Authentification : guide sur la gestion des accès robuste et sécurisée

Vous souhaitez protéger votre organisation contre les accès non autorisés ? Mettre en place une architecture de confiance zéro ? Quel que soit votre objectif, l'authentification est essentielle à votre réussite.

Lisez la suite pour découvrir l'importance d'une authentification forte, les options à votre disposition et la façon dont Entrust peut préparer votre entreprise pour l'avenir.

Selon le National Institute of Standards and Technology (NIST), l'authentification consiste à vérifier l'identité d'un utilisateur ou d'un appareil, une condition préalable à toute autorisation d'accès aux ressources d'un système d'information.

Plus simplement, c'est une façon de s'assurer qu'un utilisateur (ou une machine) est bien ce qu'il (ou elle) prétend être. L'authentification est donc une mesure de sécurité conçue pour empêcher les utilisateurs ou les machines non autorisés d'accéder aux ressources protégées.

Authentification et autorisation

Le terme « accès non autorisé » est particulièrement pertinent dans le domaine de l'authentification. Bien qu'étroitement liée, la définition du terme « autorisation » diffère sensiblement.

Ainsi, l'autorisation est le processus qui consiste à donner à un utilisateur authentifié la permission d'accéder à une ressource ou à une fonction précise. La distinction est importante, car toutes les entités authentifiées ne sont pas forcément autorisées à utiliser certaines ressources.

Supposons qu'un employé veuille accéder à une application cloud particulière. Il va alors être invité à s'authentifier à l'aide de son nom d'utilisateur et d'un mot de passe, par exemple. Les politiques de contrôle d'accès de son organisation peuvent toutefois restreindre cette application aux cadres. Dans ce cas, comme il ne fait pas partie des utilisateurs autorisés, il ne pourra pas utiliser la ressource demandée.

Considérez l'authentification comme la clé qui vous ouvre la porte, et l'autorisation comme le badge qui vous donne accès à certaines zones du bâtiment. Toute personne munie d'une clé peut entrer dans les locaux, mais seuls les utilisateurs autorisés auront accès au salon VIP. Pour résumer :

• L'authentification confirme votre identité.
• L'autorisation vérifie que vous disposez de la permission requise.

Combinés, ces deux processus sont essentiels pour la cybersécurité et la gestion des accès.

L'authentification numérique a vu le jour dans les années 1960. À l'époque, les ordinateurs étaient des appareils massifs de la taille d'une pièce que l'on ne trouvait que dans les grands instituts de recherche et les universités. En raison de leur taille, ils étaient partagés par les étudiants, le personnel et les chercheurs.

Le souci ? Chacun pouvait accéder librement aux dossiers des autres. Conscient de ce problème, un étudiant du MIT a créé un programme de mots de passe basique, donnant ainsi naissance à l'authentification numérique.

Des décennies plus tard, bien que les méthodes d'authentification aient évolué, le principe reste le même : fournir aux utilisateurs un accès sûr et sécurisé aux ressources dont ils ont besoin. Aujourd'hui, à l'ère du numérique, l'authentification forte est plus importante que jamais.

Sans un système d'authentification approprié, les pirates informatiques peuvent obtenir un accès non autorisé à des comptes privés et d'entreprise. Pire encore, il suffit qu'un seul identifiant soit compromis pour que l'attaque se transforme en un piratage en règle de tous les comptes connectés, compromettant ainsi l'ensemble des données sensibles.

Heureusement, de nouvelles approches de la cybersécurité introduisent des moyens novateurs de gérer ces types de menaces, comme le cadre de confiance zéro. Différent de la confiance implicite, ce modèle place l'authentification au cœur de son architecture.

Authentification et confiance zéro

Pour résumer, l'approche de confiance zéro part du principe que toutes les entités sont potentiellement malveillantes et doivent être traitées comme telles. Plutôt que de vérifier l'identité une seule fois, elle authentifie en permanence les utilisateurs chaque fois qu'ils demandent l'accès à une ressource, qu'il s'agisse d'un réseau, d'une application, d'un fichier ou autre.

Cette approche est particulièrement importante pour deux raisons :

1. Cybercrime : les pirates ciblent constamment les comptes privilégiés, exploitant les mots de passe faibles, déployant des ransomwares et récoltant des données sensibles au cours du processus. Selon le rapport 2023 de Verizon, environ la moitié de toutes les violations externes sont causées par le vol d'informations d'identification. En fait, 90 % des organisations interrogées ont subi une attaque par hameçonnage en 2020, tandis que 29 % ont fait état de « credential stuffing » (bourrage d'identifiants) et d'attaques par force brute, qui ont entraîné de nombreuses réinitialisations de mots de passe.
2. Identités des machines : saviez-vous que la plupart des entreprises comptent plus d'appareils connectés que d'utilisateurs ? Ces « machines » (serveurs, ordinateurs, etc.) sont authentifiées à l'aide de certificats numériques et de clés cryptographiques appelées « identités de machine ». Entre de mauvaises mains, toutefois, ces informations d'identification peuvent avoir un effet dévastateur sur la sécurité. Au niveau mondial, les pertes économiques liées aux identités non protégées des machines s'élèvent à plus de 51 milliards de dollars. C'est pourquoi les organisations doivent constamment s'assurer que l'identité d'une machine correspond à celle stockée dans leur base de données.

Heureusement, ces problèmes sont exactement ceux que résout une architecture de confiance zéro. L'authentification étant par ailleurs un principe central de ce modèle, les entreprises peuvent créer une base architecturale solide en mettant en œuvre un mécanisme d'authentification continu à l'échelle de leur environnement.

