Menu

Appliquer la MFA de manière uniforme aux ressources de l'entreprise

Problématique métier

Le piratage des mots de passe constitue une importante source de violation des données. Une fois qu'un mot de passe a été piraté, le hacker dispose des mêmes autorisations d'accès aux données de l'entreprise que l'employé.

L'authentification multifacteurs (MFA, Multifactor Authentication) est un outil important pour la protection des ressources de l'entreprise. La MFA, également appelée validation en deux étapes (2SV, 2-Step Verification), exige que les utilisateurs valident leur identité grâce à un élément qu'ils connaissent (un mot de passe, par exemple) et à un élément en leur possession (comme une clé physique ou un code d'accès).

Pour protéger les données et les comptes utilisateur, votre entreprise a décidé que tous les utilisateurs devaient s'authentifier à l'aide de la 2SV pour accéder aux ressources de l'entreprise.

Solutions

Si Cloud Identity est votre fournisseur d'identité (IdP, Identity Provider), vous pouvez mettre en œuvre la 2SV de plusieurs manières. Si vous utilisez un IdP tiers, demandez-lui ce qu'il propose en matière de 2SV.

Vous pouvez sélectionner différents niveaux de mise en œuvre de la 2SV :

  • Facultatif : l'employé décide s'il utilise la 2SV.
  • Obligatoire : l'employé sélectionne une méthode de 2SV.
  • Clés de sécurité obligatoires : l'employé doit utiliser une clé de sécurité.

Clés de sécurité

Les clés de sécurité constituent la méthode de 2SV la plus performante.

Les clés de sécurité offrent le niveau de sécurité le plus élevé de toutes les méthodes de 2SV. L'utilisateur insère généralement cette clé physique dans le port USB d'un ordinateur. Lorsqu'il y est invité, il touche la clé et génère une signature chiffrée.

Certains fraudeurs créent des sites d'hameçonnage qui se présentent comme Google et demandent des codes de 2SV. Étant donné que les clés de sécurité Google utilisent le chiffrement et s'assurent de la légitimité des sites visités par les utilisateurs, elles sont moins sujettes aux attaques par hameçonnage.

Pour se servir d'une clé de sécurité avec les appareils mobiles Android, un utilisateur appuie sur la clé de sécurité de son appareil NFC (communication en champ proche). Les utilisateurs peuvent également disposer d'options USB et BLE (Bluetooth Low Energy) pour les appareils Android. Les appareils mobiles Apple ont, quant à eux, besoin de clés de sécurité compatibles Bluetooth.

Invite Google

L'invite Google est une autre méthode de 2SV.

Au lieu de générer et de saisir un code de 2SV, les utilisateurs peuvent configurer leurs appareils mobiles Android ou Apple de façon à recevoir une invite de connexion. Lorsqu'ils se connectent à leur compte Google sur leur ordinateur, une invite "Vous essayez de vous connecter ?" s'affiche sur leur appareil mobile. Il leur suffit d'appuyer sur ce dernier pour confirmer l'opération.

Application Google Authenticator

Google Authenticator est une autre méthode de 2SV.

Google Authenticator génère des codes de 2SV à usage unique sur les appareils mobiles Android ou Apple. Les utilisateurs génèrent un code de validation sur leur appareil mobile, puis le saisissent lorsque l'invite s'affiche sur leur ordinateur. Ils peuvent le saisir pour se connecter à un ordinateur de bureau, à un ordinateur portable ou même à l'appareil mobile.

Codes de secours

Les codes de secours sont une autre méthode de 2SV.

Si un utilisateur n'est pas à proximité de son appareil mobile ou s'il travaille dans une zone de haute sécurité où il ne peut pas le garder sur lui, il peut utiliser un code de secours pour la 2SV. Les utilisateurs peuvent générer des codes de validation de secours et les imprimer à l'avance.

SMS ou appel téléphonique

Les SMS ou les appels téléphoniques sont d'autres méthodes de 2SV.

Google envoie un code de 2SV aux appareils mobiles par SMS ou par appel vocal.

Recommandations

Vous devez trouver un équilibre entre sécurité, coût et fonctionnalité lorsque vous décidez des méthodes de 2SV qui conviennent le mieux à votre entreprise. Quel que soit votre choix, nous vous recommandons d'activer la mise en œuvre de la 2SV, ce qui la rend obligatoire.

Utiliser des clés de sécurité

Nous conseillons d'exiger des clés de sécurité pour les employés qui créent des données nécessitant le plus haut niveau de sécurité et pour ceux qui y accèdent. Vous devez exiger la 2SV pour tous les autres employés et les inciter à utiliser des clés de sécurité.

Les clés de sécurité offrent la forme la plus sécurisée de la 2SV. Elles reposent sur la norme ouverte mise au point par Google dans le cadre de l'alliance FIDO (Fast Identity Online). Les clés de sécurité nécessitent un navigateur compatible sur les appareils des utilisateurs.

Autres options

Si le coût et la distribution sont des critères qui influencent votre décision, une invite Google ou l'application Google Authenticator constituent de bonnes options. Une invite Google offre une meilleure expérience utilisateur, car les utilisateurs doivent simplement appuyer sur leur appareil lorsque cela leur est demandé, au lieu de saisir un code de validation.

Si les utilisateurs ne peuvent pas garder sur eux leurs appareils mobiles, ils peuvent générer des codes de secours imprimables à emporter dans les zones de haute sécurité.

Nous vous déconseillons de choisir l'envoi de codes par SMS. Le NIST (National Institute of Standards and Technology) ne recommande plus la 2SV basée sur la réception de SMS, en raison du risque de piratage informatique encouru par des entités soutenues par certains gouvernements.

Exemple

L'entreprise A est une grande société bien établie qui utilise une authentification et des applications sur site. Pour renforcer la sécurité, réduire les coûts de support et augmenter l'évolutivité, elle souhaite adopter Cloud Identity comme IdP principal.

L'entreprise a décidé de déployer une offre IDaaS pour gérer sa présence dans le cloud, ce qui nécessite le déploiement de la 2SV et la mise en conformité à une date donnée. L'équipe de sécurité des informations exige la mise en œuvre de la 2SV pour tous les utilisateurs.

L'entreprise A décide de se servir de Cloud Identity pour mettre en œuvre la 2SV. Elle prévoit de rendre les clés de sécurité obligatoires pour les utilisateurs qui travaillent sur les projets les plus sensibles et les plus critiques de l'entreprise, ainsi que pour ceux qui accèdent aux informations des employés. Cela inclut les cadres de tous les services, ainsi que les membres des services d'ingénierie, de finance et de ressources humaines. Tous les autres employés doivent utiliser la 2SV. Ils peuvent sélectionner la méthode de 2SV qui leur convient le mieux et sont encouragés à se servir de clés de sécurité.

La mise en œuvre des clés de sécurité varie selon les organisations.

Pour n'exiger des clés de sécurité que pour certains groupes, le service informatique crée des sous-ensembles d'utilisateurs au sein de certains services, appelés groupes d'exceptions. Par exemple, tout le service marketing doit appliquer la 2SV, mais seuls les cadres doivent se servir de clés de sécurité. Le service informatique crée un groupe de cadres au sein de chaque service, comme le marketing, les ventes et le support, et exige l'utilisation de clés de sécurité pour ces groupes.

Cette page vous a-t-elle été utile ? Évaluez-la :