Bases de la gestion des accès et des identités

La zone Bases de la gestion des accès et des identités propose des informations gratuites autour de diverses thématiques liées à la sécurité, à la gestion des accès et des identités, à la connexion unique, à l'authentification à plusieurs facteurs, au provisionnement et à d'autres technologies grâce auxquelles les entreprises peuvent permettre à leurs utilisateurs d'accéder de manière sécurisée aux applications et systèmes dont ils ont besoin. Nous mettons régulièrement cette section à jour : pensez à l'ajouter à vos signets !

Toutes les rubriques

« Comment atteindre la sécurité Zero trust »

La notion de sécurité Zero trust a été introduite par Forrester en 2010. Mais elle n'est pas aussi largement adoptée que l'auraient espéré les acteurs du secteur de la sécurité. Ceci dit, cela pourrait changer. La menace des cyber-escrocs augmentant chaque année parallèlement aux coûts des violations pour les entreprises, de plus en plus d'organisations cherchent à implémenter un modèle Zero trust. Voici les informations de base que vous devez mettre en œuvre dans votre entreprise. ### Les quatre principes L'adoption de Zero trust implique un changement de mentalité, plus que pour n'importe quelle technologie. Une fois que vous avez intégré ce changement, vous pouvez évaluer des solutions techniques pour implémenter Zero trust. Voici quatre principes que votre entreprise, notamment votre organisation informatique, doit adopter: #### Les menaces viennent de l'intérieur comme de l'extérieur C'est probablement le premier point à changer dans la façon de penser. L'informatique s'est toujours concentrée sur le périmètre de l'organisation en vue d'empêcher toute intrusion. On considère que les personnes au sein de l'organisation sont sûres, en règle générale. Donc on consacre moins d'efforts à la vérification et à la détection de problèmes à l'intérieur du pare-feu. La sécurité est souvent comparée aux douves d'un château. Il est temps de changer les mentalités. Dans un environnement Zero trust, vous estimez que les menaces viennent autant de l'intérieur que de l'extérieur. Soit parce que des escrocs ont déjà infiltré votre organisation, soit parce qu'un mauvais élément figure parmi les employés. Quoi qu'il en soit, il est aussi important de se concentrer sur ce qu'il se passe à l'intérieur de l'organisation et de se protéger des attaques venant de l'intérieur comme de l'extérieur. #### Recours à la micro-segmentation Cela nous amène au principe numéro deux : utiliser la micro-segmentation. Cette approche permet de séparer ou de segmenter des zones même à l'intérieur du pare-feu de l'organisation. Par exemple, les employés du service marketing ont accès aux outils et données qu'ils utilisent : informations client, applications telles que Salesforce, etc. Mais ils n'ont pas accès aux données ou outils financiers du service de comptabilité, ni à la propriété intellectuelle des produits et aux logiciels avec lesquels travaille le service de développement. #### Privilège d'accès minimal L'idée de privilège d'accès minimal est liée à la notion de micro-segmentation. Il s'agit de limiter les utilisateurs, même au sein d'un service, au minimum d'informations et d'accès dont ils ont besoin. Si une personne travaille dans le service financier, cela ne signifie pas qu'elle doit avoir accès à toutes les données financières des clients et de l'entreprise. En fonction du rôle de l'utilisateur, celui-ci peut avoir besoin d'accéder à un ensemble de données client spécifique uniquement, ou ne pas avoir besoin du tout d'accéder aux données financières des clients. En restreignant l'accès uniquement à ce qui est nécessaire, vous garantissez que même si un pirate parvient à usurper l'identité d'un utilisateur, l'étendue du dommage reste limitée. #### Ne jamais faire confiance, toujours vérifier Pour appliquer tous ces principes, une organisation doit renverser le modèle et adopter une approche Zero trust. Ne faites jamais confiance à un utilisateur quand il décline son identité. Vous devez toujours vérifier son identité et son niveau d'accès. Ne jamais faire confiance, toujours vérifier, cela augmente les chances d'arrêter un escroc ou programme qui a infiltré votre organisation avant qu'il parvienne à accéder aux informations sensibles ou à faire des dégâts. ### Outils de sécurité Zero trust Si vous portez un regard critique sur les quatre principes de Zero trust, vous constaterez que l'implémentation réelle n'est pas si simple. Par exemple, même si la sécurité requiert une approche consistant à ne jamais faire confiance et toujours vérifier, ce processus doit garder un impact relativement léger pour les utilisateurs. Pour en revenir à notre image du château, la présence de portes qui exigent une clé pour être ouvertes peut vraiment avoir un impact sur la productivité des individus au quotidien. De même, nous savons que les rôles ne sont pas complètement définis, certains utilisateurs auront besoin d'avoir accès à des applications ou données qui ne sont pas affectées à leur rôle par défaut. Vous devez donc avoir un moyen rapide de créer et de supprimer les comptes des utilisateurs pour les applications en fonction des besoins. Nous vous proposons quatre outils essentiels à la sécurité Zero trust: - L'authentification unique (SSO, Single Sign-On) permet aux utilisateurs de s'authentifier une seule fois avec leurs identifiants, dont un seul mot de passe, et d'avoir accès à toutes leurs applications Web. Associée aux bons outils, la solution SSO peut également fournir un accès par authentification unique à des applications sur site existantes. L'authentification unique augmente la sécurité en éliminant les mots de passe tout en améliorant également la convivialité et la satisfaction de l'employé. - L'authentification à plusieurs facteurs (MFA, Multi-factor Authentication) est un outil essentiel que toutes les organisations devraient utiliser. Elle requiert des facteurs supplémentaires lorsque les utilisateurs essayent de se connecter. Par exemple, il peut s'agir de saisir un code PIN ou de s'authentifier à l'aide d'une application mobile en plus de saisir leur nom d'utilisateur et mot de passe. Les mots de passe à eux seuls ne suffisent pas à garantir la sécurité. Vous avez besoin d'une authentification à plusieurs facteurs. Mais celle-ci doit être combinée à l'authentification unique, car sinon, cela rajoute des étapes pour la connexion des utilisateurs mais exige également qu'ils s'authentifient plusieurs fois par jour. - Systèmes à activation rapide : pour passer à l'approche Zero trust, vous avez besoin d'un système qui vous permette de créer et de supprimer rapidement les comptes des utilisateurs pour les applications. Comme vous devrez définir des privilèges d'accès minimaux, attendez-vous à devoir faire des exceptions régulièrement. Si votre système actuel de création de comptes est chronophage, l'adoption de Zero trust ne fera qu'empirer les choses. - Protection de l'appareil : l'appareil avec lequel l'utilisateur s'authentifie est la première ligne de défense et le point d'attaque principal : le point de terminaison. Procurez-vous des outils qui protègent et surveillent les appareils afin d'éloigner le danger à la source. Voilà. C'étaient les quatre principes et quatre outils qu'il convient d'envisager pour passer à l'approche Zero trust.

En savoir plus

Solution SSO SAML : Connexions sécurisées, déploiements rapides

Vous avez peut-être déjà entendu parler du protocole SAML. SAML est l'acronyme de « Security Assertion Markup Language » (langage de balisage d'assertion de sécurité). Il s'agit d'un protocole standard utilisé pour l'authentification unique (SSO) sur navigateur via des jetons sécurisés. En quoi le protocole SAML est-il si utile ? Le protocole SAML élimine entièrement les mots de passe en employant une cryptographie standard et des signatures numériques pour transmettre à une application SaaS un jeton d'authentification sécurisé issu d'un fournisseur d'identité. Le protocole SAML est une norme XML ouverte développée par le comité technique des services de sécurité OASIS. La plupart des fournisseurs de SaaS, notamment Salesforce, Google et Microsoft, prennent déjà en charge le protocole SAML. L'activation de la compatibilité SAML des applications à l'aide d'autres fournisseurs peut coûter des centaines de milliers de dollars, mais cette opération est gratuite dans le cadre de la communauté OneLogin. ### Une connexion sécurisée sans mot de passe SAML emploie des jetons sécurisés signés numériquement associés à des messages cryptés avec des données d'authentification et d'autorisation telles que le courrier électronique et le poste d'un utilisateur. Ces jetons sont transmis d'un fournisseur d'identité à une application Cloud par le biais d'une relation d'approbation établie. La compatibilité de SAML avec les normes du secteur assure son interopérabilité entre les différents fournisseurs d'identité et permet aux applications d'authentifier les utilisateurs en fonction d'informations approuvées sans avoir à gérer d'identifiants. ### Comment fonctionne SAML? Ce protocole peut aider les administrateurs informatiques à éliminer les mots de passe en toute sécurité et à déployer leurs applications plus rapidement. De même, le protocole SAML peut aider les éditeurs d'applications à sécuriser ces dernières, réduire les coûts de développement et permettre une adoption plus large et rapide. Pour les services informatiques, il permet de sécuriser les connexions des utilisateurs et de déployer l'accès aux applications de manière plus rapide et sûre. ### Prévention du hameçonnage SAML renforce la sécurité en éliminant les mots de passe. Si vous ne disposez pas du mot de passe d'une application, il est impossible de vous inciter à le saisir sur une page de connexion factice. Ce protocole est également plus satisfaisant pour les utilisateurs car il leur assure un accès en un clic à partir des portails ou de l'intranet, les liens profonds, l'élimination des mots de passe et le renouvellement automatique des sessions. Il suffit d'une redirection d'un navigateur pour connecter en toute sécurité un utilisateur à une application. ### Comment SAML aide-t-il les services informatiques? SAML simplifie la tâche du service informatique en centralisant l'authentification, en fournissant une meilleure visibilité et en facilitant l'intégration des annuaires. Voici quelques raisons pour lesquelles les entreprises adorent le protocole SAML. Si vous êtes un fournisseur Cloud B2B, nous vous conseillons également de prendre en charge cette norme, car les entreprises l'adorent. ### OneLogin et l'authentification unique SAML OneLogin autorise une authentification unique aux applications Web via SAML. Les applications SAML fonctionnent parfaitement avec le connecteur Active Directory sans configuration OneLogin, qui permet aux utilisateurs de se connecter aux applications avec leurs identifiants Windows. De plus, il est simple de rendre compatibles les applications Web internes ou personnalisées en quelques heures à l'aide d'un des kits de ressources SAML open source de OneLogin. Nous vous recommandons bien sûr de toujours mettre en place l'authentification à plusieurs facteurs afin de protéger le mot de passe d'authentification unique. L'authentification à plusieurs facteurs ajoute un facteur supplémentaire de connexion. Si un pirate parvient à obtenir les identifiants d'un utilisateur, il ne disposera donc pas du second facteur et ne pourra donc pas accéder à la ressource. L'authentification unique et l'authentification à plusieurs facteurs travaillent main dans la main. .inline-wrapped { max-width: 2em; margin: 0 1em 0 0; }

En savoir plus

Le gestionnaire de mots de passe de votre entreprise est-il assez efficace?

