Cyber Sécurité

Qu’est-ce que l’authentification multifacteur adaptative (MFA adaptative) ?

Christophe

Qu’est-ce que l’authentification multifacteur adaptative (MFA adaptative) ?

L’authentification multifacteur adaptative (MFA) est un mécanisme de sécurité destiné à authentifier et autoriser les utilisateurs via une variété de facteurs d’authentification contextuels. L’AMF adaptative pose essentiellement différents ensembles d’exigences d’authentification en fonction du groupe d’utilisateurs tentant d’accéder à l’application ou aux données, ainsi que du profil de risque ou du niveau de risque impliqué dans l’accès de ces utilisateurs. L’AMF adaptative est parfois appelée authentification basée sur les risques.

Un processus d’authentification traditionnel implique des noms d’utilisateur et des mots de passe et est généralement considéré comme n’offrant qu’une sécurité modeste. Les informations d’identification sont facilement piratées. Toute personne en possession d’informations d’identification valides peut accéder aux données et potentiellement les modifier ou les voler.

L’authentification multifactorielle a permis de remédier aux limites de l’authentification traditionnelle en exigeant un élément supplémentaire, souvent physique, pour valider l’identité de l’utilisateur. Par exemple, une connexion traditionnelle peut également nécessiter la saisie d’un code unique à usage unique envoyé à un smartphone ou à une adresse e-mail, qui serait uniquement en possession ou sous le contrôle de l’utilisateur réel.

MFA combine « quelque chose que vous connaissez », comme les mots de passe, avec « quelque chose que vous possédez », comme un appareil intelligent. Cependant, l’AMF existante n’offre toujours qu’une posture de sécurité statique. Même si la MFA peut améliorer considérablement la sécurité, elle ne prend pas en compte les exigences ou le contexte situationnel de l’accès des utilisateurs.

L’AMF adaptative va plus loin en associant les pratiques d’AMF à des politiques de sécurité et à une évaluation dynamique ou adaptative du contexte et des risques.

Prenons l’exemple d’un travailleur du savoir qui a besoin d’accéder aux applications et données professionnelles au bureau pendant les heures normales de bureau. L’authentification multifacteur adaptative examinerait la politique de sécurité de cet utilisateur et de ce groupe, puis déterminerait que l’accès doit être accordé sur le réseau local (LAN) pendant les heures de bureau normales en semaine.

Si une tentative de connexion est effectuée selon ces critères, l’évaluation des risques qui en résultera se situera dans le profil de risque établi pour cet utilisateur. Aucun problème de sécurité supplémentaire ne serait présenté car le risque posé par cet utilisateur est faible et la confiance dans ses activités est élevée.

Si une tentative de connexion est effectuée en dehors de ces critères (un week-end, en dehors des heures normales de bureau, à partir d’une adresse IP ne figurant pas sur le réseau local ou impliquant plusieurs tentatives de mot de passe incorrectes), le système MFA adaptatif peut déterminer une évaluation de risque plus élevée qui est en dehors du profil de risque établi pour cet utilisateur. Cela présenterait alors des défis de sécurité supplémentaires.

De même, un système MFA adaptatif peut imposer différents défis de sécurité pour différents groupes d’utilisateurs, augmentant ainsi la complexité ou la portée des défis de sécurité en fonction du risque. Par exemple, un administrateur informatique ou un partenaire fournisseur externe peut être confronté à des défis plus fréquents et plus exigeants liés à un système MFA adaptatif qu’un employé local des ressources humaines ou de la paie.

Avantages de l’AMF adaptative

Adaptive MFA promet deux avantages principaux à l’entreprise.

1. Sécurité améliorée

La justification fondamentale et l’objectif de l’AMF adaptative sont d’améliorer la sécurité de l’entreprise en garantissant que seuls les utilisateurs autorisés peuvent accéder aux applications et aux données de l’entreprise. La MFA adaptative facilite cet objectif d’une manière plus complète et organisée qui prend en compte et s’adapte aux facteurs de risque établis. La MFA statique ne reconnaît pas ces facteurs.

2. Meilleure productivité

L’authentification MFA commune nécessite les mêmes informations d’identification et la même interaction MFA à chaque fois qu’un utilisateur se connecte. Cela peut être perturbateur et onéreux, en particulier lorsqu’un utilisateur doit effectuer de nombreuses connexions, comme par exemple un clinicien se déplaçant entre les ordinateurs de la salle d’examen tout au long de la journée. L’AMF adaptative peut poser moins de problèmes aux utilisateurs qui se comportent de la manière attendue.

Pour l’exemple du clinicien, l’AMF adaptative pourrait permettre à un médecin de se connecter une fois ou seulement toutes les quelques heures au cours de la journée. Ils peuvent se déplacer facilement entre les ordinateurs en glissant simplement leur badge à chaque poste de l’établissement. Cela réduit les frictions potentielles des programmes d’AMF courants.

Comment fonctionne la MFA adaptative ?

