Active Directory (AD) est un système d’authentification et d’autorisation très répandu, qui permet de gérer les accès sur les réseaux d’entreprise. Toutefois, à l’heure où les cyberattaques gagnent en complexité et visent en priorité les identifiants, point d’entrée le plus simple à compromettre, les entreprises ont cruellement besoin de mesures d’authentification fortes pour renforcer leur protection.
L’authentification multifacteur (MFA) ajoute une couche de sécurité au processus de connexion, en demandant aux utilisateurs de fournir au moins deux formes d’authentification avant qu’ils soient autorisés à accéder aux ressources. Dans un grand nombre de secteurs d’activité, réglementations de conformité (en anglais) et polices d’assurance, la MFA est désormais requise parmi les pratiques standard.
Pour fonctionner efficacement, les environnements AD sur site et hybrides ont besoin d’une solution de MFA à la fois pratique et robuste, qui protège les accès système tout en préservant la productivité des administrateurs et des collaborateurs. Les meilleures solutions de MFA offrent également des configurations granulaires qui permettent de les adapter précisément aux besoins de chaque entreprise.
Pour vous aider à trouver le produit de MFA qui convient vraiment à votre entreprise, nous présentons ci-dessous quelques grandes solutions de MFA pour les environnements Active Directory. Nous détaillerons les fonctionnalités de chaque solution, leurs avantages et leurs potentiels inconvénients.
UserLock Multi-factor Authentication (MFA)
La solution de MFA UserLock offre une méthode simple et directe pour mettre en œuvre une MFA robuste dans les environnements Active Directory sur site et hybrides. Les administrateurs peuvent choisir d’activer la MFA UserLock pour le VPN, l’authentification Windows, RDP, RD Gateway, IIS, ainsi que pour les SaaS et leurs différentes applications cloud.
UserLock permet également de mettre en place la MFA avec les applications d’authentification comme Microsoft ou Google Authenticator, mais aussi avec les jetons physiques comme YubiKey ou Token2.
UserLock utilise des mots de passe à usage unique basés sur le temps ou sur HMAC (TOTP et HOTP) pour aider les administrateurs à vérifier l’identité des comptes Active Director et sécuriser l’accès aux réseaux d’entreprise.
Avantages d’UserLock pour la MFA
Choisir UserLock pour la gestion de la MFA offre plusieurs avantages.
- UserLock peut être déployée aux côtés d’un système Active Directory sur site existant. Comme elle s’intègre sans encombre à votre environnement AD sur site existant, UserLock simplifie le déploiement de la MFA dans toute l’entreprise.
- UserLock est conçue à la fois pour les environnements AD sur site et hybrides. Avec UserLock, il est possible de mettre en place la MFA sur plusieurs plateformes différentes. Les administrateurs peuvent également activer la MFA sur n’importe quel ordinateur ou appareil enregistré dans AD.
- UserLock offre une personnalisation granulaire de la MFA. Les meilleures solutions de MFA permettent aux administrateurs de configurer la MFA de sorte à éviter l’« accoutumance à la MFA ». Grâce à sa MFA granulaire, UserLock permet à chaque entreprise de configurer ses propres règles et exigences relatives à la MFA. Ainsi, elle fluidifie l’expérience des utilisateurs finaux et préserve leur productivité, tout en favorisant le renforcement de la sécurité.
- UserLock fournit une contextualisation du contrôle des accès. Les exigences d’authentification et de connexion des utilisateurs varient d’une entreprise à l’autre. UserLock permet à chacune de définir ses propres politiques d’accès à l’aide d’une gestion contextuelle des accès. Toute tentative d’authentification qui ne répond pas aux exigences définies est bloquée.
- UserLock prend en charge plusieurs méthodes de MFA. UserLock est compatible avec plusieurs options de MFA, en toute transparence : services de notifications push, applications d’authentification et jetons physiques.
- UserLock fournit la MFA aux utilisateurs sans accès à Internet. Les meilleurs produits de MFA proposent également des solutions adaptées aux utilisateurs hors ligne. Hébergée sur site de façon sécurisée, la MFA UserLock disponible hors ligne permet également de protéger les systèmes sans connexion à Internet.