Un gestionnaire de mots de passe d'entreprise ou « stockage de mots de passe » constitue souvent la première étape engagée par les entreprises pour gérer et sécuriser les mots de passe tout en simplifiant la tâche de leurs employés. Néanmoins, chaque solution est différente. Voici toutes les fonctionnalités que ce type d'outil doit proposer, ainsi que les fonctions supplémentaires parfois nécessaires à votre entreprise, toutefois seulement disponibles sur certains produits. ### Le gestionnaire de mots de passe d'entreprise de base Tous les gestionnaires de mots de passe d'entreprise du marché assurent une fonction de base consistant à stocker les mots de passe des utilisateurs dans une base de données de mots de passe sécurisée, généralement hébergée sur le cloud. Les gestionnaires de mots de passe de bonne qualité chiffrent les données à l'aide d'algorithmes de chiffrement tels qu'AES-256 afin de les sécuriser. La plupart de ces outils disposent par ailleurs d'un générateur de mots de passe aléatoires afin de faciliter la création de mots de passe sécurisés. Lors du choix d'une solution de stockage de mots de passe d'entreprise, il convient de sélectionner un outil capable d'assurer l'accès des employés à partir de différents dispositifs en les synchronisant. En effet, les employés ont tendance à beaucoup utiliser leur téléphone et leur ordinateur portable personnel pour travailler. Les meilleurs gestionnaires de mots de passe d'entreprise prennent en charge tous les principaux navigateurs et systèmes d'exploitation mobiles du marché. Venons-en maintenant aux extras. ### Gestionnaires de mots de passe d'entreprise : options de sécurité supplémentaires Deux caractéristiques parmi les plus utiles d'un gestionnaire de mots de passe sont la possibilité de réinitialiser automatiquement les mots de passe et celle d'appliquer des règles relatives aux mots de passe via l'outil. Ces deux fonctionnalités renforcent la sécurité tout en minimisant le recours au service informatique ou d'assistance. En termes de sécurité, il est important que le gestionnaire de mots de passe d'entreprise prenne en charge l'authentification à deux ou plusieurs facteurs. Un gestionnaire de mots de passe constitue un premier pas utile pour renforcer la sécurité des mots de passe, mais il est rarement suffisant à lui seul. Des gestionnaires de mots de passe ont été piratés et différents types d'attaques peuvent intercepter et capturer un mot de passe lors de sa saisie. Veillez à ce que la solution de stockage de mots de passe soit compatible avec votre solution d'authentification à plusieurs facteurs ou intègre ce type d'outil, afin que les utilisateurs soient invités à fournir des facteurs d'authentification supplémentaires lors de leur connexion, par exemple le code PIN d'une application pour téléphone, une empreinte digitale ou une reconnaissance faciale. ### Gestionnaire de mots de passe d'entreprise : fonctions supplémentaires améliorant l'usabilité Afin qu'un gestionnaire de mots de passe d'entreprise fonctionne, les employés doivent l'utiliser. Et pour qu'ils l'utilisent, il doit être simple. Soyez à l'affût des fonctionnalités suivantes : - **Remplissage des formulaires en ligne** : la plupart des gestionnaires de mots de passe d'entreprise offrent la possibilité de détecter un site Web afin de récupérer et renseigner automatiquement son dialogue de connexion. La qualité et le succès de cette opération varient cependant grandement en fonction de la solution. - **Mots de passe des applications** : les sites Web ne sont pas tout. Les employés ne différentient pas les sites Web des applications, car il s'agit simplement d'outils de travail. Tous les gestionnaires de mots de passe ne prennent pas en charge les applications. Recherchez une solution qui offre cette fonction. Vous éviterez ainsi les réclamations des employés et contribuerez à l'adoption de l'outil. - **Compatibilité avec les applications sur site** : encore moins de gestionnaires de mots de passe d'entreprise prennent en charge les applications hébergées sur site. À nouveau, les utilisateurs ne font pas réellement de différence entre les sites Web et les systèmes internes. Ils désirent simplement se connecter rapidement pour effectuer leurs tâches. Un gestionnaire de mots de passe qui ne prend pas en charge vos applications sur site n'apporte qu'une réponse partielle au problème des mots de passe. ### Ce que les gestionnaires de mots de passe d'entreprise ne vous proposent généralement pas Certains gestionnaires de mots de passe d'entreprise fournissent des rapports de base, mais rarement les outils d'audit nécessaires à la conformité aux normes de type PCI ou SOX. Ils ne vous fournissent pas non plus les informations dont vous avez besoin pour déceler les tentatives d'attaque. Les gestionnaires de mots de passe d'entreprise offrent une synchronisation de base avec les annuaires tels qu'Active Directory. Si vous désirez mettre en place des politiques de sécurité en fonction notamment du poste ou de l'emplacement de l'utilisateur avec des permissions granulaires, vous devez recourir à un véritable système d'authentification unique (SSO) et non à un gestionnaire de mots de passe. De même, si vous effectuez le provisionnement et le déprovisionnement des utilisateurs via AD, Workday ou d'autres annuaires (voire différents annuaires dans certaines entreprises), un gestionnaire de mots de passe se révèlera peu pratique et deviendra un simple système de plus à gérer. Déployer le gestionnaire de mots de passe d'entreprise idéal peut constituer le premier pas adéquat pour renforcer la sécurité de votre entreprise. Néanmoins, pour préserver la sécurité des mots de passe et satisfaire vos employés, il vous sera probablement nécessaire de migrer vers une solution SSO. Il suffira ensuite à vos utilisateurs de se connecter une seule fois pour accéder à l'ensemble des applications et des sites Web cloud ou sur site dont ils ont besoin quotidiennement sans se reconnecter. Seul un mot de passe leur sera demandé. Par ailleurs, une solution SSO intègrera vos annuaires afin d'assurer le niveau granulaire de permission et de contrôle qui vous a incité à recourir à l'origine à un annuaire de type AD. Nous vous conseillons d'acquérir un gestionnaire de mots de passe d'entreprise, qui constituera un premier pas (mais pas le dernier) vers la sécurisation de votre entreprise.

En savoir plus

6 types d'attaques de mot de passe et comment les stopper

Voici six types d'attaques de mots de passe courantes et les étapes que vous pouvez suivre pour les empêcher ou au moins réduire leurs chances de réussite. ### Attaque par dictionnaire Une attaque qui profite du fait que les utilisateurs ont tendance à employer des mots communs et des mots de passe courts. Le pirate utilise une liste de mots communs, le dictionnaire, et les essaye, bien souvent avec des chiffres avant et/ou après les mots, à l'encontre des comptes d'une entreprise pour chaque nom d'utilisateur. (Les noms d'utilisateur sont généralement très simples à identifier car ils sont presque toujours basés sur le nom des employés.) ### Force brute Utilisation d'un programme pour générer des mots de passe potentiels ou même des ensembles de caractères aléatoires. Ces attaques commencent par les mots de passe faibles et couramment utilisés, comme Motdepasse123 puis évoluent. Les programmes qui exécutent ces attaques essayent habituellement des variantes avec des majuscules et minuscules. ### Interception de trafic Au cours de cette attaque, le cyber-escroc utilise un logiciel comme les renifleurs de paquet pour surveiller le trafic réseau et enregistrer les mots de passe lorsqu'ils sont transmis. De la même manière que l'écoute clandestine ou l'interception d'une ligne téléphonique, le logiciel surveille et enregistre les informations cruciales. Bien évidemment, si cette information (comme les mots de passe) n'est pas chiffrée, la tâche est plus simple. Cependant, même les informations chiffrées peuvent être déchiffrées, selon le niveau de sécurité de la méthode de chiffrement utilisée. ### Attaque de l'intercepteur Au cours de cette attaque, le programme du pirate ne surveille pas seulement les informations qui sont transmises mais s'introduit lui-même activement au milieu de l'interaction, en empruntant généralement l'identité d'un site Web ou d'une application. Cela permet au programme d'enregistrer les identifiants de l'utilisateur ainsi que d'autres informations sensibles comme les numéros de compte et de sécurité sociale. Les attaques de l'intercepteur sont souvent facilitées par les attaques d'ingénierie sociale qui attirent l'utilisateur vers un site factice. ### Attaque de l'enregistreur de frappe Un cyber-escroc parvient à installer un logiciel qui enregistre les touches saisies sur le clavier par l'utilisateur, lui permettant ainsi de connaître non seulement le nom d'utilisateur et le mot de passe d'un compte, mais également le site Web ou l'application exacte sur laquelle l'utilisateur s'est connecté avec les identifiants. Ce type d'attaque survient généralement après une autre attaque au cours de laquelle le logiciel malveillant enregistreur de frappe est installé sur son ordinateur. ### Attaques d'ingénierie sociale Les attaques d'ingénierie sociale font référence à une vaste gamme de méthodes pour obtenir des informations de la part des utilisateurs. Voici certaines des techniques utilisées : - **Hameçonnage** : e-mails, SMS, etc. envoyés pour amener l'utilisateur à fournir ses identifiants, à cliquer sur un lien qui installe un logiciel malveillant ou à accéder à un site Web factice. - **Harponnage** : similaire au hameçonnage mais avec des e-mails/SMS plus élaborés et personnalisés, basés sur des informations déjà recueillies auprès des utilisateurs. Par exemple, il est possible que le pirate sache que l'utilisateur possède un type particulier d'assurance et y fasse référence dans l'e-mail ou utilise le logo et la mise en page de l'entreprise pour rendre l'e-mail authentique. - **Appât** : les pirates laissent des clés USB ou autres appareils infectés dans des lieux publics ou professionnels, en espérant qu'ils soient récupérés et utilisés par les employés. - **Quid pro quo** : le cyber-escroc usurpe l'identité de quelqu'un, comme un employé de l'assistance technique, et interagit avec un utilisateur pour lui soutirer des informations. ### Déjouer les attaques de mot de passe Les mots de passe complexes sont généralement la première défense contre les attaques de mots de passe. Les instructions NIST les plus récentes recommandent l'utilisation de mots de passe faciles à se rappeler/difficiles à deviner. Le mélange de majuscules, minuscules, chiffres et caractère spéciaux peut aider. Mieux encore, éviter l'utilisation des mots et phrases courantes. Il faut absolument éviter les mots spécifiques au site (y compris le nom de l'application à laquelle vous vous connectez par exemple). NIST recommande également de comparer les mots de passe dans un dictionnaire des mots de passe considérés comme étant faibles. La formation des employés est également importante. L'une des meilleures défenses contre les techniques d'ingénierie sociale est d'apprendre aux utilisateurs les techniques utilisées par les pirates et comment les reconnaître. Néanmoins, les mots de passe complexes et la formation ne suffisent plus de nos jours. La puissance informatique permet aux cyber-escrocs d'exécuter des programmes sophistiqués pour obtenir des identifiants ou en essayer un nombre colossal. C'est pourquoi NIST recommande de ne pas compter uniquement sur les mots de passe. Plus précisément, les entreprises doivent adopter des outils comme l'authentification unique et l'authentification à plusieurs facteurs, également connue sous le nom d'authentification à deux facteurs. L'authentification unique permet d'éliminer les mots de passe en laissant les employés se connecter à leurs applications et sites à l'aide d'un seul identifiant. Les utilisateurs ont uniquement besoin d'un seul mot de passe complexe. L'authentification à plusieurs facteurs nécessite une information supplémentaire lorsque l'utilisateur se connecte, comme un code PIN généré par une application telle que OneLogin Protect ou une authentification à l'aide d'une empreinte digitale. L'information supplémentaire complexifie l'usurpation d'identité par le cyber-escroc.

En savoir plus

L'utilisation des gestionnaires de mots de passe en entreprise

Gestionnaires des mots de passe, solutions de stockage de mots de passe et authentification unique : il s'agit de termes dont vous avez probablement entendu parler pour la création et gestion de mots de passe sécurisés. Quelle est leur signification et en quoi diffèrent-ils ? ### Gestionnaires des mots de passe et solutions de stockage de mots de passe Les gestionnaires des mots de passe et les solutions de stockage de mots de passe sont simplement deux termes qui définissent le même type de produit. Ces produits sont des systèmes de stockage sécurisés qui chiffrent et stockent les mots de passe des utilisateurs pour différents site Web et applications. Habituellement, un employé se connecte au gestionnaire des mots de passe avec un mot de passe et peut ainsi accéder à tous les mots de passe qu'il a créés pour ses sites Web et applications professionnels. Les gestionnaires de mots de passe modernes vont cependant plus loin. La plupart génèrent des mots de passe complexes et aléatoires que les employés utilisent sur leurs site Web et applications. Désormais, la plupart proposent des extensions de navigateur qui récupèrent les identifiants pour le site auquel l'utilisateur se connecte et remplissent la boîte de dialogue Connexion pour faciliter la connexion sans avoir à se rappeler de tous ces mots de passe. ### Authentification unique et gestionnaires de mots de passe L'authentification unique est une technologie différente qui permet aux utilisateurs de s'authentifier de façon sécurisée aux sites Web et applications en se connectant seulement une fois par jour avec un mot de passe. Ensuite, l'utilisateur est automatiquement connecté à l'application ou au site sans avoir à saisir ses identifiants à nouveau. L'authentification unique ne consiste pas à rechercher le mot de passe de l'utilisateur dans une base de données. Elle repose en fait sur les standards comme SAML ou OpenID Connect pour se connecter avec les relations d'approbation. Cela signifie que le site tiers (une application ou un site Web) fait confiance à l'outil d'authentification unique pour vérifier que l'utilisateur est bien qui il prétend être. ### Gestionnaires de mots de passe Cloud De nos jours, la plupart des gestionnaires de mots de passe sont basés sur le Cloud. Vous pouvez bien entendu utiliser un gestionnaire de mots de passe qui stocke la base de données sur l'ordinateur local de l'employé, mais cela complique l'accès aux mots de passe lorsque l'employé se connecte à un site Web depuis son téléphone ou un ordinateur différent. Cela étant, de nombreux gestionnaires de mots de passe nécessitent l'installation d'extensions de navigateur ou d'applications mobiles afin de bénéficier d'un accès depuis chaque appareil ou navigateur. Un gestionnaire de mots de passe basé sur le Cloud vous permet également de ne pas perdre vos mots de passe si un événement se produit sur un serveur ou un ordinateur. ### Le gestionnaire de mots de passe Cloud est-il la solution dont vous avez besoin ? Pour les individus qui tentent de sécuriser leurs mots de passe personnels, un gestionnaire de mots de passe semble judicieux. Cette solution est plus efficace qu'une feuille de calcul ou qu'utiliser le même mot de passe pour chaque site (ce qui est la technique la plus courante). Si vous cherchez une solution aux problèmes posés par les mots de passe dans votre entreprise, un gestionnaire de mots de passe n'est peut-être pas la plus adaptée. Les gestionnaires de mots de passe pour les entreprises stockent souvent tous les mots de passe utilisateur de l'organisation dans une seule base de données. Le gestionnaire de mots de passe devient alors une autre surface d'attaque pour les pirates. Cela rend les informations récentes transmises par ISE d'autant plus alarmantes. Elles ont montré que certains gestionnaires de mots de passe majeurs exposent les identifiants des utilisateurs en mémoire, même à l'état verrouillé. Même le mot de passe principal du gestionnaire de mots de passe peut être exposé. Une façon de renforcer la sécurité des gestionnaires de mots de passe ou solutions de stockage de mot de passe est de demander l'authentification à plusieurs facteurs. Ainsi, les cyber-escrocs qui obtiennent le mot de passe et le nom d'utilisateur d'un compte ne peuvent toujours pas s'y connecter. Malheureusement, tous les gestionnaires de mots de passe ne prennent pas en charge l'authentification à plusieurs facteurs ou ne la prennent pas facilement en charge. Les gestionnaires de mot de passe ne fournissent pas le même niveau de sécurité que l'authentification unique. Ils ne laissent pas la possibilité de gérer les droits d'accès basés sur le rôle ou l'emplacement dans une application. Ils ne permettent pas d'affiner l'accès en limitant l'accès aux données confidentielles ou en demandant une authentification plus fréquente pour les applications dotées d'un accès confidentiel. Ils ne permettent pas d'implémenter l'authentification intelligente, comme le fait de limiter l'accès à certaines applications ou sites lorsque les utilisateurs se connectent depuis des emplacements considérés comme étant moins sécurisés. Contrairement à l'authentification unique, la plupart des gestionnaires de mots de passe ne se synchronisent pas à votre annuaire Cloud ou à votre système Active Directory pour l'accès basé sur le rôle afin de proposer une expérience simple au service informatique et aux utilisateurs. Habituellement, ils ne proposent pas non plus la fonctionnalité affinée de contrôle et de vérification requise par de nombreuses normes pour la conformité. L'authentification unique quant à elle, vous permet de voir qui s'est connecté, l'emplacement de connexion et même l'adresse IP. Pour finir, la plupart des gestionnaires de mots de passe Cloud fonctionnent uniquement sur les applications et les sites Web. Ils ne permettent pas la connexion simplifiée sur les applications sur site ou de bureau. Les outils d'authentification unique, qui utilisent LDAP ou des produits comme OneLogin Desktop peuvent offrir aux employés une expérience d'authentification unique qui fonctionne de la même manière sur l'ensemble des applications et appareils. Cela augmente la satisfaction des employés ainsi que leur productivité. Le remplacement des gestionnaires de mots de passe Cloud par l'authentification à plusieurs facteurs est un bon début pour les plus petites entreprises qui ne sont pas prêtes à investir dans l'authentification unique. Cependant, le gestionnaire de mots de passe Cloud deviendra vite insuffisant pour les entreprises à forte croissance, ainsi que les entreprises de moyenne et grande taille. Celles-ci devront donc chercher des outils d'authentification unique plus fiables pour répondre à leurs exigences en matière de sécurité et de facilité d'utilisation.