Adaptive MFA fonctionne en couplant le processus d’authentification avec une analyse des risques. Lorsqu’un utilisateur tente de se connecter, le système vérifie sa prétendue identité et son comportement par rapport à un profil de risque établi. Lorsque l’utilisateur tente d’accéder, il reçoit un score de facteur de risque tel que faible, moyen et élevé. Plus le score de risque est élevé, plus l’utilisateur doit fournir d’informations pour finaliser son authentification et passer à l’autorisation.

La figure 1 montre un flux logique typique pour un processus MFA adaptatif.

Figure 1. Flux logique pour un processus MFA adaptatif typique.

Il est important de noter que l’authentification multifacteur adaptative fonctionne tout au long de la session de connexion des utilisateurs, et pas seulement lors de la connexion initiale. Le comportement des utilisateurs et les risques peuvent être évalués en permanence.

Un profil de risque, également appelé politique MFA adaptative, décrit généralement les critères « normaux » pour la connexion réussie de chaque groupe d’utilisateurs. Ces facteurs peuvent être détectés ou déterminés lors du processus de connexion. Plus les facteurs politiques s’alignent, plus le risque est faible. Il existe de nombreux facteurs potentiels à prendre en compte pour une politique d’AMF adaptative, notamment :

  • Emplacement physique. Cela inclut les adresses IP ou les données de géolocalisation des utilisateurs.
  • Géo-vitesse. Cela peut indiquer la distance physique entre les tentatives de connexion consécutives. De multiples tentatives depuis des endroits incroyablement éloignés suggèrent un risque sérieux.
  • Moment de la journée. Cela peut inclure un quart de travail normal ou des heures de travail pour l’utilisateur.
  • Type d’appareil ou système opérateur. Par exemple, la stratégie peut rechercher une tablette exécutant un système d’exploitation Android ou un ordinateur portable exécutant Windows 11.
  • Historique du compte. La fréquence et la durée typiques de connexion au cours des six derniers mois sont des facteurs potentiels sur lesquels baser les critères de connexion.
  • Détection de malware ou logiciel anti-malware. La présence de l’un ou l’autre peut influencer les critères de connexion. Par exemple, les politiques MFA peuvent vérifier que les logiciels anti-malware sont installés conformément aux exigences de l’entreprise.
  • Échecs de connexion consécutifs. Il s’agit d’un signe classique d’accès non autorisé.
  • Rôle d’utilisateur. Les rôles des utilisateurs ont un impact direct sur le risque. Les rôles sensibles feront l’objet d’un examen plus minutieux de la part des systèmes MFA adaptatifs.
  • Sensibilité d’accès ou tentative d’action. Cela surveillera les applications et les données auxquelles un utilisateur tente d’accéder, puis signalera un risque important lorsque l’utilisateur tente d’accéder à des applications et des données non autorisées ou de prendre d’autres actions en dehors de sa politique établie.

La tentative d’authentification de connexion de l’utilisateur est évaluée par rapport à la politique établie et entraînera plusieurs résultats possibles :

  • Accès autorisé. L’utilisateur a satisfait aux exigences de la politique MFA adaptative et a démontré son identité avec suffisamment de succès pour y accéder.
  • Contesté. Le score de risque de l’utilisateur est supérieur au profil de risque établi, et l’authentification nécessitera des réponses réussies à un ou plusieurs défis de sécurité.
  • Accès refusé. L’utilisateur n’a pas satisfait aux exigences de la stratégie MFA adaptative et aux problèmes de sécurité ultérieurs. L’autorisation est refusée. Cela générera généralement un journal de sécurité et des événements d’alerte pour une enquête plus approfondie et des mesures correctives.

Lorsque les interactions d’un utilisateur augmentent son score de risque, un système MFA adaptatif peut nécessiter des informations supplémentaires pour terminer ou mettre à jour le processus d’authentification. Les demandes de contestation courantes peuvent inclure les éléments suivants :

  • Questions de défi de sécurité. Les utilisateurs peuvent être amenés à répondre à une ou plusieurs questions de sécurité, qu’ils ont sélectionnées lors de la création de leur compte. Seul l’utilisateur connaît la réponse à ces questions de sécurité.
  • Codes de mot de passe à usage unique. L’utilisateur peut être invité à recevoir et à saisir un mot de passe à usage unique (OTP) envoyé soit à son adresse e-mail, soit à son téléphone à l’aide d’un SMS, ou d’un service de messages courts, par SMS. Cela repose sur la possession par l’utilisateur d’un appareil intelligent ou du contrôle de son compte de messagerie comme preuve de son identité.
  • Notifications push. Le système envoie une notification au dispositif mobile enregistré de l’utilisateur et l’utilisateur accuse réception de la notification push mobile. Il s’agit d’une variante des codes SMS OTP.
  • La reconnaissance faciale. Le système peut nécessiter une reconnaissance faciale, telle qu’une photo de l’utilisateur ou une capture d’un flux vidéo en direct, pour valider son identité.