- UserLock peut proposer la MFA aux utilisateurs distants. Quand les équipes travaillent à distance ou qu’elles sont réparties sur plusieurs sites, il est essentiel de protéger les utilisateurs qui se situent hors du LAN ou du VPN de l’entreprise. Avec UserLock Anywhere, les entreprises peuvent déployer la MFA même lorsque l’utilisateur n’est pas connecté au réseau.
- UserLock permet d’activer la MFA sur tous les appareils inscrits dans AD ou sur les serveurs de terminaux autonomes. L’ajout d’UserLock aux nouveaux ordinateurs et nouveaux équipements s’effectue facilement. UserLock peut détecter automatiquement les nouveaux terminaux pour implémenter directement la politique de MFA de l’entreprise.
- La MFA UserLock couvre plusieurs types de connexions simultanément. Il est possible de déployer la MFA UserLock sur les connexions IIS, RDP, RD Gateway et VPN, entre autres.
- Les codes de récupération de la MFA UserLock peuvent être utilisés comme des mots de passe à usage unique (OTP). UserLock fournit plusieurs codes de sauvegarde pour les utilisateurs inscrits. Si un utilisateur en a besoin, il peut utiliser un code OTP pour valider la MFA de l’entreprise et accéder au système.
- UserLock simplifie l’inscription à la MFA. Avec UserLock, les nouveaux utilisateurs peuvent s’inscrire rapidement et efficacement au système de MFA de l’entreprise. Les administrateurs IT peuvent ajouter de nouveaux utilisateurs ou activer l’auto-inscription.
Comparaison entre UserLock et les fournisseurs de MFA les plus populaires
Quelles sont les différences entre UserLock et d’autres solutions de MFA bien implantées sur le marché actuellement ?
Duo by Cisco
Cisco Duo Security est une solution d’authentification multifacteur qui valide l’identité des utilisateurs à l’aide d’une application mobile et d’autres méthodes de MFA. Les utilisateurs peuvent utiliser l’application pour confirmer ou rejeter une tentative de connexion, ou encore pour générer un mot de passe. De manière générale, Duo est un produit d’authentification populaire et robuste présentant plusieurs avantages et quelques inconvénients pour les entreprises.
- Duo Security est une solution de MFA basée dans le cloud qui permet de protéger les connexions à Windows sur site. L’intégration à AD sur site et les fonctionnalités associées sont toutefois proposées sous forme de module complémentaire et ne sont pas intégrées nativement. Les utilisateurs doivent installer un logiciel supplémentaire pour intégrer Duo à leur environnement AD.
- Duo propose de nombreuses possibilités pour l’ajout de nouveaux utilisateurs : les administrateurs IT peuvent inscrire les nouveaux utilisateurs à partir de services tels que Microsoft Azure AD (devenu Microsoft Entra ID), AD sur site, ou encore Lightweight Directory Access Protocol (protocole d’accès léger aux annuaires - LDAP).
- Si Duo propose une expérience de MFA simple et directe, elle ne dispose pas de la visibilité globale sur le réseau offerte aux administrateurs par d’autres solutions de MFA comme UserLock.
- Avec Duo, les administrateurs peuvent générer des rapports sur l’état du déploiement de la MFA, mais le contrôle des sessions proposé par la solution peut s’avérer insuffisant pour certaines entreprises.
- Duo ne propose pas certaines options de MFA hors ligne offertes par d’autres produits comme UserLock.
- L’option de MFA RDP de Duo ne permet pas de configurer l’authentification de façon granulaire, par exemple en configurant des paramètres au niveau utilisateur ou groupe.
Thales SafeNet Authentication Service (SAS)
Thales SafeNet Authentication Service (SAS) est une solution d’authentification sur site. Elle propose une authentification sécurisée employant différentes méthodes de MFA.
Dans l’ensemble, SAS couvre un large éventail de cas d’utilisation. La solution prend en charge une grande variété de types de connexions : VPN, VDI, applications cloud, accès au réseau local et portails web. Elle possède d’autres avantages et certains inconvénients.
- SAS est relativement simple à déployer et à proposer aux nouveaux utilisateurs, mais l’opération passe toujours par une intégration manuelle par les administrateurs.
