En moins d'une décennie, la façon dont les entreprises appliquent l'authentification multifacteur (MFA) a beaucoup évolué. Initialement perçue comme une technologie spécialisée, conçue pour sécuriser les comptes privilégiés, elle est désormais recommandée pour protéger tous les comptes utilisateur et de service.
Cependant, les solutions de MFA n'ont pas toutes été conçues dans l'optique d'être appliquées à l'ensemble des utilisateurs d'un environnement. Résultat : cette approche uniforme de la MFA entrave la productivité des utilisateurs finaux comme des administrateurs IT.
La sécurité est importante, mais il ne faut pas qu'elle devienne un obstacle aux opérations quotidiennes de l'entreprise. Comment les équipes IT peuvent-elles appliquer la MFA tout en trouvant le bon équilibre entre sécurité et productivité ? La solution : permettre une application conditionnelle de la MFA, en utilisant des contrôles granulaires. C'est ce que nous appelons MFA granulaire.
Pourquoi utiliser la MFA granulaire
Avant de rentrer dans le détail des avantages de la MFA granulaire, prenons un peu de recul afin de comprendre pourquoi les entreprises ont besoin que la MFA fonctionne de façon plus conditionnelle.
1. La MFA est souvent une exigence réglementaire
Aujourd'hui, les organisations mettent généralement en œuvre la MFA pour au moins une des raisons suivantes :
- Elle est imposée ou fortement recommandée par plusieurs réglementations différentes, comme c’est le cas de la future norme PCI DSS 4.0 (en anglais).
- Elle est exigée pour répondre à un besoin spécifique, comme dans le cas d'une police de cyberassurance.
- On la considère comme une bonne pratique (par exemple, dans le cadre d’une démarche Zero Trust).
Si la MFA connaît actuellement une vague de popularité et qu'elle est recommandée par de nombreuses bonnes pratiques, c’est parce que les comptes utilisateurs constituent souvent la cible de choix des attaquants, et la principale vulnérabilité. Dans pratiquement toutes les cyberattaques, l’identification de l’utilisateur représente le point d’accès commun. Par exemple, en se procurant un seul jeu d’identifiants, les attaquants peuvent contourner les couches de sécurité du réseau et des terminaux traditionnels, et il est très difficile pour les équipes de sécurité de lutter contre cette approche. Les conséquences sont visibles partout, comme on a pu le constater avec la vague récente de cyberattaques très médiatisées, qui exploitaient pour beaucoup des systèmes d’authentification vulnérables.
Pour toutes ces raisons, les entreprises sont de plus en plus nombreuses à vouloir mettre en œuvre la MFA pour tous leurs utilisateurs, et ce le plus vite possible.
Et quand les entreprises appliquent la MFA à tous les utilisateurs, elles amplifient les risques de rencontrer des difficultés ou des problèmes de productivité.
2. Les administrateurs IT jonglent avec les méthodes d'authentification
Tout d'abord, les technologies utilisées pour servir de second facteur d'authentification sont très diverses. Chacune présente ses avantages et ses inconvénients du point de vue de la charge utilisateur. Citons par exemple les codes à usage unique, les jetons physiques et les notifications push. Les administrateurs IT peuvent avoir besoin de préciser quand et comment ils souhaitent demander la MFA, en s'appuyant sur différents facteurs selon la méthode de MFA préférée de leurs utilisateurs.
3. L'accoutumance à la MFA est un vrai problème
Autre difficulté : pour satisfaire aux exigences relatives à la MFA, les administrateurs IT sont bien souvent limités à une solution de MFA qui demande une double authentification à chaque tentative de connexion des utilisateurs. Selon la méthode de MFA choisie, cela signifie souvent que les utilisateurs doivent saisir plusieurs codes à usage unique ou utiliser leur jeton physique plusieurs fois par jour.
Tout cela entraîne une accoutumance aux procédures d’authentification. Inévitablement, l’expérience utilisateur (UX) s’en trouve détériorée, le mécontentement se renforce et la productivité baisse.
4. À la longue, ces contraintes peuvent créer un cercle vicieux entre les utilisateurs et les équipes IT
Plus les utilisateurs sont mécontents, moins ils sont enclins à utiliser la MFA. Les administrateurs informatiques doivent alors tâcher de leur expliquer une situation qu’ils ne peuvent pas modifier sans affaiblir la posture de sécurité de toute l’entreprise.