En savoir plus

Qu'est-ce qu'une authentification à deux facteurs (2FA)?

Les pirates travaillent sans relâche. Toutes les techniques de piratage (hunting, phishing, scamming et social-engineering) sont bonnes pour piéger les individus, y compris les utilisateurs privilégiés, et infiltrer votre organisation. Une fois à l'intérieur du réseau, ils recherchent les moyens d'élever les privilèges et de s'approprier les ressources. Toutes les applications sont vulnérables. Si les entreprises ne contrôlent pas les accès aux applications dans le Cloud et sur site, elles s'exposent à des failles de sécurité. L'authentification à deux facteurs permet de déjouer les attaques et de protéger les données de l'entreprise. ### Qu'est-ce qu'une authentification à deux facteurs? L'authentification à deux facteurs (2FA) ajoute une couche de sécurité supplémentaire lorsque les utilisateurs se connectent aux applications. En temps normal, il est demandé aux utilisateurs de prouver leur identité en fournissant de simples informations de connexion, comme une adresse électronique et un mot de passe, sans authentification supplémentaire. Avec l'authentification à deux facteurs, un deuxième facteur (2F) est demandé aux utilisateurs. Ils sont généralement invités à fournir des informations à l'aide d'un jeton physique (une carte) ou d'une question dont eux seuls connaissent la réponse. Les réglementations fédérales américaines reconnaissent les facteurs d'authentification suivants: ### Comment l'authentification à deux facteurs améliore-t-elle la sécurité des entreprises? La présence d'un facteur d'authentification supplémentaire empêche quiconque de se connecter au compte d'un utilisateur, même s'il ou elle connaît son mot de passe. D'autres facteurs sont nécessaires car les mots de passe à eux seuls ne peuvent pas garantir la sécurité. Ils sont facilement à la merci d'intrus: - La plupart des utilisateurs choisissent un mot de passe facile à retenir, et par conséquent facile à pirater. Par exemple, les pirates utilisent des informations faciles à découvrir telles que le nom d'un animal de compagnie, un lieu de naissance ou une date importante comme un anniversaire. - La plupart des utilisateurs utilisent le même mot de passe pour différentes applications. Donc une fois qu'un cyber-escroc a trouvé un mot de passe, il a accès à plusieurs applications. - Les cyber-escrocs utilisent différentes techniques, de plus en plus sophistiquées pour [compromettre les identifiants de connexion](/learn/what-is-cyber-security). Par conséquent, en augmentant le nombre de facteurs, on améliore la sécurité. Si l'authentification implique à la fois un mot de passe et, disons, un jeton USB où figure un certificat numérique, un escroc devra connaître les informations de connexion de l'utilisateur et être en possession du jeton USB pour se connecter à son compte. Sans quoi, tout accès non autorisé échouera et déclenchera une alerte de sécurité pour informer l'administrateur d'une tentative de connexion suspecte. Pour renforcer encore l'authentification, il est possible de combiner d'autres facteurs ; on parle alors d'[authentification à plusieurs facteurs](/learn/what-is-mfa) (MFA). L'authentification à plusieurs facteurs permet d'ajouter des facteurs tels qu'un certificat KPI dans votre navigateur ou implique l'utilisation d'une application mobile d'authentification. Les produits tels que OneLogin Desktop augmentent la sécurité à l'aide d'un certificat enregistré sur un ordinateur portable qui, en tant qu'appareil fiable, sert alors de deuxième facteur d'authentification. ### Facteurs d'authentification forts Dans le cadre d'une solution 2FA, les deuxièmes facteurs à utiliser pour sécuriser l'accès aux applications peuvent revêtir plusieurs formes. En voici quelques exemples: - Mot de passe à usage unique (OTP) : mot de passe unique qui n'est valable que pour une seule session ou transaction. Il s'agit généralement d'une courte chaîne de chiffres générée en fonction d'un secret stocké sur un appareil physique tel qu'un jeton USB ou un smartphone. Lors de l'authentification, le mot de passe à usage unique est vérifié par le service du fournisseur OTP dans le Cloud. Si quelqu'un réussit à s'emparer de votre mot de passe, il ne pourra pas s'en servir pour se connecter s'il ne connaît pas l'autre mot de passe à usage unique. - Code PIN à synchronisation temporelle : séquence de chiffres à saisir pendant une courte période de temps, généralement comprise entre 30 et 60 secondes. Le code PIN peut être généré par un logiciel ou un appareil à l'aide d'une horloge très précise. La sécurité repose sur la très courte période de validité du code confidentiel. - Certificats (PKI) numériques : certificat numérique émis par une autorité de certification de confiance qui est installé sur l'appareil ou dans le navigateur de l'utilisateur. Le gestionnaire d'identité peut vérifier l'existence de certificats valides tout comme les révoquer à tout moment. Seul un navigateur associé à un certificat valide sera autorisé à se connecter. .diagram.desktop { display: block; }

En savoir plus

La vérité sur l'authentification sans mot de passe

L'authentification sans mot de passe est la nouvelle tendance en ce qui concerne l'authentification sécurisée. À juste titre. [Les mots de passe restent une faiblesse](/learn/5-reasons-passwords-disaster) pour les utilisateurs et les personnes qui tentent de sécuriser les données d'entreprise et des utilisateurs. En effet, 81 % des violations surviennent en raison de mots de passe faibles ou volés. Les mots de passe sont les principales cibles des cybercriminels. Pour les services informatiques, les mots de passe représentent un fardeau, à différents égards. Tout d'abord, ils doivent stocker les mots de passe de façon sécurisée. Le cas contraire peut entraîner une violation de sécurité, ce qui peut avoir un impact considérable sur le bénéfice, la valeur des actions et la réputation de l'organisation pour les années à venir. Ensuite, lorsque vous êtes détenteur de mots de passe, vous devez également les prendre en charge. Cela implique bien souvent [le traitement des réinitialisations de mot de passe](/learn/help-desk-password-reset-best-practices) qui envahissent les services d'assistance technique. Les organisations ont donc de bonnes raisons de vouloir se débarrasser des mots de passe et passer à l'authentification sans mot de passe. ### Principe de l'authentification sans mot de passe L'authentification sans mot de passe est un type d'[authentification à plusieurs facteurs](/learn/what-is-mfa) qui remplace les mots de passe par un facteur d'authentification plus sécurisé, comme une empreinte digitale ou un code PIN. Grâce à l'authentification à plusieurs facteurs, deux ou plusieurs facteurs sont requis pour la vérification lors de la connexion. L'authentification sans mot de passe repose sur les mêmes principes que les certificats numériques : une paire de clés de chiffrement composée d'une clé privée et d'une clé publique. Même si les deux sont appelées des clés, vous pouvez considérer que la clé publique est le cadenas et la clé privée la véritable clé qui déverrouille le cadenas. Il existe une seule clé pour le cadenas et un seul cadenas pour la clé. Un individu qui souhaite créer un compte sécurisé utilise un outil (une application mobile, une extension de navigateur, etc.) pour générer une paire de clés publique-privée. La clé privée est stockée sur l'appareil local de l'utilisateur et est liée à un facteur d'authentification, comme une empreinte digitale, un code PIN ou la reconnaissance vocale. L'utilisateur peut uniquement y accéder de cette façon. La clé privée est fournie au site Web, à l'application, au navigateur ou à d'autres systèmes en ligne pour lequel l'utilisateur souhaite posséder un compte. ### L'authentification sans mot de passe est un gage de liberté et de sécurité. L'authentification sans mot de passe actuelle repose sur le standard FIDO2 (qui comprend les standards WebAuthn et CTAP). Grâce à ce standard, l'authentification sans mot de passe libère les services informatiques du fardeau que représente la sécurisation des mots de passe. Pourquoi ? Parce qu'en tant que fournisseur de services, vous stockez les clés publiques d'individus, qui sont par définition publiques. Comme avec un cadenas, si un pirate obtient la clé publique, elle est inutile sans la clé privée pour l'ouvrir. La clé privée, quant à elle, reste entre les mains de l'utilisateur final ou de l'employé d'une organisation. Un autre avantage de l'authentification sans mot de passe, c'est que l'utilisateur peut choisir l'outil qu'il utilise pour créer les clés et s'authentifier. Il peut s'agir d'une application mobile comme OneLogin Protect. Il peut s'agir d'un appareil biométrique ou physique, comme YubiKey. L'application ou le site Web sur lequel l'utilisateur s'authentifie est agnostique. Peu lui importe la façon dont vous créez votre paire de clés et vous authentifiez. En effet, c'est ce sur quoi repose l'authentification sans mot de passe. Par exemple, les navigateurs qui implémentent l'authentification sans mot de passe peuvent avoir téléchargé JavaScript lorsque vous consultez une page qui s'exécute sur votre ordinateur, mais ce script fait partie du site Web et ne stocke pas vos informations personnelles. Le script et le site Web ne sont pas sécurisés avec votre clé privée et c'est pourquoi ils ne représentent pas une surface d'attaque avantageuse pour les cyber-escrocs. En tant que méthode d'authentification à plusieurs facteurs, l'authentification sans mot de passe continuera d'évoluer. La plupart des organisations utilisent toujours les mots de passe traditionnels comme méthode d'authentification principale. Cependant, les problématiques bien connues posées par les mots de passe pousseront les entreprises à passer à l'authentification à plusieurs facteurs et à l'authentification sans mot de passe.