- Pour les utilisateurs AD sur site, SAS ne propose pas de politiques de MFA granulaires par utilisateur, groupe, unité organisationnelle ou type de connexion.
- Les utilisateurs qui souhaitent avoir recours à l’authentification unique (SSO) doivent installer un composant logiciel supplémentaire.
- Pour les administrateurs qui ont besoin d’un contrôle des sessions et d’une visibilité système détaillés, il manque à SAS certaines fonctionnalités proposées par d’autres solutions de MFA comme UserLock, en particulier lorsqu’il s’agit de générer des rapports sur les authentifications Windows ou les connexions RDP.
Okta
Okta propose tout un éventail d’outils de MFA pour les entreprises qui souhaitent sécuriser leurs accès utilisateurs. Elle offre aux administrateurs une configuration granulaire du contrôle des accès, avec des politiques basées sur le contexte visant à fluidifier l’expérience utilisateur.
Selon les besoins de l’entreprise, Okta offre des avantages et des inconvénients.
- La solution Okta peut nécessiter un processus d’intégration manuel extensif.
- Okta donne aux administrateurs une visibilité totale sur l’activité des utilisateurs et les événements de connexion, même si elle n’offre pas un contrôle des sessions au-delà de la MFA, ce qui peut être insuffisant pour certaines entreprises.
- Okta s’intègre très bien aux meilleures solutions de MFA. UserLock peut travailler en collaboration avec Okta et combiner la MFA sans connexion à un fournisseur d’IP dans le cloud. Sa facilité d’intégration à AD simplifie la configuration de la MFA AD sur site.
IBM Security Verify
IBM Security Verify offre différentes options de gestion des identités et des accès (IAM), dont la SSO et la MFA. Cette solution de MFA est compatible avec les applications sur site et dans le cloud, et présente des avantages et des inconvénients selon les besoins de l’entreprise.
- IBM Security Verify ne s’intègre pas aux comptes AD existants, à la différence d’UserLock.
- Les administrateurs qui cherchent à améliorer leur visibilité système peuvent générer des rapports sur l’authentification des utilisateurs par MFA, même si le contrôle des sessions peut s’avérer insuffisant, puisqu’il ne va pas plus loin.
- Les entreprises auront peut-être besoin d’installer une application distincte qui lie les identités IBM à un système AD sur site.
ManageEngine
ManageEngine propose plusieurs solutions de gestion informatique, dont la gestion des mots de passe. Après l’installation, les administrateurs de ManageEngine peuvent lier des politiques MFA à leurs outils de contrôle des mots de passe au niveau du groupe ou de l’unité organisationnelle. La solution présente différents avantages et inconvénients :
- Pour certaines entreprises, ManageEngine n’offre peut-être pas un contrôle assez granulaire au niveau utilisateur.
- Les administrateurs peuvent générer des rapports sur les mots de passe refusés et l’état de connexion des utilisateurs.
- Au-delà de la MFA, ManageEngine n’offre peut-être pas le niveau de contrôle des sessions requis par beaucoup d’administrateurs.
Pourquoi choisir UserLock pour la MFA ?
Face aux autres grandes solutions de MFA pour Active Directory, UserLock offre plusieurs avantages :
- UserLock combine la MFA et la SSO pour fournir aux utilisateurs finaux un accès sécurisé et fluide aux ressources réseau et cloud.
- UserLock s’intègre aux environnements AD existants, sans qu’il soit nécessaire de créer de nouveaux annuaires.
- UserLock s’adapte à la croissance des entreprises, en couvrant la totalité des utilisateurs AD.
- UserLock combine la MFA et la gestion des sessions pour fournir aux administrateurs le contrôle détaillé et la visibilité sur leurs environnements dont ils ont besoin.
- UserLock permet d’authentifier les utilisateurs partout où ils se trouvent, en proposant la MFA aux collaborateurs distants et sur site.
- Avec UserLock, les entreprises peuvent conserver leur solution de gestion des accès AD actuelle et étendre la protection des accès aux réseaux de l’entreprise et aux applications cloud.
