Appliquer la MFA de manière uniforme aux ressources de l'entreprise

Problématique métier

Le piratage des mots de passe constitue une importante source de violation des données. Une fois qu'un mot de passe a été piraté, le hacker dispose des mêmes autorisations d'accès aux données de l'entreprise que l'employé.

L'authentification multifacteur (MFA, Multifactor Authentication) est un outil important pour la protection des ressources de l'entreprise. La MFA, également appelée validation en deux étapes (2SV, 2-Step Verification), exige que les utilisateurs valident leur identité grâce à un élément qu'ils connaissent (un mot de passe, par exemple) et à un élément en leur possession (comme une clé physique ou un code d'accès).

Pour protéger les données et les comptes utilisateur, votre entreprise a décidé que tous les utilisateurs doivent s'authentifier à l'aide de la validation en deux étapes pour accéder aux ressources de l'entreprise.

Solutions

Si Cloud Identity est votre fournisseur d'identité (IdP, Identity Provider), vous pouvez mettre en œuvre la 2SV de plusieurs manières. Si vous utilisez un IdP tiers, demandez-lui ce qu'il propose en matière de 2SV.

Vous pouvez sélectionner différents niveaux de mise en œuvre de la 2SV :

Facultatif : l'employé décide s'il utilise la 2SV.
Obligatoire : l'employé sélectionne une méthode de 2SV.
Clés de sécurité obligatoires : l'employé doit utiliser une clé de sécurité.

Clés de sécurité

Les clés de sécurité constituent la méthode de 2SV la plus performante.

Les clés de sécurité offrent le niveau de sécurité le plus élevé de toutes les méthodes de 2SV. L'utilisateur insère généralement cette clé physique dans le port USB d'un ordinateur. Lorsqu'il y est invité, il touche la clé et génère une signature chiffrée.

Certains fraudeurs créent des sites d'hameçonnage qui se présentent comme Google et demandent des codes de 2SV. Étant donné que les clés de sécurité Google utilisent le chiffrement et s'assurent de la légitimité des sites visités par les utilisateurs, elles sont moins sujettes aux attaques par hameçonnage.

Pour se servir d'une clé de sécurité avec les appareils mobiles Android, un utilisateur appuie sur la clé de sécurité de son appareil NFC (communication en champ proche). Les utilisateurs peuvent également disposer d'options USB et BLE (Bluetooth Low Energy) pour les appareils Android. Les appareils mobiles Apple ont, quant à eux, besoin de clés de sécurité compatibles Bluetooth.

Invite Google

L'invite Google est une autre méthode de 2SV.

Au lieu de générer et de saisir un code de 2SV, les utilisateurs peuvent configurer leurs appareils mobiles Android ou Apple de façon à recevoir une invite de connexion. Lorsqu'ils se connectent à leur compte Google sur leur ordinateur, l'invite "Vous essayez de vous connecter ?" s'affiche sur leur appareil mobile. Il leur suffit d'appuyer sur ce dernier pour confirmer l'opération.

Application Google Authenticator

Google Authenticator est une autre méthode de 2SV.

Google Authenticator génère des codes de 2SV à usage unique sur les appareils mobiles Android ou Apple. Les utilisateurs génèrent un code de validation sur leur appareil mobile, puis le saisissent lorsque l'invite s'affiche sur leur ordinateur. Ils peuvent le saisir pour se connecter à un ordinateur de bureau, à un ordinateur portable ou même à l'appareil mobile.

Codes de secours

Les codes de secours sont une autre méthode de 2SV.

Si un utilisateur n'est pas à proximité de son appareil mobile ou s'il travaille dans une zone de haute sécurité où il ne peut pas le garder sur lui, il peut utiliser un code de secours pour la 2SV. Les utilisateurs peuvent générer des codes de validation de secours et les imprimer à l'avance.

SMS ou appel téléphonique

Les SMS ou les appels téléphoniques sont d'autres méthodes de 2SV.

Google envoie un code de 2SV aux appareils mobiles par SMS ou par appel vocal.