En quoi consiste alors la MFA granulaire ?
Nous le savons tous, il peut s’avérer délicat de mettre en place et de gérer la MFA en couvrant une multitude de contextes professionnels sans qu’elle devienne un obstacle qui complique la vie des collaborateurs. Dans le pire des cas, personne n’est content. La productivité et la sécurité sont toutes les deux impactées, même partiellement.
Pour développer une infrastructure informatique efficace à long terme, il est vital de trouver le bon équilibre entre sécurité et productivité.
Bien entendu, la forme précise de cet équilibre sera différente pour chaque entreprise, employé ou partenaire. Il est donc essentiel d'adapter les stratégies de sécurité informatique comme la MFA aux différents besoins d'accès et aux différents niveaux de risque. En utilisant une MFA dotée de contrôles contextuels granulaires et personnalisés, les équipes IT peuvent satisfaire aux exigences de sécurité sans imposer une charge trop lourde aux utilisateurs, tout en offrant plus de sécurité que nécessaire pour un contexte donné.
La granularité permet de déterminer à qui, comment et si la MFA doit être proposée
En pratique, on distingue deux types de MFA granulaire et personnalisée pour Active Directory.
- La première se base sur qui est invité à utiliser la MFA. Par exemple, en s'appuyant sur le rôle ou le service de l'utilisateur indiqué par Active Directory (AD) ou l’unité organisationnelle (OU).
- La seconde spécifie les conditions qui déterminent comment ou si les utilisateurs sont invités à s’authentifier. Par exemple, il peut s’agir de demander la MFA aux utilisateurs en fonction du type de connexion ou d’une plage d’adresses IP (accès interne ou accès distant).
Même si pratiquement toutes les solutions de MFA offrent un certain niveau de granularité pour identifier qui déclenche une authentification par MFA, rares sont celles qui proposent la seconde approche. Tout du moins, elles n’offrent pas la précision dont les entreprises ont vraiment besoin pour délester leurs équipes des tâches liées à la MFA.
En théorie, il reste possible de limiter les demandes d’authentification intempestives en combinant les deux types de granularité évoqués. Malheureusement, la réalité n’est pas toujours aussi simple. Il est très difficile de déterminer à l’avance les paramètres qui auront vraiment de l’importance au moment de déployer une solution de MFA en situation réelle. C'est pourquoi il est important que les administrateurs soient en mesure de personnaliser les contrôles granulaires afin de réduire au minimum les perturbations en tenant compte des circonstances uniques et de leur base d'utilisateurs.
MFA et Active Directory : scénarios d'utilisation courants pour l'application granulaire
Les administrateurs souhaitent demander la MFA plus souvent pour les contextes à risque élevé, mais seulement une fois par jour pour les environnements standard. Par exemple, les employés peuvent facilement s'agacer s'ils doivent procéder à une authentification par MFA chaque fois qu'ils s'éloignent de leur poste pour prendre un café ou aller voir leur collègue. Les administrateurs peuvent ainsi décider qu'ils demanderont seulement une fois la MDA pour les employés connectés à leur poste de travail professionnel, mais à chaque connexion pour les collaborateurs distants.
Autre solution : les administrateurs peuvent demander la MFA lorsqu'un employé qui travaille généralement depuis l'entreprise se connecte depuis chez lui ou depuis une nouvelle adresse IP.
Cette approche est gagnante pour tout le monde : l’authentification est plus simple pour les utilisateurs, tandis que les administrateurs gardent la possibilité d’appliquer les stratégies de sécurité pour des raisons de conformité et de bonnes pratiques.
Fluidifier les accès de toute l'entreprise avec la MFA granulaire
La sécurité MFA n'entrave pas nécessairement la facilité d'utilisation. UserLock propose une réponse simple au problème : offrir plus de contrôle aux administrateurs en augmentant la granularité de la MFA pour déterminer comment, quand et si la MFA doit être appliquée. Plus le nombre de contrôles dont disposent les administrateurs est élevé, plus il devient facile d’appliquer différents niveaux de MFA en fonction du contexte utilisateur.