- UserLock propose des contrôles granulaires qui permettent aux administrateurs de configurer les politiques de MFA au niveau des utilisateurs, des groupes et des unités organisationnelles.
- Les administrateurs peuvent générer des rapports sur une myriade de facteurs afin d’analyser la sécurité des systèmes en détail.
Témoignages de clients UserLock
Shift Technologies
Shift Technologies cherchait un système d’authentification à deux facteurs (2FA) capable de prendre en charge plusieurs clients. L’entreprise cherchait également à se mettre en conformité avec les exigences de MFA de sa police de cyberassurance. Shift avait besoin que la solution de 2FA fonctionne sans connexion à Internet, qu’elle soit capable de gérer toutes les tentatives d’accès au sein du réseau et qu’elle permette de personnaliser l’accès de chaque utilisateur.
Comme le client cherchait une solution sur site capable de s’intégrer directement avec Active Directory, UserLock est vite apparue comme le choix idéal. La compagnie d’assurance a approuvé l’utilisation d’UserLock, et l’équipe de Shift Technologies a découvert que son approche de la 2FA était simple à déployer, conviviale et garantissait un accès sécurisé tout en préservant la productivité des collaborateurs.
Je n’ai jamais eu de problèmes à installer UserLock à distance sur les systèmes de nos employés. UserLock est très léger : une fois installé, on ne le remarque même pas.
Ryan Olson
Spécialiste technologies chez Shift Technologies
Ministère de la Défense d’un pays d’Europe
Le ministère de la Défense d’un pays européen faisait face à un dilemme : il avait besoin d’une solution de MFA sur site capable de s’aligner avec la réglementation nationale et les exigences de l’OTAN. La solution devait être facile à configurer aux côtés d’une infrastructure AD existante, tout en permettant l’inscription à distance afin d’intégrer les déploiements automatisés lors de missions.
En définitive, le Ministère a choisi UserLock pour fournir une sécurité robuste à leurs nombreux réseaux et comptes administrateurs classés. Les fonctionnalités d’UserLock ont répondu aux exigences du ministère de la Défense et aux standards de sécurité de l’OTAN. La solution s’est avérée adaptée à leur environnement de mission dynamique. Résultat : le ministère peut désormais s’appuyer sur UserLock pour fournir une MFA robuste en vue de protéger ses réseaux.
Nous recommandons UserLock à toutes les institutions et organisations gouvernementales qui ne peuvent pas se permettre d’être connectées au cloud.
Architecte de sécurité
Ministère de la Défense d’un pays d’Europe
Service de police de la Ville de Québec
Le Service de police de la Ville de Québec a l’obligation de mettre en œuvre la MFA afin de répondre aux exigences de conformité. La Ville de Trois-Rivières possédait 250 jetons YubiKey et avait besoin de trouver une solution de MFA compatible avec ces dispositifs. UserLock est apparue comme la solution idéale, grâce à sa prise en charge des jetons YubiKey pour la MFA sur les connexions RDP et locales.
Après installation de la MFA UserLock, le Service de police de la Ville de Québec a satisfait aux exigences réglementaires en matière de MFA tout en simplifiant ses opérations quotidiennes. La compatibilité d’UserLock avec YubiKey a fluidifié l’intégration des jetons existants. Sa console centralisée et ses rapports de connexion ont permis à la Ville de Trois-Rivières de gérer et de superviser les accès utilisateur.
UserLock nous simplifie la vie grâce à sa facilité d’installation et d’utilisation. L’installation n’a pris que quelques minutes et la configuration initiale s’est effectuée sans encombre. Le faible coût de la solution, sa facilité de mise en œuvre, la qualité de la documentation et la période d’essai gratuite de 30 jours ont fini de me convaincre.
Mathieu Vandal
Technicien en chef - administrateur système du Service de police de la Ville de Québec
La solution de MFA UserLock
Vous cherchez la meilleure solution de MFA pour votre environnement Active Directory sur site ou hybride ? Faites confiance à la MFA UserLock pour Active Directory pour bénéficier d’une intégration fluide, de contrôles granulaires, et de méthodes de protection par MFA supplémentaires qui répondent à vos exigences de sécurité des systèmes.