En savoir plus

Authentification biométrique: Les points positifs, négatifs et le côté obscur

La biométrie est partout : empreintes digitales, reconnaissance faciale, reconnaissance vocale, etc. Mais la biométrie est-elle véritablement la solution de l'authentification sécurisée ? Comme toutes les technologies, elle présente des avantages et des inconvénients. Dans cette rubrique, nous examinerons les points positifs, négatifs et le côté obscur de la biométrie pour l'authentification. ### Les points positifs de la biométrie pour la sécurité Si la biométrie a tant de succès, il y a une raison: elle est très difficile à falsifier. L'authentification a évolué. Elle a commencé par un nom d'utilisateur et un mot de passe, par exemple. Mais il est facile de s'en emparer ou de tromper les personnes pour les amener à divulguer les informations qu'elles seules connaissent. Les techniques d'authentification se sont déplacées vers des objets que l'on a tous : un téléphone portable à portée de main ou une carte-clé. Celles-ci associées aux informations que vous connaissez ont renforcé la sécurité des utilisateurs. Mais ce n'est pas assez. Les cyber-escrocs peuvent toujours se procurer ou falsifier les appareils des utilisateurs. La prochaine étape de l'authentification est l'utilisation des caractéristiques uniques de l'utilisateur, révélées grâce à la biométrie. Car il est bien plus difficile de falsifier une voix, des empreintes digitales, l'iris, etc. De plus, l'authentification biométrique est souvent commode pour les utilisateurs, on a toujours tout sur soi. Il n'est pas compliqué de mettre son doigt sur un pavé numérique ou de regarder dans un système de reconnaissance d'iris. Certains systèmes, tels que la reconnaissance faciale, peuvent même authentifier sans que l'utilisateur en ait conscience. Le simple fait de vous déplacer dans une pièce ou de vous asseoir devant votre ordinateur vous authentifie avec la reconnaissance faciale, par exemple. Mieux encore, les utilisateurs ne risquent pas d'oublier leurs doigts ou leurs yeux comme ils pourraient oublier un mot de passe ou une clé physique. Vous n'aurez plus à engorger la file de tickets de réinitialisation des mots de passe. ### Les points négatifs de la biométrie pour l'authentification Quel est donc le revers de la médaille ? Pour commencer, même si la biométrie est généralement plus sûre, elle n'est pas infaillible. Par exemple, les scanners d'empreintes digitales des smartphones s'appuient souvent sur des correspondances partielles et des chercheurs ont découvert qu'il était possible de créer des « empreintes de base » offrant des correspondances partielles qui suffisent à donner accès à un grand nombre de comptes d'utilisateur. Il a également été démontré qu'il était possible de créer de fausses empreintes digitales à partir d'empreintes de haute qualité laissées par les personnes. D'autres chercheurs ont découvert des moyens d'utiliser des photos ou empreintes 3D pour tromper les scanners d'iris ou les systèmes de reconnaissance faciale. Parfois, le problème est que si le système peut être piraté, il peut aussi échouer à reconnaître un utilisateur correct : si la personne s'est maquillée différemment ou porte de nouvelles lunettes, ou si elle a la voix enrouée ou vient de se réveiller. On n'est donc pas surpris des prix plus élevés des solutions biométriques de qualité. En fait, 67 pourcent des professionnels de l'informatique déclarent que le coût est l'obstacle principal à l'adoption de l'authentification biométrique. Elle comporte également des coûts indirects ; 47 % des personnes interrogées précisent que pour prendre en charge le passage à la biométrie, les systèmes devraient être mis à niveau. C'est pour cette raison que de nombreuses entreprises qui envisagent d'adopter la biométrie préfèrent l'utiliser uniquement comme un composant de l'[authentification à plusieurs facteurs](/learn/what-is-mfa) (MFA). L'authentification à plusieurs facteurs peut utiliser un facteur biométrique et un facteur non biométrique. Si un facteur d'authentification est piraté, le compte de l'utilisateur est encore protégé par l'autre. Grâce à des outils tels que l'authentification basée sur le risque, l'authentification à plusieurs facteurs peut s'adapter et augmenter la difficulté pour les utilisateurs lorsque la probabilité de cybercriminalité est élevée et réduire les obstacles de connexion lorsqu'elle est faible. ### Le côté obscur de la biométrie Si vous suivez les avancées de la biométrie, vous connaîtrez probablement les questions éthiques qui se posent autour des différentes formes de biométrie, parmi lesquelles le préjudice. La précision des systèmes de reconnaissance faciale n'est pas toujours optimale pour reconnaître des personnes de couleur ou non cisgenre. Et les systèmes d'apprentissage de la biométrie s'appuient trop souvent sur des photos de personnes blanches ou d'hommes blancs. Cela crée un préjudice manifeste qui compromet la reconnaissance des personnes de l'ensemble de la population. Par ailleurs, la façon dont les données biométriques pourraient être utilisées suscite des craintes. Qui a accès aux images utilisées pour la reconnaissance faciale, empreintes digitales ou modèles vocaux ? Peut-on accepter que des entreprises vendent ou fournissent leurs données biométriques à d'autres, tels que des organismes d'application de la loi, d'exécution des lois sur l'immigration ou des gouvernements étrangers répressifs? Pour les entreprises, l'autre côté obscur des données biométriques est le problème du stockage. Lorsque des données biométriques sont stockées, leur stockage doit être sécurisé. Car une fois qu'elles sont piratées, il n'y a plus moyen de revenir en arrière. Une personne ne peut pas modifier ses empreintes digitales ou son iris. Ce qui signifie que si vous perdez vos données biométriques, vous êtes confronté en permanence au risque de piratage, pour le restant de votre vie. Les entreprises qui choisissent de stocker les données biométriques de leurs employés ou clients prennent une responsabilité énorme du point de vue financier et éthique. Dans ce cas, il convient d'envisager le stockage sur dispositif. Les données biométriques sont ainsi stockées sur le dispositif qui authentifie l'utilisateur, tel que le smartphone ou l'ordinateur de l'utilisateur. Cela permet à l'utilisateur de contrôler les données et restreint leur emplacement à un dispositif local, réduisant ainsi les probabilités qu'un cyber-escroc accède à de grands volumes de données biométriques par le biais d'une seule violation. Même si le débat sur la biométrie comporte de nombreux aspects, une chose est sûre : la technologie n'est pas prête de disparaître. Malgré les aspects négatifs et le côté obscur de la biométrie, les points positifs sont assez nombreux pour les compenser. On estime que les entreprises continueront à adopter la biométrie pour l'authentification.

En savoir plus

Qu'est-ce que la gestion des accès et des identités (IAM)?

« Gestion des accès et des identités » (IAM) désigne les politiques et les outils employés par les services informatiques de manière à garantir que les personnes et les entités disposent d'un niveau d'accès adéquat aux ressources techniques de l'entreprise. Les systèmes de gestion des accès et des identités sont des solutions technologiques permettant de gérer de manière sécurisée les identités numériques et leurs accès aux différents systèmes et applications. Les systèmes de gestion des accès et des identités gèrent les personnes et d'autres types d'identités telles que les logiciels (applications ou programmes) et le matériel (appareils IdO, etc.). Les systèmes de gestion des accès et des identités prennent en charge deux tâches principales: - **L'authentification** de l'entité en vérifiant qu'elle soit bien celle qu'elle affirme être. Lorsque vous saisissez un nom d'utilisateur et un mot de passe sur un site Web, celui-ci vous authentifie en consultant sa base de données afin de déterminer si les informations que vous avez fournies concordent avec celles de la base de données. Il s'agit d'une méthode d'authentification, toutefois moins sûre que l'authentification moderne. - **L'autorisation** de l'entité selon son niveau d'accès aux ressources. L'autorisation consiste à vérifier les accès aux ressources techniques dont dispose un utilisateur authentifié et à ne lui accorder que ceux-ci. À titre d'exemple, si vous vous connectez à un système de gestion de contenus en tant qu'éditeur, vous êtes autorisé à apporter des modifications au contenu, mais pas aux comptes d'utilisateur, et vous ne pouvez pas créer de nouveaux utilisateurs. Les systèmes de gestion des accès et des identités constituent une composante importante de la cybersécurité, car ils ont été conçus pour assurer une fonction essentielle : fournir un accès sécurisé aux ressources de l'entreprise. ### Principales fonctionnalités d'un système de gestion des accès et des identités Les systèmes de gestion des accès et des identités assurent la fonctionnalité de base suivante: Tâche Outils Gérer les identités des utilisateurs Les systèmes de gestion des accès et des identités gèrent les identités des utilisateurs. Le système de gestion des accès et des identités peut constituer le seul annuaire utilisé pour créer, modifier et supprimer les utilisateurs (tels que les employés). Il peut également être intégré à un ou plusieurs annuaires tels que Microsoft Active Directory et se synchroniser avec eux. Provisionnement/déprovisionnement des utilisateurs Lorsqu'un utilisateur est créé dans le système, le service informatique doit le provisionner, en d'autres termes, spécifier les applications et les ressources auxquelles il peut accéder, ainsi que son niveau d'accès (administrateur, éditeur, lecture seule, etc.) à chaque élément. Spécifier l'accès de chaque personne à chaque ressource serait laborieux, c'est pourquoi les systèmes de gestion des accès et des identités permettent habituellement d'assurer le provisionnement au moyen de stratégies définies sur la base d'un contrôle d'accès fondé sur les rôles (Role-Based Access Control, RBAC). Les utilisateurs se voient assigner un ou plusieurs rôles, généralement en fonction de leur poste, et obtiennent automatiquement les accès correspondant à ce ou ces rôles. À l'instar du provisionnement des utilisateurs, il peut être laborieux de les déprovisionner de l'ensemble des applications et des systèmes auxquels ils ont accès. Un système de gestion des accès et des identités automatise cette opération essentielle, car les anciens employés dont l'accès n'a pas été désactivé constituent un important risque pour la sécurité. Authentification des utilisateurs Les systèmes de gestion des accès et des identités permettent d'authentifier un utilisateur lorsque celui-ci demande un accès. Aujourd'hui, l'authentification sécurisée prend la forme d'une authentification à plusieurs facteurs et, de préférence, d'une authentification adaptative. Autorisation des utilisateurs Après avoir authentifié un utilisateur, le système de gestion des accès et des identités l'autorise à accéder aux applications et aux ressources définies lors de son provisionnement. Reporting Les systèmes de gestion des accès et des identités fournissent des rapports permettant aux entreprises de justifier leur conformité aux règlementations, d'identifier les risques de sécurité potentiels et d'améliorer leur processus de sécurité et de gestion des accès et des identités. Authentification unique L'authentification unique (SSO) n'est pas intégrée à tous les systèmes de gestion des accès ; elle est réservée aux meilleurs d'entre eux. L'authentification unique renforce la sécurité et la productivité des utilisateurs en leur permettant d'accéder plus rapidement et simplement aux ressources dont ils ont besoin sans devoir se connecter à chaque fois ni mémoriser de nombreux mots de passe distincts. ### Comparaison des systèmes cloud et sur site Les systèmes de gestion des accès et des identités peuvent être hébergés sur le cloud (également appelés « IDaaS ») ou sur site. Les premiers systèmes de gestion des accès et des identités étaient hébergés sur site, c'est-à-dire physiquement situés en amont du pare-feu de l'entreprise et gérés par celle-ci. À l'heure actuelle, de plus en plus d'entreprises migrent vers des systèmes de gestion des accès et des identités cloud. McKinsey indique que seules 38 % des entreprises interrogées prévoient de conserver un système sur site d'ici trois ans.1 Dans trois ans, 60 % d'entre elles envisagent de faire appel aux services d'un système de gestion des accès et des identités prenant en charge différents environnements publics/cloud et unifiant l'accès aux ressources sur site et publiques/cloud. La migration vers les systèmes de gestion des accès et des identités cloud a lieu pour des raisons d'économies et de fiabilité. Le recours à un système de gestion des accès et des identités cloud permet de réduire les coûts d'infrastructure et de maintenance. Il limite également le risque d'interruption de service, car les fournisseurs de solutions cloud proposent des systèmes distribués et redondants à haute disponibilité et courts délais de résolution. 1. https://www.mckinsey.com/~/media/McKinsey/Business%20Functions/McKinsey%20Digital/Our%20Insights/Creating%20value%20with%20the%20cloud%20compendium/Creating-value-with-the-cloud.ashx

En savoir plus

Qu'est-ce que la cybersécurité et pourquoi est-elle indispensable?

La cybersécurité désigne les méthodes de défense des actifs techniques et données contre toute attaque malveillante. Elle consiste à protéger les ordinateurs, les serveurs, les appareils mobiles, les systèmes électroniques, les réseaux et les données d'entreprise. La cybersécurité comprend les éléments suivants: - **Sécurité réseau** : protéger un réseau informatique contre les intrusions. - **Sécurité des applications** : éliminer toute menace contre les logiciels et appareils, ce qui est crucial car ceux-ci peuvent permettre d'accéder aux données d'entreprise. - **Sécurité des informations** : protéger les données stockées et en transit. - **Sécurité opérationnelle** : veiller à ce que les utilisateurs disposent des autorisations appropriées lorsqu'ils accèdent à un réseau et à ce que les données soient stockées et partagées en toute sécurité. - **Reprise après sinistre et continuité des opérations** : planifier les mesures adéquates pour répondre à des incidents de sécurité, pertes de données, coupures d'électricité ainsi que la reprise suite à ces situations. La continuité des opérations fait référence au plan qu'utilise l'organisation pour continuer à mener ses activités pendant qu'elle gère un incident. ### Qu'est-ce qu'une cyberattaque? Une cyberattaque est une tentative de vol, d'altération, de divulgation, de désactivation, de destruction ou simplement d'obtention d'accès non autorisé à un système ou réseau informatique. Voici quelques exemples d'attaques courantes: **Attaque par déni de service** : les pirates saturent la ressource ciblée (site Web ou réseau, par exemple) à l'aide de requêtes superflues pour tenter de surcharger les serveurs et empêcher ainsi certaines ou toutes les requêtes légitimes d'être traitées. Par exemple, le pirate peut utiliser différentes adresses IP pour envoyer des centaines de milliers de messages « contactez-nous » à un site Web, ce qui sature le site et le bloque. **Hameçonnage** : les pirates se procurent un ensemble de numéros de téléphone ou adresses électroniques et leur envoient un message convaincant incitant l'utilisateur à cliquer sur un lien vers un faux site Web sur lequel il saisira son nom d'utilisateur et mot de passe. Les pirates peuvent ensuite les utiliser pour se connecter et capturer des données, voler de l'argent, etc. **Harponnage** : les pirates envoient des messages trompeurs à des petits groupes d'individus. Ces messages ciblent un groupe donné et incluent souvent des informations personnelles que les pirates se sont procurés (telles que le nom d'un collègue ou un événement auquel l'utilisateur a assisté récemment). Le message fonctionne ensuite comme le hameçonnage. **Enregistreur de frappe** : les pirates parviennent à installer un programme sur l'ordinateur de l'utilisateur qui capture les frappes, donc les noms d'utilisateur et mots de passe pour certains sites, applications, etc. **Credential stuffing** : les pirates utilisent des noms d'utilisateur/mots de passe volés et essayent de les utiliser sur différents sites Web ou applications, espérant que l'utilisateur a utilisé les mêmes identifiants sur plusieurs sites. Cela fonctionne car les utilisateurs utilisent souvent les mêmes identifiants pour différents sites. **Attaques par force brute et par force brute inversée** : les pirates génèrent plusieurs combinaisons nom d'utilisateur/mot de passe possibles en se basant sur les modèles courants qu'utilisent les personnes, puis essaient de les utiliser à l'aide de programmes sur plusieurs sites Web/applications pour tenter d'y accéder. **Attaques de l'intercepteur** : les pirates insèrent un programme entre l'utilisateur et une application ou un site Web. Par exemple, le programme peut ressembler à une connexion Wifi publique. Il capture les identifiants de connexion de l'utilisateur ou détourne sa session afin de pouvoir exécuter des actions à son insu. ### Qu'est-ce qu'un incident de sécurité et une faille de sécurité? Un incident de sécurité est un événement qui enfreint les politiques ou procédures de sécurité d'une organisation. Le rapport d'enquête sur les compromissions de données de Verizon de 2016 définit un incident comme un événement lié à la sécurité qui compromet l'intégrité, la confidentialité ou la disponibilité d'un actif informationnel. Une faille de sécurité est un incident qui correspond aux définitions juridiques au niveau étatique ou gouvernemental pour être qualifié de violation de données. De nombreux règlements relatifs à la conformité et réglementations étatiques, fédérales requièrent des notifications spécifiques en cas de violation de données. Il peut s'agir par exemple, d'informer les personnes ou organismes de réglementation concernés. ### Comment mettre en place la cybersécurité? Il n'existe pas de solution miracle. Mais une approche proactive et vigilante permet d'augmenter les chances de prévenir ou d'atténuer un incident ou une faille de sécurité. Pour protéger votre entreprise ou organisation des cyberattaques, vous devez coordonner vos activités sur plusieurs fronts. La cybersécurité incombe généralement au service informatique d'une organisation, mais chaque employé, fournisseur et personne ayant accès aux ressources de l'entreprise joue un rôle. Pour défendre une organisation, il convient de mettre en œuvre des efforts sur au moins trois fronts: - **Technologie** : il est bien sûr crucial d'être équipé de solutions de sécurité techniques adéquates. Ces solutions doivent être implémentées pour protéger les réseaux et les systèmes sur site, les systèmes et applications dans le Cloud et tous les points d'extrémité, appareils, Internet des objets (IdO), routeurs et tout autre point d'entrée à vos réseaux et systèmes. Un système de gestion des privilèges d'accès et un système de gestion des accès et des identités sont des technologies essentielles. - **Processus** : pour pouvoir conserver une approche rigoureuse et répondre aux événements de cybersécurité potentiels ou réels, vous devez prendre le temps de définir et de déployer des processus qui prennent en charge la cybersécurité. Ces processus doivent être vérifiés et mis à jour régulièrement. - **Individus** : si les individus qui font partie de l'écosystème de votre entreprise n'implémentent pas les processus et technologies requis, vous n'obtiendrez pas les résultats souhaités. Les individus sont souvent la cible des types de cyberattaque les plus courants. Pour protéger votre organisation, il est donc indispensable de former tous vos employés et toutes les personnes qui travaillent avec votre organisation, de veiller à ce qu'ils suivent les meilleures pratiques, notamment concernant la sécurité des mots de passe. Ces outils de cybersécurité doivent être appliqués à un ensemble de fonctions, conformément au cadre de cybersécurité du NIST: - **Identifier** les risques potentiels de cybersécurité et les points faibles de l'organisation. - **Protéger** des attaques à l'aide des informations déterminées dans la phase d'identification. - **Détecter** toute attaque ou attaque potentielle en temps réel. - **Répondre** aux attaques. - **Récupérer** suite à un événement.

