Bonnes pratiques d'authentification à deux facteurs
Intimidantes à première vue, les solutions d'authentification à deux facteurs (2FA) sont à la portée de presque toutes les entreprises. Voici comment les prendre en main.
Il apparaît de plus en plus évident que les programmes de sécurité reposant sur des systèmes d'authentification à un seul facteur (par mot de passe) sont voués à l'échec. Comme Verizon l'indique dans son rapport de 2013 sur les violations de données, le recours à des informations d'identification autres que le système à facteur unique « nom d'utilisateur-mot de passe » aurait sans doute permis de déjouer 80 % des attaques de pirates rapportées l'année précédente. Pourtant, nombre d'entreprises n'utilisent toujours pas l'authentification à plusieurs facteurs.
Dans ce contexte, passons en revue les solutions d'authentification à deux facteurs proposées par les fournisseurs de technologies et tâchons de développer un argumentaire visant à convaincre les entreprises de mettre en oeuvre cette technologie dans le cadre de leur stratégie de sécurité globale.
Si de nombreux fournisseurs offrent des technologies similaires, chacun présente ses propres avantages et inconvénients. Par exemple, un fournisseur affichant des solutions éprouvées pourra proposer des méthodes d'authentification propriétaires et un kit de développement logiciel (SDK) lui permettant de les intégrer aux applications de l'entreprise ou de ses prestataires. D'autres pourront mettre l'accent sur un ou plusieurs mécanismes réputés tels que les jetons de mot de passe à usage unique (OTP, one-time password) et les méthodes d'authentification hors bande (OOB, out-of-band).
Cas d'utilisation de l'authentification à deux facteurs
Les systèmes informatiques d'entreprise assurent des fonctions différentes selon les utilisateurs ; par exemple, un administrateur système n'accomplit pas les mêmes tâches qu'un analyste de la sécurité ou un analyste financier. L'authentification est un processus métier critique permettant de connecter les utilisateurs aux applications et autres ressources sans exposer les données et processus auxquels ils n'ont pas le droit d'accéder.
Etant donné la complexité actuelle de l'environnement informatique et Cloud, les entreprises peuvent adopter une solution d'authentification à deux facteurs, applicable à un ou plusieurs cas d'utilisation, afin de mieux protéger les actifs et les données métier de l'entreprise contre tout accès non autorisé. Ces cas d'utilisation sont notamment les suivants :
- Accès interne ou local : Accès des employés aux applications métier ou Cloud critiques et/ou accès des administrateurs aux serveurs et périphériques réseau de l'entreprise.
- Accès externe ou distant : Accès des employés distants ou mobiles aux systèmes d'arrière-plan de l'entreprise via un VPN ou un portail.
- Points d'entrée réseau communs : Entre le réseau public/Internet et le réseau d'entreprise interne, accès sécurisé aux services d'entreprise tels que la messagerie ou le VPN.
Solutions d'authentification à deux facteurs (2FA)
La technologie 2FA s'est améliorée ces dernières années et son coût a fortement diminué. Grâce aux évolutions et améliorations techniques, les employés n'ont plus besoin de porter en permanence un dispositif d'authentification encombrant. De nos jours, un simple appareil mobile que chaque employé aurait sur lui peut servir de facteur d'authentification secondaire pour délivrer le code d'authentification sécurisé à la place d'un jeton, et ce afin de protéger les actifs de l'entreprise contre d'éventuels pirates.
Les principaux fournisseurs d'authentification à deux facteurs sont Entrust, RSA, SafeNet et Symantec ; tous offrent de nombreuses solutions technologiques établies ainsi qu'un portefeuille de cas d'utilisation adaptés aux entreprises.
RSA, la division Sécurité d'EMC Corp., propose sa célèbre gamme RSA SecureID de jetons matériels et logiciels dispensant des mots de passe à usage unique. Par ailleurs, sa fonctionnalité Adaptive Authentication, utilisée par de grandes entreprises, permet de tirer parti d'une authentification contextuelle/d'un contrôle des accès adaptatif. Autre option, la vérification d'identité constitue un service géré qui permet d'établir l'identité des utilisateurs en la validant par des questions personnelles, par le biais de processus d'authentification interactifs. La plupart des concurrents de RSA commercialisent des produits similaires.