L’apprentissage automatique (ML) et l’intelligence artificielle sont de plus en plus répandus dans l’AMF adaptative comme moyen d’apprendre le comportement des utilisateurs. À mesure qu’il apprend les comportements « normaux » des utilisateurs, ML détecte des variations inhabituelles dans le comportement des utilisateurs et signale les tentatives d’actions comme étant accidentelles ou malveillantes. Cela permet au système MFA adaptatif de jouer un rôle plus proactif en arrêtant les actions non autorisées, en posant des défis supplémentaires et en maintenant la sécurité tout au long de la session de connexion de l’utilisateur.

Pratiques pour mettre en œuvre une politique d’AMF adaptative

Il existe peu de lignes directrices formelles ou de bonnes pratiques pour créer une politique d’AMF adaptative. Le concept de sécurité adaptative est relativement nouveau et les besoins de sécurité de chaque entreprise diffèrent considérablement. Cependant, plusieurs pratiques peuvent être mises en œuvre comme point de départ d’une politique d’AMF adaptative.

Considérez la politique par défaut comme point de départ

Les fournisseurs d’authentification MFA adaptative fournissent généralement une politique par défaut qui dicte les comportements adaptatifs de base. Une politique par défaut peut être une bonne option pour les organisations qui débutent avec des techniques de sécurité adaptatives. À titre d’exemple, ServiceNow fournit des stratégies par défaut comme suit :

  • Politique d’intensification de la MFA, qui appliquera la MFA lorsque les conditions d’intensification de la politique sont remplies.
  • Politique d’AMF dégressive, qui contournera l’AMF lorsque les conditions de réduction de la politique sont remplies.

Faites correspondre soigneusement les définitions aux actions

L’AMF adaptative est une fonction de sécurité relativement étroite avec un objectif principal : imposer des exigences ou des réponses de sécurité adaptées à un niveau de risque donné. Il existe généralement quatre niveaux de risque majeurs :

  • Très haut. Un utilisateur représente un risque critique pour l’entreprise car il agit de manière suspecte ou parce que le périphérique d’accès est inconnu, n’est pas fiable ou héberge une forme détectée de logiciel malveillant. Ces utilisateurs sont généralement bloqués par défaut.
  • Haut. Un utilisateur présente un certain risque et doit confirmer son identité chaque fois qu’il tente d’accéder à une application ou à des données protégées par MFA adaptative. Ces utilisateurs sont généralement obligés d’utiliser MFA à chaque accès.
  • Moyen. Un utilisateur doit confirmer son identité une fois par session lors de sa première connexion. Les demandes d’authentification ultérieures ne nécessitent pas de MFA. À l’expiration de la session, un nouveau MFA est requis.
  • Faible. Un utilisateur à faible risque n’a généralement pas besoin de satisfaire à la MFA. Les noms d’utilisateur et mots de passe courants sont acceptés pour l’authentification.

Il existe également de nombreuses réponses possibles que l’architecture de sécurité peut produire :

  • Permettre. L’accès des utilisateurs est accordé.
  • Autoriser Override). L’accès des utilisateurs est autorisé à l’exclusion de toutes autres décisions de la politique.
  • MFA par session. La MFA est requise par session.
  • MFA toujours. MFA est toujours requis pour l’utilisateur, même au cours de la même session.
  • MFA (remplacement). L’AMF est requise à l’exclusion de toutes les autres décisions du contrat.
  • Bloc. L’accès des utilisateurs est refusé.
  • Bloquer (remplacement). L’utilisateur est bloqué à l’exclusion de toutes autres décisions de la politique.

Enfin, un mécanisme d’AMF approprié doit être sélectionné pour les situations où l’AMF est requise. Il existe de nombreuses méthodes disponibles pour la MFA :

  • Envoyez un e-mail à OTP.
  • Une norme sans mot de passe telle que Fast Identity Online 2.
  • SMS OTP.
  • OTP basé sur le temps.
  • Un mécanisme basé sur le fournisseur, tel qu’IBM Verify.
  • Voix OTP.
  • OTP visuel, comme une photo de l’utilisateur.

Cette combinaison de niveaux de risque, de réponses et d’options d’AMF, lorsqu’elle est nécessaire, constitue l’essentiel d’une politique d’AMF adaptative.

Revoir la politique

Une politique MFA adaptative doit être créée et examinée par un groupe collaboratif composé de responsables informatiques, commerciaux et juridiques pour garantir que la politique résultante peut être mise en œuvre tout en répondant aux objectifs commerciaux et aux obligations réglementaires/de conformité de l’entreprise.

Mettre régulièrement à jour la politique

Les besoins de sécurité d’une entreprise évoluent constamment à mesure que les nouvelles menaces sont confrontées aux nouvelles technologies. Une politique MFA adaptative doit être revue périodiquement pour garantir qu’elle continue de répondre aux exigences commerciales et juridiques tout en utilisant des technologies nouvelles et émergentes pour améliorer davantage la sécurité tout en réduisant les frictions des utilisateurs.

Partager Cet Article
Article Précédent TSMC parie sur les puces IA pour relancer la croissance de la demande de semi-conducteurs
Article Suivant Comment Apple TV vient de devenir une solution de réunion Zoom pour les PME
Quitter la version mobile