Comment l'authentification à double facteur sécurise les identifiants Active Directory
Une mauvaise sécurisation des connexions peut représenter une menace très importante pour une entreprise. L’authentification à facteurs multiples ne protège pas de tout, mais sans elle, de nombreux contrôles de sécurité peuvent être contournés.
Selon un rapport récent, 81 % des violations de données utilisent des mots de passe faibles ou volés. Par violations, nous n’entendons pas seulement le simple vol de données. Bien souvent, un attaquant va détruire des données, modifier des programmes ou des services, ou encore utiliser des serveurs afin de transmettre des spams ou des codes malveillants.
Qu’importe la qualité des défenses de votre périmètre réseau, des logiciels antivirus, des pare-feu et des logiciels de détection de menaces ; si vos employés sont victimes de phishing, partagent leurs mots de passe ou ont encore accès aux fichiers de l’entreprise, même après leur départ, vous êtes complètement ouvert aux attaques.
La réalité est simple : si l’authentification multifacteur n’est pas en place, alors il est facile de contourner ces autres mesures de sécurité.
Sécurisez les accès avec l’authentification à deux facteurs
Il s’agit de l’un des contrôles les plus efficaces à mettre en œuvre afin d’empêcher un utilisateur non autorisé à accéder à un réseau et à des informations sensibles. Aussi appelée MFA, l’authentification multifacteur combine deux facteurs ou plus pour créer une défense en couches.
L’ajout d’un second facteur (authentification à deux facteurs ou 2FA) veut généralement dire que vous devez renseigner « quelque chose que vous possédez » ou « quelque chose que vous êtes » en plus de votre mot de passe – « quelque chose que vous connaissez ». Si l’un des facteurs est compromis, un attaquant a au moins une barrière en plus à franchir avant de réussi à pénétrer dans un système cible.
Cela renforce énormément la sécurité de l’authentification multifacteur dans le sens où un utilisateur doit prouver qu’il a un accès physique à un second facteur qu’il possède (comme par exemple un smartphone) ou qu’il est (comme par exemple une empreinte digitale).
Mettre en place l’authentification à deux facteurs pour des réseaux d’entreprise
La 2FA aide à résoudre les vulnérabilités des mots de passe d’entreprise pour les entreprises de n’importe quelle taille. Prenons un exemple. Lorsque les utilisateurs se connectent à un réseau d’entreprise, ils doivent d’abord saisir leurs identifiants Active Directory, suivis d’un mot de passe à usage unique basé sur le temps (TOTP, « Time-based One-Time Password »). Ce code numérique est obtenu à partir de quelque chose qu’un utilisateur « possède » – une application pour smartphone appelée authentifiant.
L’utilisation d’un smartphone évite aux utilisateurs de devoir transporter un appareil dédié, qui est souvent coûteux et qui peut facilement être perdu. Cela simplifie la vie des utilisateurs et de l’équipe informatique, et la mise en œuvre est beaucoup moins chère.
Cette forme d’authentification avec TOTP est aussi considérée comme plus sécurisée que d’autres telles que l’authentification par SMS. En effet, les SMS ont été au centre de nombreux piratages à deux facteurs et se sont révélés extrêmement vulnérables aux atteintes à la sécurité.
À ce jour, l’utilisation de l’authentification à deux facteurs avec TOTP est considérée comme étant le meilleur équilibre entre sécurité, convivialité et coût disponible sur le marché.
MFA & contrôles contextuels
L’authentification multifacteur possède de nombreux points forts, mais comme toute approche de sécurité, elle gagne en puissance quand elle est utilisée conjointement avec d’autres.
Le contexte autour des tentatives d’authentification des utilisateurs peut aussi être utilisé pour autoriser, refuser ou limiter l’accès des utilisateurs. Il offre la preuve qu’il s’agit de la personne qu’elle prétend être. Certains experts considèrent même ce contexte comme un facteur supplémentaire d’authentification.
La gestion des accès contextuels permet de mettre en place des restrictions pour définir qui peut se connecter, comment (RDP, local, etc.) d’où, à quel moment et à quelle fréquence.
Vous ne souhaitez pas que quelqu’un se connecte avec des droits d’admin après les heures de travail ? La gestion des accès contextuels résout ce problème pour vous. Limiter l’accès à vos contrôleurs de domaine seulement aux machines internes d’un certain sous-réseau ? Ça aussi. Empêcher certains utilisateurs d’avoir plusieurs connexions simultanées ? Aucun problème.
Avec des restrictions contextuelles en place, les contrôles MFA peuvent alors être personnalisés afin d’éviter de demander un code à l’utilisateur à chaque fois qu’il se connecte. Transparents pour l’utilisateur final, cela constitue un obstacle important pour les attaquants, sans pour autant nuire à leur productivité.
Vous ne devez pas considérer une nouvelle technologie comme la MFA comme un « substitut » à ce qui existe déjà. Vous pouvez assurer une meilleure sécurité avec chaque couche de sécurité supplémentaire que vous ajoutez.
François Amigorena est le fondateur et PDG de IS Decisions, et un commentateur expert sur les questions de cybersécurité.
Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)
-
Administration cloud : comment sécuriser Azure Functions avec Entra ID
-
« MFA : la sensibilisation des collaborateurs est nécessaire » (Antoine Coutant, Synetis)
-
Julien Mousqueton : « la question n’est plus s’il faut mettre en œuvre la MFA, mais quelle MFA »
-
Azure : Microsoft va imposer l’authentification à facteurs multiples