utilisé pour autoriser, refuser ou limiter l’accès de l’utilisateur. Il offre la preuve qu’il s’agit de la personne autorisée jouissant du droit d’accès. En fait, certains experts considèrent ce contexte comme un (troisième) facteur supplémentaire d'authentification.

Au lieu de permettre à tout le monde de se connecter comme bon leur semble, la gestion de l'accès contextuel utilise des restrictions basées sur des stratégies pour définir qui peut se connecter, comment (par exemple RDP, local), d'où, à quelle fréquence et à quel moment.

Vous ne voulez pas que quelqu'un se connecte avec des droits d'administrateur après les heures normales? La gestion des accès contextuels peut résoudre ce problème. Limiter l'accès à vos contrôleurs de domaine aux seules machines internes d'un certain sous-réseau? Ça aussi. Empêcher certains utilisateurs d'avoir des connexions simultanées? Aucun problème.

Avec des restrictions contextuelles en place, les administrateurs peuvent alors personnaliser les contrôles MFA afin d’éviter d’apparaitre pour l’utilisateur à chaque fois qu’il se connecte. Transparents pour l’utilisateur final, cela constitue un obstacle important pour les attaquants, sans toutefois nuire à leur productivité.

Ne considérez pas une nouvelle technologie telle que la MFA comme un «substitut» à ce qui existe. Vous pouvez assurer une sécurité accrue avec chaque couche de sécurité supplémentaire que vous ajoutez.

Télécharger ce livre blanc en PDF

Version PDF - 180 KB

Découvrez comment UserLock facilite
l’activation de l’authentification multifacteur
sur les connexions Windows et les connexions RDP.

Essai gratuit