Renforcez le processus d’authentification avec l’Adaptive MFA

Renforcez le processus d’authentification avec l’Adaptive MFA

La protection du système d’information (SI) est devenue d’autant plus difficile que celui-ci ne s’arrête plus aux portes de l’entreprise. Pour répondre à cette problématique, la sécurité change d’approche en se tournant vers l’utilisateur et des méthodes d’authentification renforcées (Authentification à plusieurs facteurs ou MFA). Mais avec une authentification MFA systématique, on risque de perdre le confort utilisateur. Alors comment assurer la sécurité tout en gardant une bonne expérience utilisateur ? Le MFA adaptatif (AMFA) basé sur le risque est la clé pour répondre à cette problématique.

Jusqu’à récemment, les entreprises protégeaient essentiellement leur système d’information au travers d’une sécurité de type périmétrique. Une barrière est dressée autour de l’infrastructure, afin d’empêcher les pirates de pénétrer le SI. Mais une fois dedans, tout est permis.

Ce modèle ne tient plus aujourd’hui, car la notion de périmètre devient diffuse :

  • De plus en plus d’applications Cloud sont utilisées, fournies par des éditeurs d’outils SaaS, ou développées en interne par l’entreprise ;
  • Les partenaires tiers sont toujours plus nombreux à se connecter à des applications de l’organisation, d’ailleurs souvent déployées dans le Cloud ;
  • Les collaborateurs de l’entreprise se connectent de plus en plus régulièrement au SI depuis l’extérieur. Par exemple dans le cadre du télétravail.

Pour s’adapter à ce changement de paradigme, la sécurité se concentre sur un nouveau périmètre : l’utilisateur. Ce dernier est reconnu au travers d’un processus d’authentification, jusqu’alors basé sur la saisie d’un identifiant et d’un mot de passe. Ce procédé n’est toutefois pas sûr, un large panel d’attaques ayant été développé pour casser ce type de sécurité. Les entreprises ont beau organiser des séances de sensibilisation ou durcir les règles de définition des mots de passe, rien n’y fait : 80 % des brèches de sécurité restent dues à des identifiants compromis.

publicité

Le MFA, pour une authentification sûre

MFA. Derrière ces trois lettres se trouve l’un des procédés d’authentification les plus fiables du moment : l’authentification multifacteur (Multi-Factor Authentication). Elle s’appuie sur des informations venant de pans différents de l’identité d’un utilisateur :

  1. Ce qu’il sait : mot de passe, phrase secrète, code pin, réponse à une question, …
  2. Ce qu’il possède : badge, carte, token de sécurité, téléphone mobile, …
  3. Ce qu’il est : empreinte digitale, rétine, visage, voix, …

Pour que le système soit efficace, il convient de demander plusieurs facteurs d’authentification venant impérativement de catégories différentes.

Les vertus de ce procédé sont maintenant reconnues et la réglementation pousse à l’utilisation massive de l’authentification multifacteur. Elle est ainsi devenue obligatoire au sein de la norme PCI DSS, des directives DSP2 et NIS, ou encore de la loi de programmation militaire LPM.

Il est à noter que les facteurs biométriques ne sont pas encore très répandus du fait de la complexité du déploiement de la technologie sous-jacente.

Par ailleurs, il faut veiller à bien sélectionner les facteurs d’authentification en fonction de la sensibilité de la ressource à laquelle l’utilisateur cherche à se connecter. 

En effet, les facteurs d’authentification ne se valent pas en termes de sécurité. Par exemple, un code à usage unique reçu par SMS est moins sûr que l’utilisation d’un token physique, puisque le SMS est envoyé sur le réseau et est vulnérable à plusieurs types d’attaque (SIM cloning, number porting, …). De même, le fait que le poste utilisé pour la connexion soit non maîtrisé (du BYOD par exemple) doit également pousser à plus d’exigence de sécurité.

Voici quelques exemples classiques d’utilisation de l’authentification multifacteur :

  • Dans le cadre de l’accès à un service SaaS, comme Office 365, où le mot de passe sera complété par un token logiciel (tel Google Authenticator) ou matériel (par exemple une clé RSA SecurID).
  • En alternative ou complément d’un VPN lors de la connexion à distance au SI de l’entreprise, avec là encore l’emploi d’un mot de passe et d’un token matériel.
  • Lors du changement d’un mot de passe, où le système vous demandera l’ancien mot de passe (facteur 1) et la saisie d’un code unique envoyé par SMS (facteur 2).

Adaptive MFA : moins contraignante, mais toujours aussi sécurisée

L’authentification multifacteur peut devenir trop intrusive et dégrader l’expérience utilisateur. La solution est de l’adapter au contexte.

Un exemple bien connu est celui des sites bancaires. L’utilisateur n’a besoin que de saisir son identifiant et son mot de passe pour se connecter au site et consulter l’état de ses comptes.

 Toutefois, lorsqu’il voudra réaliser une opération bancaire, comme un virement, le système lui demandera un second facteur d’authentification. Par exemple, la saisie d’un code à usage unique reçu par SMS ou l’utilisation d’un dispositif physique chargé de générer un code de validation.

Le double facteur n’est donc pas systématiquement requis à la connexion.

 Le risque est évalué en fonction du contexte et mènera à demander un, deux ou trois facteurs d’authentification. Pour reprendre notre cas précédent, si la connexion s’effectue avec un équipement inconnu de la banque, depuis un pays étranger ou à une heure inhabituelle, alors le second facteur sera demandé d’entrée de jeu.

Il est possible d’aller un peu plus loin encore en monitorant en temps réel la session de l’utilisateur. Ceci permet de détecter ses habitudes : utilisation du clavier et de la souris, manière de naviguer dans les menus. Il s’agit ici de biométrie comportementale. Si l’utilisateur dévie de sa façon de faire habituelle, le système lui demandera immédiatement la saisie d’un nouveau facteur. 

Et si le niveau de risque devient trop élevé, et le pattern de fraude trop évident, il sera possible tout simplement de mettre fin à la session.

Avec l’authentification multifacteur adaptative, le système ajuste les exigences d’authentification en fonction de l’action demandée et du comportement de l’utilisateur.

Une technologie qui se démocratise… et se renforce

L’authentification multifacteur se démocratise de manière très rapide, car son déploiement est devenu beaucoup plus simple, en particulier avec l’arrivée de solutions SaaS adaptées, qui permettent de ne plus avoir à mettre en place une infrastructure complexe. Et le tout pour un coût abordable.

Le recours à l’analyse comportementale tend également à se généraliser. L’apprentissage machine et l’intelligence artificielle renforcent les systèmes de détection de fraude et permettent de repérer les usages déviants. Des technologies qui elles aussi se démocratisent rapidement au travers du Cloud.

Leave a Reply

Your email address will not be published. Required fields are marked *