Grâce à la MFA UserLock, les administrateurs peuvent appliquer la MFA aux postes de travail et serveurs internes et externes, non seulement en observant qui est invité à s’authentifier, mais aussi et surtout comment et dans quelles circonstances.
Choisissez d'appliquer la MFA aux connexions internes ou externes
En plus de configurer la MFA pour les terminaux en fonction des paramètres AD, la granularité d’UserLock offre des avantages spécifiques pour appliquer la MFA dans le contexte du télétravail, en gérant les connexions établies à l’aide de services distants Microsoft comme RDP (Remote Desktop Protocol), Outlook Web access pour Exchange, VPN/AlwaysOn, la connectivité directe aux applications cloud ou encore RD Web Access pour IIS.
Les administrateurs peuvent configurer la MFA de sorte qu’elle se déclenche sur un ou plusieurs de ces protocoles à chaque connexion, à chaque connexion depuis une nouvelle adresse IP, pour la première connexion ou après un intervalle de n jours. Cette approche permet de distinguer les connexions internes des connexions externes de manière bien plus complexe, par exemple dans le cas de connexions externes passant par un serveur passerelle RDP interne.
UserLock peut même être configuré pour demander une authentification par MFA aux ordinateurs hors ligne, à chaque fois qu’une machine est déverrouillée alors qu’elle est connectée, ou encore à chaque connexion pour les utilisateurs privilégiés. Les administrateurs peuvent déclencher automatiquement la MFA pour tous les types de connexions distantes, ou pour les utilisateurs qui se connectent sans aucune connexion réseau (LAN).
Pour cela, la MFA d’UserLock propose de s’inscrire facilement à différentes formes d’authentification, y compris les outils d’authentification Google, Microsoft, et LastPass, ou encore les jetons physiques comme YubiKey et Token2.
Étendez la granularité de la MFA à l'accès aux applications cloud
L'authentification unique (SSO) rationalise l'accès utilisateur aux applications cloud en remplaçant les identifiants des applications cloud par l'authentifiant unique de l'utilisateur pour le réseau d'entreprise. Concrètement, l'authentification SSO élimine les authentifications répétées, coûteuses en temps. Chaque utilisateur perd moins de temps à accéder aux applications et passe plus de temps à travailler sur celles-ci. En combinant cette méthode à la MFA, les administrateurs peuvent équilibrer la sécurité et la productivité en spécifiant les circonstances où la MFA doit exiger un second facteur d'authentification.
Associez la MFA aux restrictions contextuelles
UserLock permet aux professionnels de l'IT d'aller encore plus loin avec la granularité, en associant la MFA à des restrictions sensibles au contexte. Les administrateurs peuvent choisir d'autoriser, de refuser ou de restreindre l'accès réseau d'un utilisateur, même après authentification, en fonction de facteurs contextuels comme l'emplacement, l'heure et le type de session. Ces restrictions contextuelles renforcent le contrôle de l'identité présumée des utilisateurs et aident les administrateurs à trouver le bon équilibre entre sécurité et productivité.
Simplifier la MFA pour améliorer la sécurité
La sécurité est importante, mais elle ne doit pas entraver la productivité de l'entreprise. La facilité de gestion est une priorité : elle permet aux équipes IT d’ajuster rapidement les paramètres pour atteindre le bon niveau d’authentification MFA pour tenir compte des variations de contexte et des besoins spécifiques de leur entreprise.
Les exemples ci-dessus le montrent bien : l’efficacité de la granularité de la MFA dépend de deux aspects essentiels :
- disposer d’un large choix d’options qui permettent d’adapter la solution à la réalité complexe des interactions entre utilisateurs, machines et réseau, et
- permettre aux administrateurs informatiques de configurer ces options de la façon la plus intuitive possible.
Avec UserLock, la MFA cesse d’être une gêne pour les utilisateurs et offre réellement les avantages de sécurité qu’elle a vocation à incarner depuis toujours. Tout cela n’est possible que grâce à une granularité sophistiquée. Lorsque les utilisateurs sont uniquement invités à s'authentifier quand c'est nécessaire, et seulement quand c'est nécessaire, la MFA n'est plus un obstacle. Au contraire, elle aide les entreprises à gagner en agilité, à favoriser l'innovation et à se développer plus sereinement.