En savoir plus

Qu'est-ce que l'administration et la gouvernance des identités ?

L'administration et la gouvernance des identités (IGA) rejoint la liste des acronymes comme IAM, PAM et UAM. Le terme a été adopté en 2013, après la fusion par Gartner de deux de ses quadrants magiques (l'un traitant de la gouvernance de l'identité et l'autre de l'administration de l'identité) en un seul quadrant magique pour l'administration et la gouvernance des identités. Les systèmes IGA combinent l'administration des identités, qui a trait à l'administration des comptes et identifiants, le provisionnement et la gestion des droits, avec la gouvernance des identités, qui a trait à la séparation des tâches, la gestion des rôles, la connexion, les analyses et le reporting. Les systèmes IGA fournissent une fonctionnalité supplémentaire, allant plus loin que les systèmes standard de gestion des accès et des identités (IAM). Ils aident en particulier les organisations à respecter les exigences de conformité et leur permettent de vérifier l'accès pour le reporting de conformité. Ils automatisent également les flux de travail pour les tâches comme les approbations d'accès et le provisionnement/déprovisionnement. ### Composants des systèmes IGA Les outils d'administration et de gouvernance des identités facilitent la gestion du cycle de vie de l'identité des utilisateurs. Les systèmes IGA comprennent généralement les composants suivants pour l'administration des identités : - **Gestion des mots de passe** Grâce aux outils comme les solutions de stockage de mots de passe ou, plus souvent, l'authentification unique, les systèmes IGA garantissent que les utilisateurs n'ont pas besoin de se souvenir de nombreux mots de passe différents pour accéder aux applications. - **Intégrations** Connecteurs à intégrer aux annuaires et autres systèmes qui contiennent des informations sur les utilisateurs et les applications et systèmes auxquels ils ont accès, ainsi que leur autorisation dans ces systèmes. - **Gestion des demandes d'accès** Flux de travail qui facilitent pour les utilisateurs les demandes d'accès aux applications et systèmes pour obtenir les approbations. - **Provisionnement** Provisionnement et déprovisionnement automatisés au niveau de l'utilisateur et de l'application. - **Gestion des droits** Capacité à spécifier et vérifier les tâches que les individus sont autorisés à effectuer dans diverses applications (par exemple, ajouter, modifier, afficher ou supprimer des données). Les systèmes IGA comprennent généralement ces éléments pour l'administration de la gouvernance : - **Séparation des tâches** Créer des règles qui empêchent d'accorder des accès risqués à une personne. Par exemple, la possibilité d'afficher un compte bancaire professionnel et de transférer des fonds sur des comptes externes (ce qui peut permettre à un utilisateur de transférer de l'argent sur un compte personnel). - **Contrôle de l'accès** Outils qui facilitent le contrôle et la vérification (ou révocation) de l'accès des utilisateurs à différentes applications et ressources. Certains outils IDG proposent des fonctionnalités de découverte qui permettent d'identifier les droits qui ont été accordés et de les mettre en avant. - **Gestion basée sur les rôles** Définition et gestion de l'accès via les rôles utilisateur. - **Analyse et reporting** Outils qui enregistrent les activités, génèrent les rapports (y compris pour la conformité) et fournissent des analyses pour identifier les problèmes et optimisations.

En savoir plus

Qu'est-ce que la gestion des privilèges d'accès?

La gestion des privilèges d'accès (PAM) se rapporte aux systèmes qui gèrent la sécurité des comptes des utilisateurs ayant des autorisations élevées leur permettant d'accéder à des ressources d'entreprise stratégiques. Il peut s'agir d'administrateurs humains, d'appareils, d'applications et autres types d'utilisateurs. Les comptes d'utilisateur privilégiés sont des cibles de choix pour les cyber-escrocs, parce qu'ils disposent d'autorisations élevées dans les systèmes, qui leur permettent d'accéder à des informations hautement confidentielles et d'apporter des modifications au niveau administrateur à des applications et systèmes stratégiques. L'an dernier, 44 pourcent des violations de données concernaient des identités privilégiées.1 La gestion des privilèges d'accès est aussi parfois appelée gestion des comptes privilégiés ou gestion de session privilégiée (PSM). La gestion de session privilégiée est un composant d'un bon système de gestion des privilèges d'accès. ### Pourquoi la gestion des privilèges d'accès est-elle importante? On trouve des comptes privilégiés partout. Il existe plusieurs types de comptes privilégiés et ils peuvent se situer sur site ou dans le Cloud. La différence entre ces comptes et les autres, c'est qu'ils comportent des niveaux élevés d'autorisation, tels que la capacité à modifier des paramètres pour de grands groupes d'utilisateurs. De même, plusieurs personnes ont souvent accès à un compte privilégié spécifique, au moins temporairement. Par exemple, le compte racine d'un ordinateur Linux est une forme de compte privilégié. Le propriétaire d'un compte Amazon Web Services (AWS) est une autre forme de compte privilégié. Un compte d'entreprise pour le profil Twitter officiel d'une entreprise en est une autre forme également. Les comptes privilégiés présentent des risques élevés. Les cyber-escrocs sont plus intéressés par les comptes privilégiés que par n'importe quel autre type de compte. C'est pour cette raison qu'ils représentent un défi pour les services informatiques. L'accès à ces comptes n'a souvent pas été bien géré, malgré le risque élevé de dommages considérables si de tels comptes sont piratés. Le fait que plusieurs personnes utilisent le même compte sans que l'on puisse retracer l'historique ou la responsabilité, ainsi que les mots de passe fixes, figurent parmi les problèmes courants. Les solutions de gestion des privilèges d'accès visent à atténuer ces risques. ### Comment fonctionnent les systèmes de gestion des privilèges d'accès? Un administrateur PAM utilise le portail PAM pour définir les méthodes d'accès au compte privilégié sur différentes applications et ressources d'entreprise. Les identifiants des comptes privilégiés (tels que leurs mots de passe) sont stockés dans une solution de stockage de mot de passe spéciale et hautement sécurisée. L'administrateur PAM utilise également le portail PAM pour définir les politiques des personnes qui peuvent assumer l'accès à ces comptes privilégiés et sous quelles conditions. Les utilisateurs privilégiés se connectent via le système de gestion des privilèges d'accès et demandent ou assument immédiatement l'accès au compte d'utilisateur privilégié. Cet accès est consigné et reste temporaire pour l'exécution exclusive de tâches spécifiques. Pour garantir la sécurité, l'utilisateur du système de gestion des privilèges d'accès est généralement invité à fournir un justificatif professionnel pour l'utilisation du compte. L'approbation d'un responsable est parfois également requise. Souvent, l'utilisateur n'a pas accès aux mots de passe réels permettant de se connecter aux applications, l'accès lui est fourni via le système de gestion des privilèges d'accès. De plus, le système de gestion des privilèges d'accès permet de garantir que les mots de passe sont régulièrement modifiés, souvent automatiquement, soit à intervalles réguliers, soit après chaque utilisation. L'administrateur PAM peut surveiller les activités de l'utilisateur sur le portail PAM et même gérer des sessions en direct en temps réel, le cas échéant. Les systèmes de gestion des privilèges d'accès récents utilisent également l'apprentissage automatique pour identifier des anomalies et utilisent la notation des risques pour alerter l'administrateur en temps réel en cas d'opérations risquées. ### Quels sont les avantages de la gestion des privilèges d'accès? L'avantage indéniable de l'implémentation d'un système de gestion des privilèges d'accès est l'amélioration de la sécurité. Mais il y en a d'autres. La gestion des privilèges d'accès permet de: **Protéger contre les cyber-escrocs** Les utilisateurs privilégiés, tels que les administrateurs, doivent faire face aux mêmes difficultés que les autres utilisateurs pour retenir plusieurs mots de passe, et ont la même tendance à utiliser le même mot de passe pour plusieurs comptes. Pourtant, ces utilisateurs sont plus susceptibles d'être victime de cyber-escrocs. Un système de gestion des privilèges d'accès peut réduire le besoin pour les administrateurs de se souvenir de nombreux mots de passe et éviter que les utilisateurs privilégiés créent des mots de passe système locaux/directs. La gestion de session et les alertes aident le superadministrateur à identifier des attaques potentielles en temps réel. **Protéger contre les attaques de l'intérieur** Malheureusement, un nombre considérable d'attaques proviennent de mauvais éléments à l'intérieur de l'organisation. Elles peuvent aussi être commises par des employés qui ont quitté l'entreprise mais dont les comptes n'ont pas été complètement supprimés pour éviter qu'ils n'y accèdent après leur départ. **Meilleure productivité** Un système de gestion des privilèges d'accès est une aubaine pour les utilisateurs privilégiés. Il leur permet de se connecter plus rapidement aux systèmes dont ils ont besoin et leur évite le lourd fardeau d'avoir à retenir de nombreux mots de passe. Il permet également au superutilisateur de gérer facilement les privilèges d'accès des utilisateurs depuis un emplacement centralisé au lieu d'avoir à manipuler différents systèmes et applications. **Garantir la conformité** De nombreuses réglementations exigent une gestion granulaire et spécifique des privilèges d'accès et la capacité de vérifier l'accès. Vous pouvez restreindre l'accès aux systèmes sensibles, exiger des approbations supplémentaires ou utiliser l'authentification à plusieurs facteurs pour les comptes privilégiés. Les outils de vérification dans les systèmes de gestion des privilèges d'accès enregistrent les activités et vous permettent de fournir une piste de vérification claire. La gestion des privilèges d'accès permet aux organisations d'être en [conformité](https://www.onelogin.com/blog/categories/security-and-compliance) avec des réglementations telles que SOX, HIPAA, PCI DSS, GLBA, ISO 27002, ICS CERT, FDCC, FISMA. ### Quelle est la différence entre la gestion des privilèges d'accès et la gestion des accès et des identités (IAM)? On confond souvent la gestion des privilèges d'accès avec la gestion des accès et des identités. La gestion des accès et des identités est axée sur l'authentification et l'autorisation de **tous** les types d'utilisateurs d'une organisation, à savoir les employés, fournisseurs, sous-traitants, partenaires voire même les clients. Elle gère l'accès général aux applications et ressources, sur site et dans le Cloud et s'intègre généralement aux systèmes d'annuaires tels que Microsoft Active Directory. La gestion des privilèges d'accès est axée sur les **utilisateurs privilégiés**, les administrateurs ou ceux qui possèdent des privilèges élevés dans l'organisation. Les systèmes de gestion des privilèges d'accès sont conçus pour gérer et sécuriser l'accès de ces utilisateurs aux ressources stratégiques. Les organisations ont besoin de ces deux outils si elles veulent être protégées contre les attaques. Les systèmes de gestion des accès et des identités couvrent une surface d'attaque plus large de l'accès par les nombreux utilisateurs de l'écosystème de l'organisation. La gestion des privilèges d'accès se concentre sur les utilisateurs privilégiés. Mais elle est tout aussi importante car bien qu'elle couvre une surface d'attaque réduite, cette surface a une grande valeur et requiert un ensemble de contrôles supplémentaires qui ne sont normalement pas nécessaires ni appropriés pour des utilisateurs réguliers (tels que l'enregistrement de session). ### Comment la gestion des accès et des identités peut-elle améliorer la gestion des privilèges d'accès? L'intégration de votre solution de gestion des privilèges d'accès dans votre solution de gestion des accès et des identités présente plusieurs avantages. De nombreux clients font le choix de cette intégration parce qu'elle réduit les risques de sécurité, est requise par les organismes de vérification et les réglementations relatives à la conformité et améliore l'expérience de l'utilisateur. La gestion des accès et des identités permet: - D'ajouter l'authentification à plusieurs facteurs et l'authentification adaptative pour votre accès PAM. Cela peut permettre de respecter les exigences de conformité, telles que l'exigence 8.3 de la norme PCI DSS. De nombreuses réglementations telles que la norme PCI DSS requièrent la sécurisation de l'accès de l'administrateur avec des outils tels que l'authentification à plusieurs facteurs. - De garantir que les privilèges d'accès sont automatiquement résiliés lorsqu'un employé quitte l'organisation. C'est souvent une exigence de conformité, comme pour la norme PCI DSS. Tous les outils de gestion des privilèges d'accès ne garantissent pas cette mesure et trop souvent, les services informatiques ne désactivent pas assez rapidement les comptes des anciens employés. Lorsqu'un tel employé a accès à des comptes privilégiés, cela peut être catastrophique. - De garantir que les administrateurs sont opérationnels dès le premier jour. En utilisant la gestion des accès et des identités avec la gestion des privilèges d'accès, vous pouvez automatiquement créer des comptes d'administrateur du système de gestion des privilèges d'accès et leur accorder l'accès approprié dès le premier jour. - De fournir une expérience utilisateur unique. En utilisant votre solution de gestion des accès et des identités comme interface du système de gestion des privilèges d'accès, vous améliorez l'expérience utilisateur des utilisateurs privilégiés. Ceux-ci peuvent accéder à la gestion des privilèges d'accès depuis l'emplacement qui leur permet d'accéder à d'autres ressources d'entreprise. Enfin, la gestion des privilèges d'accès a un rôle primordial à jouer dans la sécurité des ressources et données de votre organisation. Les meilleures solutions de gestion des identités sont coordonnées avec un système de gestion des accès et des identités pour garantir la sécurité et la convivialité. 1. https://www.globalbankingandfinance.com/44-of-data-breaches-in-the-last-year-involved-privileged-identity-according-to-global-balabit-research-report/