Le coût de la mise en oeuvre de la 2FA dépend principalement des scénarios. Il peut varier par exemple selon les branches d'activité et la taille de l'entreprise, le schéma d'utilisation, la localisation des utilisateurs, la présence d'un service d'assistance et le caractère sensible de l'entreprise ou des données. Ce coût oscille entre environ 65 000 dollars et 2 millions de dollars pour les grandes entreprises de la finance et de la banque de détail.
La solution proposée par PhoneFactor (qui appartient désormais à Microsoft) constitue un exemple de 2FA plus récent mais bien implanté. PhoneFactor utilise le téléphone dont dispose déjà l'utilisateur à la place d'un jeton ou de tout autre appareil 2FA dédié. Il s'agit d'une plateforme pratique pour les utilisateurs, et à la fois économique et sécurisée pour les entreprises. Au cours de la première étape du processus d'authentification, l'utilisateur doit entrer son identifiant et son mot de passe. A la deuxième étape, il a le choix entre les méthodes suivantes : a) PhoneFactor appelle l'utilisateur, qui répond simplement en appuyant sur la touche # de son téléphone, b) PhoneFactor envoie un SMS contenant le code secret et l'utilisateur répond au SMS en indiquant ce code, c) PhoneFactor envoie une notification à l'application PhoneFactor sur le smartphone de l'utilisateur, qui appuie simplement sur « authenticate » dans l'application pour terminer l'authentification. Pour les petites entreprises (jusqu'à 25 utilisateurs), le fournisseur propose une version gratuite.
Considérations sur le choix d'un produit d'authentification à deux facteurs
La technologie d'authentification à deux facteurs permet aux entreprises de protéger les informations d'identification des utilisateurs afin de réduire le nombre d'incidents liés à l'accès non autorisé et au vol d'identité en entreprise. En outre, elle permet de respecter la réglementation et de répondre aux exigences de conformité. Ainsi, la norme PCI DSS 8.3 préconise d'intégrer l'authentification à deux facteurs pour l'accès distant au réseau par les employés, les administrateurs et les tiers.
Toutes les entreprises n'ont pas l'obligation de se conformer au standard PCI DSS. Toutefois, comme les exigences de la norme servent de référence, les entreprises qui n'ont pas encore mis en place de stratégie 2FA auraient intérêt à s'y mettre, ce qui implique bien sûr d'évaluer les technologies des fournisseurs.
Les organisations doivent identifier leurs besoins en matière de 2FA en tenant compte des recommandations du présent article et planifier le projet en conséquence.
- Comprendre l'environnement informatique de l'entreprise -- Il peut s'agir de cerner le cadre technologique utilisé à l'intérieur ou à l'extérieur de l'entreprise pour accéder aux informations ou aux données, de savoir comment les règles informatiques sont appliquées et d'identifier les protections mises en oeuvre. Par exemple, les employés sont-ils autorisés à accéder aux informations de l'entreprise via des appareils mobiles ? Ou l'entreprise utilise-t-elle des applications SaaS hébergées par des fournisseurs SaaS, et ces derniers prennent-ils en charge les mesures de sécurité 2FA pour protéger les données ?
- Trouver les utilisateurs cible -- La technologie 2FA est-elle destinée uniquement à certaines entités métier comme les services commerciaux ou marketing, ou s'adresse-t-elle également aux activités et partenaires distants ? En général, les organisations réservent la 2FA à l'accès par VPN. Il est conseillé, au moins à un stade précoce, de limiter la mise en oeuvre à des cas d'utilisation spécifiques.
- Adopter une approche fondée sur les risques -- Aujourd'hui la plupart des organisations mettent en oeuvre une technologie si elle contribue à réduire les risques. Par conséquent, si le périmètre ou le groupe d'utilisateurs ciblés n'est pas clairement défini, ne proposez la 2FA qu'aux utilisateurs qui accèdent à des informations métier critiques ou relevant de la propriété intellectuelle, qu'il s'agisse d'employés ou de tiers ou que l'accès ait lieu sur le réseau de l'entreprise ou à distance.
