Atouts du MFA sur les postes de travail
Depuis sa création, le mot de passe a été beaucoup décrié, et à juste titre. Même selon son créateur, Fernando Corbató, professeur d’informatique au MIT, il est devenu « un vrai cauchemar ». À sa décharge, Fernando Corbató ne pouvait pas imaginer les centaines de mots de passe que nous utilisons actuellement, ni la prolifération de règles complexes destinées à pallier les faiblesses de ce facteur d’authentification basé sur la connaissance.
Aujourd’hui, c’est l’authentification multifacteur (MFA) qui a la cote, car elle permet de renforcer un mécanisme faible de vérification de l’identité à l’aide de facteurs bien plus forts, tels que les codes d’accès à usage unique (OTP), la biométrie ou les tokens physiques. En dépit de ses possibles imperfections, toute autre méthode d’authentification est préférable aux mots de passe.
L’authentification dans n’importe quelle application critique exige normalement un mécanisme de vérification supplémentaire pour renforcer la sécurité par mot de passe. Les solutions SSO automatisent l’authentification multifacteur pour améliorer l’expérience utilisateur. Le seul bémol à l’utilisation du MFA pour l’accès aux applications est que ce dernier est souvent provisionné à partir d’un terminal uniquement protégé par un mot de passe. C’est assez paradoxal de fournir une authentification forte à une application, mais de le faire à partir d’un ordinateur sécurisé par un simple mot de passe. Même si l’application possède une authentification forte, elle reste vulnérable en raison de l’authentification faible du terminal auquel elle est associée — le mot de passe étant toujours la principale méthode de sécurisation de la majorité des terminaux.
Aujourd’hui, avec la généralisation du télétravail ou du travail hybride, les utilisateurs peuvent avoir avoir accès à leurs terminaux (ordinateurs de bureau, portables et autres) où qu’ils se trouvent. Ces terminaux sont cependant autant de points potentiels d’accès malveillant à la passerelle de l’entreprise, surtout s’ils ne sont pas correctement sécurisés.
Si la sécurité est un aspect essentiel, la facilité d’utilisation doit elle aussi être prise en compte. Il est capital de trouver le meilleur compromis entre niveau de sécurité élevé et agilité des effectifs, qui doivent bénéficier d’un accès facile et sécurisé à leurs applications pour rester productifs. La simplicité d’utilisation et la praticité sont tout aussi importantes que la sécurité. Lorsque l’expérience utilisateur des collaborateurs n’est pas à la hauteur de leurs attentes, ils peuvent faire preuve d’une grande créativité pour contourner les méthodes d’accès en place et pouvoir accomplir leurs tâches plus facilement.
Pour pallier les failles d’une authentification des terminaux par mot de passe, Okta a conçu une nouvelle solution baptisée Okta Device Access. Fondamentalement, un terminal n’est jamais qu’un point de contact dont la sécurité peut être renforcée par une solution unifiée de gestion des identités et des accès. Jusqu’ici, Okta se concentrait essentiellement sur la sécurisation des accès aux applications et aux ressources réseau. Même s’il était possible d’appliquer le MFA aux terminaux, il fallait faire appel à des solutions partenaires. Les clients ont sollicité Okta, lui demandant s’il existait un moyen plus efficace d’initier l’authentification sur le terminal et ainsi pouvoir authentifier l’accès aux applications par la suite à partir d’un terminal mieux sécurisé.
L’expérience utilisateur proposée par Okta Device Access est relativement simple. Les utilisateurs peuvent se connecter aux terminaux provisionnés par l’entreprise avec leurs identifiants Okta. Dans la plupart des cas, les utilisateurs seront invités à répondre à une demande MFA. Idéalement, ils devraient se voir proposer l’authentification sans mot de passe (sujet à traiter par ailleurs). Une fois l’utilisateur authentifié sur le terminal au moyen d’un facteur fort, une seule session active est établie. L’authentification unique (SSO) est ainsi étendue à toutes les ressources en aval, afin que les utilisateurs puissent accéder aux applications et à tous les autres services dont ils ont besoin dans le cadre de leur travail. Après la connexion initiale à son terminal d’entreprise, l’utilisateur ne doit plus se réauthentifier. La seule raison de le faire serait un changement du niveau de risque déclenché par une modification de la posture de sécurité du terminal ou par une politique d’accès spécifique relative à une application donnée.
L’offre sera déployée en plusieurs phases. La première phase consistera à implémenter le MFA au niveau des postes de travail, l’invite MFA venant s’ajouter à la saisie du mot de passe local/AD, ou à toute autre méthode utilisée. L’utilisateur sera aussi en mesure de synchroniser les mots de passe qu’il utilise sur son terminal local avec ses mots de passe Okta. Lors des phases ultérieures du déploiement, les clients jouiront d’une plus grande flexibilité pour activer des identifiants Okta sans mot de passe et des facteurs résistants au phishing. De même, ils pourront proposer aux utilisateurs un accès fluide à tous leurs services et ressources en aval pour lesquels ils possèdent déjà des privilèges et des droits d’utilisation. Comme pour l’accès aux applications, les utilisateurs peuvent être invités à répondre à des demandes d’authentification supplémentaires en fonction du contexte et du risque.
En résumé, Okta Device Access est la solution que nous recherchions depuis toujours. Il a juste fallu un peu de temps pour la développer. Le besoin d’améliorer la sécurité des terminaux et l’expérience utilisateur n’est pas nouveau. On ne peut que se réjouir de l’arrivée de cette nouvelle solution d’Okta qui répond à ces deux exigences.
Message du sponsor
Okta s’est donné pour mission d’aider vos collaborateurs à accéder en toute sécurité à n’importe quelle ressource, sur n’importe quel terminal et à chaque point de contact pendant toute leur journée de travail. Ne manquez pas toutes les dernières annonces et nouveautés concernant Okta Device Access. Pour en savoir plus consultez notre site à l’adresse www.okta.com/fr.