En savoir plus

Liste de contrôle de l'authentification unique

Il est essentiel que votre solution SSO remplisse les exigences de base pour répondre aux besoins du service informatique et des utilisateurs. Elle doit donc être sûre et présenter un niveau élevé de convivialité. Mais n'oubliez pas que l'authentification unique fait uniquement partie de votre solution de gestion des accès et des identités. Aujourd'hui, la transformation numérique repose sur une plateforme de gestion unifiée des accès (UAM) qui inclut l'authentification unique ainsi que d'autres outils tels que l'authentification à plusieurs facteurs et l'intégration des annuaires. Utilisez la liste de contrôle ci-dessous pour vous assurer que votre système SSO offre la protection dont votre entreprise a besoin. #### Assistance à l'ensemble des utilisateurs La solution SSO prend-elle en charge l'ensemble de vos utilisateurs? Collaborateurs (employés et sous-traitants) Partenaires/Fournisseurs Clients #### Clients Si vos clients ont besoin d'un accès, le système SSO prend-il en charge les méthodes courantes d'authentification des particuliers? Facebook Google #### Véritable authentification unique La solution SSO permet-elle une véritable authentification unique par rapport au stockage de mots de passe? L'utilisateur saisit uniquement un nom d'utilisateur et un mot de passe pour accéder à toutes les applications/tous les sites L'utilisateur doit se connecter seulement une fois par jour ou par session pour pouvoir accéder à toutes les applications/tous les sites de l'entreprise #### Intégration d'applications La solution SSO est-elle compatible avec vos applications sur le Cloud et sur site? L'authentification unique prend en charge toutes vos applications sur le Cloud L'authentification unique prend en charge toutes vos applications sur site #### Prise en charge de normes ouvertes La solution SSO prend-elle en charge les protocoles les plus courants et les plus utilisés qui permettent d'établir une relation de confiance? SAML OpenID Connect OAuth 2 WS-Federation #### Réputation concernant la sécurité Le fournisseur respecte-t-il les normes de sécurité courantes les plus élevées et implémente-t-il des processus internes appropriés? SOC 2 Type 2 ISO 27017 ISO 27018 ISO 27001 Skyhigh Enterprise-Ready CSA Star TRUSTe Bouclier de protection des données UE-États-Unis GDPR Clauses contractuelles types européennes Adhère au cadre de cybersécurité du NIST Le fournisseur réalise des tests d'intrusion Le fournisseur réalise des analyses du réseau Le fournisseur a un programme bug bounty #### Disponibilité et reprise après sinistre Le service SSO offre-t-il une disponibilité élevée et cohérente et permet-il une reprise après sinistre rapide? Disponibilité de plus de 99 % par le passé Disponibilité de plus de 99 % récemment (douze derniers mois) Utilise plusieurs centres de données dans différentes régions Utilise la réplication et la redondance entre les régions #### Convivialité élevée L'interface utilisateur de la solution SSO est-elle assez conviviale pour être adoptée par les utilisateurs? Fournit un portail d'applications unique S'intègre à tous les navigateurs courants Rationalise le processus d'accès aux applications Rationalise le processus de connexion Permet aux utilisateurs de réinitialiser facilement leurs propres mots de passe #### Accessible sur appareils mobiles La solution SSO fournit-elle une prise en charge adéquate pour les utilisateurs d'appareils mobiles? Fournit l'authentification unique pour appareils mobiles (via une application mobile native) Prend en charge une grande variété d'appareils via SAML et des partenariats avec les fournisseurs MDM Fonctionne avec votre outil d'authentification à plusieurs facteurs #### Règles de mots de passe souples Le système SSO prend-il en charge et applique-t-il des exigences de mot de passe de façon conviviale et efficace? Permet de définir les délais d'expiration des mots de passe Permet de définir la complexité des mots de passe (longueur, caractères, etc.) Fournit des notifications relatives à l'expiration (permet de réduire les demandes d'assistance) Applique les exigences de l'authentification à plusieurs facteurs pour les réinitialisations de mot de passe en cas d'utilisation de l'authentification à plusieurs facteurs #### Accès entreprise La solution SSO s'intègre-t-elle à vos points d'accès au réseau? S'intègre au VPN S'intègre au Wifi pour l'accès aux applications Fournit des points d'extrémité permettant l'intégration à RADIUS et LDAP #### Fédération Votre solution SSO vous permet-elle d'utiliser vos fournisseurs d'identité d'entreprise existants préférés? Microsoft Active Directory Amazon Active Directory LDAP Google Directory Systèmes de gestion des ressources humaines tels que Workday ou SuccessFactors #### Authentification La solution SSO fournit-elle une sécurité supplémentaire? Authentification à plusieurs facteurs Authentification adaptative Authentification automatique forcée pour les ressources à haut risque Certificats basés sur X.509 #### Assistance développeur La solution SSO fournit-elle des API et une assistance pour que vous puissiez activer l'authentification unique sur vos applications personnalisées et systèmes tiers? API d'enregistrement SSO et de gestion du cycle de vie Kit de développement logiciel pour les principales plateformes et langues Prend en charge OpenID Connect #### Reporting La solution SSO fournit-elle des rapports qui vous permettent de respecter les exigences de conformité et d'améliorer votre sécurité selon les menaces? Permet d'externaliser les événements d'autorisation auprès de solutions SIEM tierces Rapports et pistes d'audit prêts à l'emploi ### Exigences rigoureuses Bien que toute solution SSO doive répondre aux exigences de base, les organisations qui réussissent leur transformation numérique choisissent généralement des solutions répondant à des exigences rigoureuses. Une solution SSO rigoureuse garantit dès le départ que vous n'avez pas pris de retard. #### Analyse comportementale La solution SSO utilise-t-elle l'analyse comportementale pour s'adapter et réagir de façon intelligente? Permet d'utiliser des listes noires et des listes vertes de géolocalisation et IP Vous permet de définir des réponses à des tentatives de connexion à haut risque Vous permet de définir que certaines applications demandent une nouvelle authentification (par exemple, via l'authentification à plusieurs facteurs) #### Gestion de l'autorisation La solution SSO gère-t-elle l'autorisation à travers son intégration à votre(vos) fournisseur(s) d'identité? Prend en charge l'accès RBAC Prend en charge la création ou la suppression de compte d'accès utilisateur dans des applications #### Intégration facile Pouvez-vous intégrer la solution SSO à vos applications personnalisées et à votre organisation sans avoir à remplacer ou à modifier considérablement des solutions existantes? Permet l'intégration à vos applications personnalisées via une API Permet l'intégration de SSO sans avoir besoin de désinstaller et réinstaller d'autres solutions

En savoir plus

Fonctionnement de l'authentification unique

L'authentification unique (SSO) est un système permettant aux utilisateurs de s'authentifier auprès de différents sites Web et applications en se connectant une seule fois avec un seul jeu d'identifiants (nom d'utilisateur et mot de passe). Avec l'authentification unique, l'application ou le site Web auquel l'utilisateur tente d'accéder utilise une tierce partie de confiance pour vérifier que chaque utilisateur correspond bien à la personne qu'il affirme être. ### Comment l'authentification fonctionne-t-elle sans SSO? Sans authentification unique, chaque site Web gère sa propre base de données d'utilisateurs et d'identifiants de connexion. Voici ce qui se passe lorsque vous tentez de vous connecter à une application ou un site Web: 1. Le site Web vérifie d'abord si vous avez déjà été authentifié. Si c'est le cas, il vous autorise à accéder au site. 2. Dans le cas contraire, il vous invite à vous connecter et vérifie que le nom d'utilisateur et le mot de passe que vous avez saisis correspondent aux informations contenues dans sa base de données d'utilisateurs. 3. Après la connexion, le site transmet les données de vérification d'authentification à mesure que vous vous déplacez sur le site afin de vérifier que vous êtes authentifié chaque fois que vous accédez à une nouvelle page. Les données de vérification d'authentification sont généralement transmises sous forme de cookies avec les données de la session ou de jetons, qui ne suivent pas la session et sont plus rapides à traiter. L'utilisateur effectue une demande d'accès L'utilisateur se voit octroyer l'accès,puis demande à accéder à un autre site ###Comment la SSO fonctionne-t-elle? L'authentification unique est basée sur une relation de confiance entre les domaines (sites Web). Avec l'authentification unique, voici ce qui se passe lorsque vous tentez de vous connecter à une application ou un site Web: 1. Le site Web vérifie d'abord si vous avez déjà été authentifié par la solution SSO, et si c'est le cas, il vous autorise à accéder au site. 2. Dans le cas contraire, il vous redirige vers la solution SSO afin de vous connecter. 3. Vous saisissez le nom d'utilisateur/mot de passe que vous utilisez pour accéder aux applications de votre entreprise. 4. La solution SSO demande au fournisseur d'identité ou au système d'authentification qu'utilise votre entreprise de vous authentifier. Le fournisseur d'identité ou le système d'authentification vérifie votre identité et notifie la solution SSO. 5. La solution SSO transmet les données d'authentification au site Web et vous redirige vers ce dernier. 6. Après la connexion, le site transmet les données de vérification d'authentification à mesure que vous vous déplacez sur le site afin de vérifier que vous êtes authentifié chaque fois que vous accédez à une nouvelle page. Lorsque vous utilisez une solution SSO, les données de vérification d'authentification prennent la forme de jetons. L'utilisateur effectue une demande d'accès Le site Web le redirige vers le portail Web SSO afin qu'il se connecte. L'utilisateur se connecte avec une combinaison nom d'utilisateur/mot de passe unique. Le portail Web SSO vérifie l'identité de l'utilisateur auprès d'un fournisseur d'identité tel qu'Active Directory. L'utilisateur se voit octroyer l'accès,puis demande à accéder à un autre site Lorsque l'utilisateur tente d'accéder à un autre site Web, ce dernier contacte la solution SSO. Étant donné que l'utilisateur a été authentifié, seule l'identité de l'utilisateur pour l'accès au nouveau site Web est vérifiée et aucune nouvelle connexion n'est nécessaire. ### Que doit offrir un véritable système SSO? Il est important de comprendre la différence entre une authentification unique et le stockage de mots de passe, parfois également appelé « SSO ». Avec une solution de stockage de mots de passe, vous disposez d'une paire nom d'utilisateur/mot de passe unique, mais vous devez saisir vos identifiants chaque fois que vous accédez à un nouveau site Web ou à une nouvelle application. Avec une solution SSO, une fois connecté via celle-ci, vous pouvez accéder à l'ensemble des applications et des sites Web approuvés par l'entreprise sans devoir vous reconnecter. Il s'agit notamment des applications Cloud et locales souvent accessibles via un portail SSO (également appelé portail de connexion). L'authentification unique utilise un concept appelé la fédération pour proposer une SSO fédérée. ### En quoi consiste la SSO fédérée? Les solutions SSO qui utilisent la fédération proposent une véritable authentification unique en tirant parti du fournisseur d'identité (IP en anglais) de l'entreprise tel qu'Active Directory (AD) ou Azure Active Directory (Azure AD). Ce fournisseur d'identité fait généralement office de serveur d'authentification en enregistrant l'identité et les informations de l'utilisateur telles que le nom d'utilisateur, le mot de passe, les domaines auxquels il peut accéder, voire les activités qu'il peut effectuer sur chaque site ou application. (Le processus qui consiste à vérifier quelles activités l'utilisateur peut effectuer est appelé autorisation. Par exemple, un utilisateur peut être autorisé à accéder aux rapports Salesforce, mais pas à modifier les fiches clients.) Avec une vraie SSO, la solution SSO est intégrée au fournisseur d'identité ou emploie un ou plusieurs fournisseurs d'identité pour authentifier l'utilisateur. Les demandes et les informations d'authentification sont transmises au moyen de protocoles sécurisés standard tels que SAML ou OAuth. Les sites Web qui demandent une authentification ont une relation basée sur la confiance avec la solution SSO, et il existe des relations de confiance entre la solution SSO et les fournisseurs d'identité. Une relation de confiance signifie qu'un domaine fait confiance aux informations d'un autre domaine concernant les identités, les appareils et les privilèges d'accès des utilisateurs.