- Eviter les coûts et les complications inutiles -- Le coût global de la mise en oeuvre peut varier d'un fournisseur à l'autre selon la taille et les besoins de l'entreprise. Pour déterminer le coût, prenez en compte le nombre d'utilisateurs et de bureaux, la présence internationale de l'entreprise, ainsi que la couverture de la prise en charge et du service d'assistance.
Défis de mise en oeuvre de l'authentification à deux facteurs
L'authentification à deux facteurs n'est pas facile à mettre en oeuvre. Par exemple, la société de sécurité Duo Security a récemment signalé une grave défaillance dans la procédure de connexion en deux étapes de Google. Rapidement corrigé, le problème provenait de l'application de la fonctionnalité à l'échelle des nombreux services de Google. Bien que la technologie du géant d'Internet soit solide, sa mise en oeuvre présentait des failles.
Il est clair qu'une technologie de l'envergure de la 2FA entraîne forcément des complications dans toute organisation. Cet exemple nous montre cependant que, malgré les écueils que présente la mise en oeuvre d'une plateforme d'authentification à deux facteurs unique et sécurisée à l'échelle de toute une infrastructure, il est possible d'en atténuer les effets en ayant connaissance des problèmes potentiels avant de commencer.
Ainsi, il est souvent nécessaire de modifier les logiciels et les services existants pour qu'ils gèrent la 2FA, ou de créer une infrastructure d'authentification sur laquelle des outils internes ou externes différents peuvent s'appuyer pour prendre en charge l'authentification à deux facteurs à l'échelle de l'entreprise. Parfois, il ressort clairement que l'infrastructure choisie exige un effort d'adaptation tout simplement trop élevé, ce qui peut être difficile à évaluer tant que les architectes de solutions ne se sont pas vraiment penchés sur les questions d'intégration de la mise en oeuvre.
Il y a fort à parier que les utilisateurs considéreront l'authentification à deux facteurs comme une contrainte. Ils trouveront peut-être fastidieux de devoir porter en permanence un appareil approuvé ou un jeton matériel pour se connecter. Par conséquent, certains scénarios d'authentification pourront comporter une option permettant aux utilisateurs de passer outre à l'authentification à deux facteurs sur les systèmes fréquemment utilisés.
Les mesures suivantes sont susceptibles de remédier à ces problématiques, ainsi qu'à d'autres qui sous-tendent la mise en oeuvre d'une authentification à deux facteurs :
- Sélectionner un facteur adapté aux besoins de l'entreprise. Au nombre des options figurent des jetons matériels/logiciels ou l'envoi de SMS à des smartphones. Les entreprises géographiquement centralisées apprécieront les jetons physiques tandis que d'autres, dont le personnel est constamment en déplacement, préféreront utiliser des jetons logiciels ou des options mobiles.
- Envisager une mise en oeuvre progressive. Personne n'apprécie les changements brutaux sur l'ensemble de l'entreprise. En même temps, les propriétaires d'applications et de systèmes trouveront plus facile de procéder à une migration générale et simultanée. Toutefois, cette approche constitue un véritable cauchemar pour l'utilisateur final, mais aussi pour le personnel du service d'assistance qui va devoir résoudre les problèmes survenant pendant la migration. Et le coût du projet pourrait bien s'envoler.
- Fournir une assistance adéquate aux utilisateurs. L'installation et la configuration des composants sur le serveur d'arrière-plan prennent du temps, de même que l'intégration et les tests des applications. Des outils en libre-service, une formation appropriée et une équipe d'assistance et de prise en charge compétente seront essentiels pour aider les utilisateurs à se familiariser avec la technologie et à franchir sans encombre la période de transition.
L'authentification à deux facteurs devient un élément incontournable des programmes de sécurité informatique de toute entreprise moderne, même si elle reste encore complexe et difficile à comprendre, mettre en oeuvre et gérer. Les organisations doivent se rendre compte que les mécanismes d'authentification traditionnels par simple mot de passe, par nature fragiles, ne suffisent plus à assurer un contrôle de sécurité adéquat. De plus, dans le contexte actuel de cybermenaces, une authentification à deux facteurs s'avère nécessaire pour empêcher les utilisateurs non autorisés d'accéder aux systèmes stratégiques des entreprises et pour repousser les attaques incessantes et toujours plus sophistiquées.