Recommandations

Vous devez trouver un équilibre entre sécurité, coût et fonctionnalité lorsque vous décidez des méthodes de 2SV qui conviennent le mieux à votre entreprise. Quel que soit votre choix, nous vous recommandons d'activer la mise en œuvre de la 2SV, ce qui la rend obligatoire.

Utiliser des clés de sécurité

Nous conseillons d'exiger des clés de sécurité pour les employés qui créent des données nécessitant le plus haut niveau de sécurité et pour ceux qui y accèdent. Vous devez exiger la 2SV pour tous les autres employés et les inciter à utiliser des clés de sécurité.

Les clés de sécurité constituent la méthode de 2SV la plus sécurisée. Elles sont basées sur la norme ouverte développée par Google dans le cadre de l'alliance FIDO (Fast Identity Online Alliance). Les clés de sécurité nécessitent un navigateur compatible sur les appareils des utilisateurs.

Autres options

Si le coût et la distribution sont des critères qui influencent votre décision, une invite Google ou l'application Google Authenticator constituent de bonnes options. L'invite Google est plus appréciée des utilisateurs, car il leur suffit d'appuyer sur l'écran de leur appareil lorsqu'ils y sont invités, plutôt que de saisir un code de validation.

Si les utilisateurs ne peuvent pas garder sur eux leurs appareils mobiles, ils peuvent générer des codes de secours imprimables à emporter dans les zones de haute sécurité.

Nous vous déconseillons de choisir l'envoi de codes par SMS. Le NIST (National Institute of Standards and Technology) ne recommande plus la 2SV basée sur la réception de SMS, en raison du risque de piratage informatique encouru par des entités soutenues par certains gouvernements.

Exemple

L'entreprise A est une grande société bien établie qui utilise une authentification et des applications sur site. Pour renforcer la sécurité, réduire les coûts d'assistance et augmenter l'évolutivité, elle souhaite adopter Cloud Identity comme IdP principal.

L'entreprise a décidé de déployer une offre IDaaS pour gérer sa présence dans le cloud, ce qui nécessite le déploiement de la 2SV et la mise en conformité avec une date donnée. L'équipe de sécurité des informations exige la mise en œuvre de la 2SV pour tous les utilisateurs.

L'entreprise A décide de mettre en œuvre la 2SV à l'aide de Cloud Identity. Elle prévoit de rendre les clés de sécurité obligatoires pour les utilisateurs qui travaillent sur les projets les plus sensibles et les plus critiques de l'entreprise, ainsi que pour ceux qui accèdent aux informations des employés. Cela inclut les cadres de tous les services, ainsi que les membres des services d'ingénierie, de finance et de ressources humaines. Tous les autres employés doivent utiliser la 2SV. Ils peuvent sélectionner la méthode de 2SV qui leur convient le mieux et sont encouragés à se servir de clés de sécurité.

La mise en œuvre des clés de sécurité varie selon les organisations.

Pour n'exiger des clés de sécurité que pour certains groupes, le service informatique crée des sous-ensembles d'utilisateurs au sein de certains services, appelés groupes d'exceptions. Par exemple, tout le service marketing doit appliquer la 2SV, mais seuls les cadres doivent se servir de clés de sécurité. Le service informatique crée un groupe de cadres au sein de chaque service, comme le marketing, les ventes et l'assistance, et exige l'utilisation de clés de sécurité pour ces groupes.

Informations connexes

2SV : Configurer la validation en deux étapes
Clés de sécurité : Utiliser une clé de sécurité pour la validation en deux étapes
Mise en œuvre des clés de sécurité : Mettre en œuvre la validation en deux étapes
Clés de sécurité sur Google Cloud Platform : Sécuriser un compte Google Cloud Platform à l'aide de clés de sécurité
Google Authenticator : Installer l'application Google Authenticator
Invite Google : Se connecter plus rapidement grâce aux invites de la validation en deux étapes
Codes de secours : Se connecter à l'aide de codes de secours
Sous-groupe d'utilisateurs dans une organisation : Appliquer des règles de sécurité personnalisées
Norme NIST : Directives sur l'identité numérique du NIST