En savoir plus

Pourquoi l'authentification unique est-elle si importante?

L'authentification unique (SSO) dans un contexte d'entreprise désigne la possibilité pour les employés de se connecter une fois avec un seul jeu d'identifiants pour accéder à l'ensemble des applications, sites Web et données de l'entreprise auxquels ils sont autorisés à accéder. L'authentification unique résout des problèmes majeurs pour les entreprises en assurant : - Une sécurité renforcée et une meilleure conformité - Une usabilité et une satisfaction utilisateur améliorées - Une diminution des dépenses informatiques. La prolifération des applications et des services cloud en entreprise, qui viennent souvent compléter les solutions sur site, a engendré un important problème de fragmentation. La fragmentation d'une entreprise pose des difficultés pour le service informatique et les utilisateurs. Le service informatique doit gérer de nombreuses applications au sein de l'entreprise, ainsi que le Shadow IT. Les employés doivent utiliser quotidiennement une quantité croissante d'applications ; ils sont ainsi obligés de se connecter et de basculer entre plusieurs applications et sites Web. L'authentification unique permet de résoudre le problème de fragmentation en entreprise. ### Avantages de l'authentification unique en termes de sécurité et de conformité Les noms d'utilisateur et les mots de passe sont devenus les principales cibles des cybercriminels. Chaque fois qu'un utilisateur se connecte à une nouvelle application, c'est une voie d'entrée potentielle pour les pirates. L'authentification unique réduit le nombre de surfaces d'attaque, car les utilisateurs se connectent une fois par jour et avec un seul jeu d'identifiants. La réduction des connexions à un seul jeu d'identifiants renforce la sécurité opérationnelle. Lorsque les employés doivent utiliser un mot de passe distinct pour chaque application, ils ne le font généralement pas. En réalité, 59 % utilisent des mots de passe similaires ou identiques sur plusieurs comptes. C'est pourquoi, si un pirate parvient à accéder à un site Web peu sécurisé, il est susceptible d'accéder à d'autres systèmes de l'entreprise. L'authentification unique facilite par ailleurs la conformité règlementaire. Les règlementations de type Sarbanes-Oxley exigent des entreprises qu'elles documentent les contrôles informatiques et prouvent qu'elles ont mis en place des méthodes adéquates pour protéger leurs données. L'authentification unique permet de répondre aux exigences concernant l'accès aux données et la protection antivirus. L'authentification unique peut de surcroît faciliter la conformité aux règlementations telles qu'HIPAA, qui exigent d'authentifier efficacement les utilisateurs qui accèdent aux dossiers électroniques ou des contrôles d'audit visant à tracer les activités et les accès. Les règlementations telles qu'HIPAA exigent en outre la déconnexion automatique des utilisateurs, une fonction habituellement proposée par les solutions SSO. Lorsque l'authentification unique est déployée dans le cadre d'un système de gestion unifiée des accès (UAM), elle se fonde sur un annuaire centralisé qui contrôle les accès des utilisateurs aux ressources à un niveau plus granulaire. Les entreprises peuvent ainsi se conformer aux règlements nécessitant le provisionnement des utilisateurs avec des permissions appropriées. Les systèmes UAM prennent en charge une authentification unique accompagnée d'un contrôle d'accès à base de rôles (RBAC) et de stratégies de sécurité. Ce type de solution SSO permet également de déprovisionner rapidement, voire automatiquement, les utilisateurs afin de répondre à l'exigence règlementaire courante visant à empêcher les anciens employés, partenaires ou autres personnes d'accéder aux données sensibles. ### L'authentification unique améliore l'usabilité des employés. Suite à la migration vers le cloud, les employés utilisent de plus en plus d'applications pour travailler. Le recours à un nom d'utilisateur et un mot de passe uniques pour chaque application impose un fardeau considérable, et littéralement irréaliste, pour les employés. L'authentification unique élimine cette charge cognitive. La connexion unique leur fait également gagner du temps et améliore leur productivité. 68 % des employés utilisant dix applications par heure, l'élimination des connexions multiples peut faire économiser énormément de temps et d'argent aux entreprises. Les solutions SSO implémentées dans le cadre d'un système de gestion unifiée des accès proposent généralement un portail d'applications. Pour utiliser une application, les employés la sélectionnent sur le portail. Si un employé ne dispose pas d'une application, il peut effectuer une demande d'accès via le portail. L'application est ensuite mise à sa disposition via l'authentification unique. Cette opération est si rapide que les utilisateurs potentiellement rebutés par la demande d'accès ou l'utilisation des applications sont plus susceptibles de les utiliser. ### Comment l'authentification unique permet-elle de diminuer les dépenses informatiques? L'authentification unique permet de diminuer les dépenses informatiques en économisant le temps passé lors des réinitialisations de mot de passe. Lorsque chaque application exige de chaque employé un nom d'utilisateur et un mot de passe unique, il est courant que les employés oublient les leurs et engorgent la file de tickets du service d'assistance. Avec l'authentification unique, les utilisateurs n'ont à mémoriser qu'un seul jeu d'identifiants, ce qui a pour effet de réduire le nombre de tickets d'assistance émis. La plupart des solutions SSO leur permettent en outre de réinitialiser eux-mêmes leurs identifiants afin d'éviter tout recours au service informatique. L'authentification unique est une composante d'un système de gestion unifiée des accès tirant parti d'un annuaire centralisé pour provisionner et déprovisionner les utilisateurs plus rapidement et à moindre coût. Des politiques peuvent être définies en fonction du poste, de l'emplacement et d'autres caractéristiques des utilisateurs. Les employés, partenaires et clients peuvent rapidement être provisionnés sur différentes applications en une seule fois au lieu de procéder à cette opération séparément dans chaque application. De la même manière, les services informatiques gagnent du temps lors du déprovisionnement, qui s'effectue en quelques minutes au lieu de quelques heures. Lorsque les entreprises déploient une solution SSO de bonne qualité, elles renforcent la sécurité, améliorent l'usabilité tout en faisant gagner du temps et de l'argent au service informatique.

En savoir plus

Stockage de mots de passe

Une solution de stockage de mots de passe, également appelée gestionnaire de mots de passe, est un programme qui enregistre les noms d'utilisateur et les mots de passe de différents programmes à un emplacement sécurisé sous forme chiffrée. Les utilisateurs peuvent accéder au stockage de mots de passe avec un nom d'utilisateur et un mot de passe uniques. La solution de stockage de mots de passe leur fournit ensuite le mot de passe du site Web auquel ils tentent d'accéder. Les particuliers utilisent souvent le gestionnaire de mots de passe intégré par exemple à Chrome ou Safari. Dans ces cas, Google ou Apple stocke leurs mots de passe. Les entreprises peuvent acquérir un outil de gestion des mots de passe. Notez que certains gestionnaires de mots de passe génèrent également des mots de passe aléatoires sécurisés appelés mots de passe à usage unique (OTP) pour chaque site accessible par l'utilisateur. ### Qu'est-ce que l'authentification unique? L'authentification unique (SSO) est une solution permettant aux employés d'accéder aux applications et aux sites Web de l'entreprise en leur demandant de s'identifier une fois par jour à l'aide d'un nom d'utilisateur et d'un mot de passe uniques. Lorsque vous vous connectez à un site Web via Facebook ou Google, vous utilisez un type de SSO. Au sein d'une entreprise, les employés peuvent généralement accéder à leurs applications professionnelles via une solution SSO basée sur l'annuaire de la société tel que Microsoft Active Directory, Azure Active Directory ou l'annuaire fourni par la solution SSO. ### Quelle solution privilégier ? SSO ou stockage de mots de passe? En règle générale, la solution SSO est jugée plus sûre et simple d'utilisation que les solutions de stockage de mots de passe. La solution SSO évite aux employés de mémoriser différents mots de passe afin de leur faciliter la tâche. Elle réduit également la fréquence des connexions et le nombre d'identifiants enregistrés de manière à réduire la surface d'attaque à disposition des cybercriminels. Lorsque les entreprises commencent à mettre en place des exigences plus strictes en matière de mots de passe, elles débutent généralement par l'utilisation de gestionnaires de mots de passe. Par exemple, une société peut avoir besoin de changer fréquemment ses mots de passe, d'utiliser des caractères aléatoires ou de rallonger les mots de passe. Ces mots de passe complexes étant plus difficiles à mémoriser, elle peut déployer un gestionnaire de mots de passe que les employés utilisent pour stocker leurs mots de passe sous forme chiffrée dans un environnement relativement sécurisé. Toutefois, bien souvent, leur utilisation dépasse rapidement les capacités du système. Tout d'abord, les gestionnaires de mots de passe introduisent un nouveau problème : les employés doivent ajouter la gestion des mots de passe à leur liste de tâches. Les solutions de stockage de mots de passe ne résolvent pas non plus le problème de la prolifération des applications et continuent à exiger des utilisateurs qu'ils se connectent à chaque application. Étant donné que 68 % des utilisateurs affirment utiliser 10 applications par heure, le temps gaspillé est considérable. Les systèmes d'authentification unique leur permettent de se connecter une fois pour toutes avec un seul jeu d'identifiants pour accéder à toutes les applications. Pour une meilleure sécurité, les systèmes SSO font souvent appel à un fournisseur d'identité professionnel tel qu'Active Directory. En outre, ils emploient des protocoles standard largement acceptés de type SAML ou OAuth, ainsi que des technologies telles que les certificats numériques afin d'assurer une sécurité de niveau professionnel. Les solutions SSO sont plus sûres, car les mots de passe ne sont pas transmis continuellement. En effet, une fois l'utilisateur connecté, le système d'authentification unique transmet les jetons à l'application ou au site Web demandant l'authentification. De nombreuses solutions SSO sont compatibles avec les applications et les sites Web sur site et cloud afin d'établir un accès simple et sécurisé aux différents systèmes de l'entreprise.

En savoir plus

Quel type d'attaques l'authentification à plusieurs facteurs permet-elle d'éviter?

L'authentification à plusieurs facteurs peut éviter différents types de cyberattaques les plus courants, parmi lesquels: - hameçonnage (Pishing) - harponnage (Spear phishing) - enregistreurs de frappes - credential stuffing - attaques de force brute et force brute inverse - attaques de l'intercepteur (MITM) ### Comment l'authentification à plusieurs facteurs peut-elle éviter les failles de sécurité? Pour comprendre comment l'authentification à plusieurs facteurs peut éviter les failles de sécurité, voyons d'abord de quelle manière ce type de cyberattaques se déroule: #### Hameçonnage (Pishing) Déroulement : L'attaquant emploie une liste de numéros de téléphone ou d'adresses e-mail pour envoyer un message enjoignant le destinataire à agir urgemment. (Par exemple, l'utilisateur peut être invité à se connecter pour vérifier des transactions.) Il redirige généralement l'utilisateur vers un site Web factice afin d'obtenir son nom d'utilisateur et son mot de passe. #### Harponnage (Spear phishing) Déroulement : L'attaquant cible un petit nombre de personnes à l'aide de messages bien rédigés et crédibles qui les concernent directement, souvent au moyen de contenu personnalisé (nom de l'utilisateur, action ou évènement récemment survenu, etc.) À l'instar du hameçonnage, il enjoint les utilisateurs à agir afin qu'ils dévoilent leurs identifiants. #### Enregistreur de frappe Déroulement : L'attaquant installe un programme (souvent via un virus) qui capture chaque frappe de clavier de l'ordinateur de l'utilisateur, comprenant les sites consultés, les noms d'utilisateur, les mots de passe, les réponses aux questions de sécurité, etc. #### Credential stuffing Déroulement : L'attaquant tire parti du fait que les utilisateurs emploient souvent les mêmes identifiants sur plusieurs comptes en tentant d'utiliser des combinaisons de nom d'utilisateur/mot de passe volées pour accéder à plusieurs sites et applications. #### Attaques de force brute et force brute inverse Déroulement : L'attaquant emploie un programme permettant de générer des noms d'utilisateur/mots de passe potentiels pour tenter d'accéder à une ressource. (Les attaques par dictionnaire constituent un type d'attaque en force brute.) L'attaquant peut également tenter d'utiliser les mots de passe les plus couramment employés (de type « Password123 ») sur différents comptes. #### Attaques de l'intercepteur (MITM) Déroulement : Le programme de l'attaquant s'insère dans les communications entre l'utilisateur et une application (par exemple en usurpant un réseau Wi-Fi public). Il recueille ensuite les identifiants de connexion saisis par l'utilisateur, voire détourne le jeton de session. ###Comment l'authentification à plusieurs facteurs empêche-t-elle les cyberattaques courantes? L'authentification à plusieurs facteurs a pour objectif de compliquer la tâche des cybercriminels en demandant à l'utilisateur de saisir des informations ou des identifiants supplémentaires. Une attaque d'hameçonnage peut parvenir à recueillir les identifiants d'un utilisateur, mais pas une empreinte digitale ni la réponse à une question de sécurité personnelle. De même, une attaque en force brute ou force brute inverse peut déceler une combinaison d'identifiants valides, mais son auteur ne connaîtra pas pour autant la nature ni la valeur des autres facteurs d'authentification exigés par le système d'authentification à plusieurs facteurs. L'authentification à plusieurs facteurs peut parer à des attaques encore plus sophistiquées telles que les attaques de l'intercepteur en ajoutant une couche de sécurité supplémentaire. Même si le pirate ou le programme parvient à s'insérer pour capturer les informations saisies par l'utilisateur, l'administrateur informatique peut configurer l'authentification à plusieurs facteurs de manière à exiger de l'utilisateur qu'il fournisse les identifiants d'un dispositif ou d'un support différent. Les authentificateurs push sont spécialement conçus pour assurer un mécanisme de sécurité tout en limitant les désagréments pour l'utilisateur. Imaginons par exemple que l'utilisateur est connecté sur son ordinateur portable, qui a été compromis par un programme MITM. Son entreprise a mis en place l'authentification à plusieurs facteurs et, pour terminer de se connecter, l'utilisateur doit employer une application pour smartphone telle que OneLogin Protect. L'application d'authentification mobile native transmet un code du téléphone au système d'authentification pour achever la connexion. Le pirate ne parvenant pas à accéder au téléphone de l'utilisateur, le piratage échoue. L'authentification à plusieurs facteurs ne permet pas de stopper toutes les attaques ni de garantir la sécurité. Cependant, elle ajoute des couches d'authentification supplémentaires qui rendent les cyberattaques plus difficiles à effectuer.

En savoir plus

Qu'est que l'authentification adaptative?

Les méthodes d'authentification standard, dont l'authentification à plusieurs facteurs, demandent aux utilisateurs des identifiants spécifiques dès lors qu'ils tentent de se connecter à des ressources d'entreprise ou d'y accéder. L'authentification adaptative demande plusieurs identifiants, selon la situation, ce qui permet de renforcer la sécurité lorsque le risque de violation est plus important. Lorsque les utilisateurs se connectent toujours avec des identifiants standard, tels qu'un nom d'utilisateur et un mot de passe, ils sont vulnérables aux cybarattaques. Les outils d'authentification tels que l'[authentification à plusieurs facteurs](/produit/authentification à plusieurs facteurs) améliorent la sécurité en exigeant des identifiants supplémentaires, tels qu'un code généré par une application de smartphone. Le recours à davantage de facteurs aide, mais il est toujours trop facile pour les cyber-escrocs d'acquérir ou de pirater les différents identifiants de l'utilisateur et de les utiliser pour obtenir des accès. L'authentification adaptative modifie les exigences de façon intelligente. Il est ainsi beaucoup plus difficile pour un pirate d'accéder à l'entreprise car certains des signaux utilisés sont difficiles à contourner. #### Principe de l'authentification adaptative Lorsque vous implémentez l'authentification adaptative dans votre organisation, vous déterminez les exigences de connexion de base pour un utilisateur ou ensemble d'utilisateurs donné. Vous pouvez appliquer des exigences plus strictes aux utilisateurs de certaines régions ou utilisateurs dont les rôles leur permettent d'accéder à des informations sensibles. L'authentification adaptative permet de créer un profil pour chaque utilisateur, incluant des informations telles que l'emplacement géographique de l'utilisateur, ses appareils enregistrés, rôles, etc. Dès qu'une personne cherche à s'authentifier, la demande est évaluée et une note de risque lui est affectée. En fonction de cette note de risque, l'utilisateur peut devoir fournir d'autres identifiants ou, inversement, utiliser moins d'identifiants. Par exemple, si un utilisateur tente d'accéder à des applications via un appareil qui n'est pas enregistré, il peut être invité à le faire. Si l'utilisateur se connecte depuis un emplacement géographique autre que son bureau, il devra éventuellement répondre à une question de sécurité. Le service informatique détermine la réponse aux demandes avec différentes notes de risque. Dans un scénario donné, l'utilisateur peut être autorisé à s'authentifier, l'accès peut lui être refusé ou il peut même être tenu de prouver son identité. #### Authentification adaptative et apprentissage automatique La plupart des solutions d'authentification adaptative utilisent l'apprentissage automatique. Les algorithmes de ces outils surveillent et apprennent le comportement des utilisateurs au fil du temps afin de créer un profil plus précis. Ils peuvent suivre des dispositifs, les horaires habituels de connexion de l'utilisateur ou des emplacements de travail habituels. Ils vérifient les adresses IP et la réputation des réseaux, en plus des menaces de ces réseaux. Les solutions d'authentification adaptative attribuent une note de risque en fonction du comportement et du contexte, et elles répondent au risque perçu en se basant sur les règles établies par le service informatique. Ces règles peuvent varier en fonction de la note de risque, du rôle de l'utilisateur, de l'emplacement, de l'appareil, etc. Grâce à l'intelligence artificielle (IA), l'authentification adaptative avancée évolue pour surveiller en temps réel et identifier des anomalies dans les schémas d'authentification de l'utilisateur ou même des menaces dans le chemin d'authentification (telles que des réseaux non fiables). #### Avantages d'une authentification adaptative Non seulement l'authentification adaptative améliore la sécurité, mais elle évite également la contrariété des utilisateurs qui essaient de faire leur travail. L'authentification à plusieurs facteurs standard définit des exigences de connexion qui peuvent s'avérer onéreuses, car l'utilisateur doit toujours saisir un nom, un mot de passe et un code à partir d'une application, ou répondre à une question de sécurité lorsqu'il s'authentifie en dehors de son bureau. L'authentification adaptative peut demander moins d'informations aux utilisateurs qui sont reconnus et dont le comportement est conforme à leurs habitudes. Elle ne demande des informations supplémentaires qu'occasionnellement, lorsque les circonstances suggèrent un niveau de risque de sécurité plus important. Pour les utilisateurs, cela réduit les interruptions et les obstacles à la connexion et augmente la sécurité.

En savoir plus

Qu'est-ce que l'authentification à plusieurs facteurs?

L'authentification à plusieurs facteurs est un système de sécurité qui vérifie l'identité d'un utilisateur en exigeant plusieurs identifiants. Au lieu de lui demander de fournir un nom d'utilisateur et un mot de passe, l'authentification à plusieurs facteurs exige des identifiants supplémentaires, par exemple un code transmis à son smartphone, la réponse à une question de sécurité, une empreinte digitale ou une reconnaissance faciale. L'authentification à plusieurs facteurs constitue une méthode efficace de renforcement de la sécurité. Les noms d'utilisateur et les mots de passe conventionnels peuvent être dérobés et sont devenus de plus en plus vulnérables aux attaques de force brute. L'authentification à plusieurs facteurs crée plusieurs couches de sécurité afin de mieux s'assurer que l'utilisateur qui demande à obtenir un accès est réellement la personne qu'il affirme être. Avec l'authentification à plusieurs facteurs, un cybercriminel peut voler un identifiant, mais échouera lorsqu'il s'agira de vérifier son identité d'une autre manière. L'authentification à plusieurs facteurs peut consister en une combinaison des éléments suivants pour effectuer l'authentification: - Codes générés par des applications pour smartphone - Badges, périphériques USB ou autres dispositifs physiques - Jetons logiciels, certificats - Empreintes digitales - Codes transmis à une adresse électronique - Reconnaissance faciale - Analyse de la rétine ou de l'iris - Analyse comportementale - Note de risque - Réponses aux questions de sécurité personnelles ### Types de facteurs d'authentification Une authentification à plusieurs facteurs emploie trois types de facteurs d'authentification: - Ce que l'on connaît (connaissances), par exemple un mot de passe ou un code PIN - Ce que l'on possède (possession), par exemple un badge ou un smartphone - Ce que l'on hérite (héritage) ou « biométrie », par exemple la reconnaissance vocale ou des empreintes digitales Les dernières solutions à plusieurs facteurs intègrent des facteurs supplémentaires qui analysent le contexte et le comportement lors de l'authentification. Par exemple: - L'endroit d'où vous tentez d'obtenir l'accès (domicile, café, etc.) - Le moment où vous tentez d'obtenir l'accès (la nuit, le jour, dans les horaires de bureau, etc.) - Le dispositif utilisé (smartphone, ordinateur portable, etc.) - Le réseau utilisé (privé, public, etc.) Souvent appelée authentification adaptative, ce type d'authentification à plusieurs facteurs tient compte du contexte pour détecter les tentatives de connexion sortant de l'ordinaire. Lorsqu'une personne tente de s'authentifier dans un contexte inhabituel, l'authentification adaptative à plusieurs facteurs renforce la sécurité et exige des identifiants supplémentaires. Par exemple, si un utilisateur se connecte d'un café pendant la nuit (ce qui est inhabituel pour cet utilisateur), l'outil d'authentification à plusieurs facteurs lui demande de saisir un code transmis à son téléphone.

En savoir plus

Liste de contrôle de l'authentification à plusieurs facteurs

Il est crucial que la solution d'authentification à plusieurs facteurs réponde aux exigences de base pour les solutions sécurisées dans un environnement hybride. Aujourd'hui, la transformation numérique repose sur une plateforme de gestion unifiée des accès (UAM) qui inclut au moins l'authentification à plusieurs facteurs de base. Utilisez la liste de contrôle ci-dessous pour vous assurer que votre solution d'authentification à plusieurs facteurs offre la protection dont votre entreprise a besoin. #### Assistance à l'ensemble des utilisateurs La solution d'authentification à plusieurs facteurs prend-elle en charge l'ensemble des communautés d'utilisateurs qui accèdent à vos données sensibles ? Collaborateurs (employés et sous-traitants) Partenaires/Fournisseurs Clients ####Intégration d'applications La solution d'authentification à plusieurs facteurs est-elle compatible avec les applications sur le Cloud et sur site qui sont essentielles à votre organisation ? Intégration aux applications Cloud Intégration aux applications sur site Intégration aux systèmes de gestion des ressources humaines tels que Workday ou SuccessFactors Intégration aux annuaires, comme Active Directory ou LDAP #### Accès entreprise La solution d'authentification à plusieurs facteurs prend-elle en charge les systèmes d'accès au réseau que votre organisation utilise ou est susceptible d'utiliser ? Accès VPN Accès Wi-Fi Accès SSH/RDP Intégration à RADIUS #### Méthodes d'authentification La solution d'authentification à plusieurs facteurs prend-elle en charge les outils d'authentification que votre organisation utilise ? Authentificateur de mot de passe à usage unique mobile natif (push) Codes de vérification temporaires hors ligne (TOTP) Jetons matériel, comme Yubico YubiKey Certificats basés sur X.509 Méthodes d'authentification existantes, comme SMS, questions de sécurité ou e-mail ####Politiques d'authentification flexibles La solution d'authentification à plusieurs facteurs permet-elle l'application de politiques d'authentification sophistiquées et flexibles à un niveau granulaire ? Politiques granulaires pour les identités, applications, appareils et contextes différents. Permet la définition de différentes politiques pour diverses communautés d'identités ou applications Flux d'authentification personnalisable Décisions basées sur les risques ####Assistance développeur La solution d'authentification à plusieurs facteurs fournit-elle des API et une assistance pour l'intégration à vos applications personnalisées et systèmes tiers ? API d'enregistrement de l'authentification à plusieurs facteurs et de gestion du cycle de vie Kit de développement logiciel pour les principales plateformes et langues Prise en charge de standards ouverts La solution d'authentification à plusieurs facteurs prend-elle en charge ces standards modernes et populaires pour les connexions sécurisées aux applications Web ? SAML OpenID Connect OAuth2 #### Reporting La solution d'authentification à plusieurs facteurs fournit-elle des rapports qui vous permettent de respecter les exigences de conformité et d'améliorer votre sécurité selon les menaces ? Permet d'externaliser les événements d'autorisation auprès de solutions SIEM tierces Rapports et pistes d'audit prêts à l'emploi Capacité à effectuer une modification du système en fonction des événements d'autorisation Informations en temps réel concernant les tentatives d'accès ###Exigences rigoureuses Bien que toute solution d'authentification à plusieurs facteurs doive répondre aux exigences de base, les organisations qui réussissent leur transformation numérique choisissent généralement des solutions répondant à des exigences rigoureuses. L'authentification à plusieurs facteurs évolue rapidement. Une solution d'authentification à plusieurs facteurs rigoureuse garantit dès le départ que vous n'avez pas pris de retard. ####Analyse comportementale La solution d'authentification à plusieurs facteurs utilise-t-elle l'analyse comportementale pour s'adapter de façon intelligente et nécessite-t-elle différents facteurs d'authentification ? Signaux de familiarité Signaux d'attaque Anomalies (comportement de l'utilisateur et signaux de contexte) Authentification continue #### Confiance de l'appareil La solution d'authentification à plusieurs facteurs prend-elle en compte les informations sur l'appareil en cours d'utilisation pour l'authentification ? L'intégrité de l'appareil, y compris la version, la falsification, le verrouillage, le chiffrement, le plug-in de navigateur et bien plus encore Réputation de l'appareil Certificats basés sur X.509 Intégration à la gestion des appareils mobiles #### Utilisateurs et appareils La solution d'authentification à plusieurs facteurs prend-elle en charge l'accès utilisateur via plusieurs appareils et représente-t-elle différents types d'utilisateurs et de rôle utilisateur ? Prise en charge de plusieurs appareils Prise en charge de différentes communautés d'utilisateurs, comme les employés, sous-traitants, partenaires, administrateurs informatiques et clients #### Considérations générales Pouvez-vous intégrer la solution d'authentification à plusieurs facteurs à vos applications personnalisées et à votre organisation sans avoir à remplacer ou à modifier considérablement les solutions existantes ? Permet l'intégration à vos applications personnalisées via une API Permet l'intégration de l'authentification à plusieurs facteurs sans avoir besoin de désinstaller et réinstaller d'autres solutions

En savoir plus

Sécurisez l’intégralité de vos applications, utilisateurs et appareils.