Cas d'utilisation de l'authentification

Maintenant que de plus en plus d'organisations ont une meilleure compréhension du contrôle d'accès, elles commencent à exploiter l'authentification numérique de manière inédite. Voici certains des cas les plus courants :

1. Connexion aux ressources de l'entreprise : les outils d'authentification continue permettent aux employés d'accéder aux systèmes clés de l'entreprise. Du courrier électronique aux documents, en passant par les bases de données et les services cloud, les données sensibles de l'entreprise restent ainsi sous clé.
2. Services bancaires et financiers en ligne : une authentification forte est essentielle à l'intégration des clients et aux services bancaires en ligne. Elle permet de vérifier l'identité d'une personne lorsqu'elle ouvre un compte ou accède à un compte existant, sans trop impacter son expérience utilisateur.
3. Fourniture d'un accès à distance sécurisé : l'authentification joue un rôle particulièrement important à l'ère du travail hybride. Les employés travaillent dans le monde entier sur des appareils non protégés et des réseaux non sécurisés, d'où l'importance de vérifier leur identité et celle des machines.
4. Protection des transactions numériques : si le commerce électronique évolue à grande vitesse, certaines organisations peinent à suivre. Avec un système d'authentification innovant, toutefois, vous pouvez protéger les données financières et les informations sensibles tout en luttant contre la fraude et en améliorant la confiance des clients.
5. Amélioration de la gestion des identités des machines : malgré leur nombre, les entreprises peuvent reprendre le contrôle de l'identité de leurs machines en tirant parti de l'authentification continue. Les ressources cryptographiques sont ainsi protégées tout au long de leur cycle de vie, ce qui garantit des connexions sécurisées entre les machines.

Un utilisateur ou une entité fournit des informations d'identification qui sont comparées à celles figurant dans une base de données d'informations autorisées. Cette dernière peut être située sur un serveur local sur site, ou un serveur d'authentification dans le cloud.

Plus qu'une simple combinaison nom d'utilisateur-mot de passe, ces informations d'identification peuvent constituer une série d'attributs d'identification qui, ensemble, permettent de valider l'identité de l'utilisateur. Au final, tout dépend de la méthode d'authentification retenue. L'authentification biométrique, par exemple, peut recourir à la reconnaissance faciale ou aux empreintes digitales.

Si les informations fournies correspondent à celles enregistrées, le système peut autoriser l'entité à accéder à la ressource. D'autres conditions, néanmoins, peuvent être requises, comme des politiques de contrôle d'accès prédéfinies, ou « autorisations ».

En d'autres termes, même si un utilisateur présente les informations d'identification correctes, il ne sera autorisé à consulter la ressource voulue que s'il dispose des droits d'accès correspondants.

Vous vous dites peut-être que ce processus prend du temps. Bien qu'il puisse sembler complexe et fastidieux, il ne dure en fait que quelques secondes. Grâce à un système d'authentification rapide et robuste, vous pouvez vérifier l'identité des utilisateurs sans impacter leur expérience.

Quels sont les facteurs d'authentification ?

Dans sa forme la plus élémentaire, un facteur d'authentification représente un élément d'information ou un attribut capable de valider l'identité d'un utilisateur ou d'une entité demandant l'accès à une ressource donnée. Traditionnellement, les facteurs d'authentification peuvent être des informations dont vous avez connaissance, des objets en votre possession ou des données personnelles. Deux autres variables sont toutefois apparues au fil du temps, portant le nombre de ces facteurs à cinq.

Les éléments suivants sont ainsi utilisés pour authentifier une identité :

1. Facteur lié à la connaissance : tout identifiant reflétant des informations connues de l'utilisateur, comme un numéro d'identification personnel (PIN) ou un mot de passe.
2. Facteur lié à la possession : tout identifiant appartenant à l'utilisateur, tel qu'un jeton ou une carte à puce.
3. Facteur lié aux données personnelles : ces facteurs comprennent les données biométriques telles que les empreintes digitales ou les scans de la rétine.
4. Facteur lié à la localisation : ce facteur est particulièrement important pour les appareils. Supposons qu'une personne se connecte habituellement depuis son domicile, mais qu'un jour son compte soit activé depuis l'étranger. Les données géographiques vous permettent d'empêcher les pirates informatiques situés dans des endroits éloignés d'accéder à des ressources par le biais de comptes compromis.
5. Facteur lié au temps : le temps est utilisé conjointement à d'autres facteurs. Il prouve l'identité d'une personne simplement en la vérifiant dans un intervalle de temps programmé et par rapport à un lieu désigné, tel que le domicile ou le bureau d'un employé.

Si les trois premiers facteurs peuvent suffire à eux seuls à authentifier un utilisateur, les deux derniers doivent leur être associés pour identifier de manière valable une personne ou une machine.

Quelle méthode d'authentification convient le mieux à votre entreprise ? Attention, c'est une question piège : plusieurs solutions peuvent être possibles. Un système d'authentification à plusieurs niveaux et robuste, associé à plusieurs méthodes différentes, est préférable.

Passons en revue quelques-uns des principaux types d'authentification et leur fonctionnement :

1. Authentification unifactorielle (1FA)

L'authentification unifactorielle est l'un des types d'authentification les plus basiques. Comme son nom l'indique, ce système n'exige qu'un seul facteur d'authentification, sur les trois principaux disponibles.

Prenons l'exemple de l'authentification par mot de passe. Selon cette méthode, un individu fournit un nom d'utilisateur et un mot de passe (ou code PIN). C'est de loin la tactique d'authentification la plus courante, mais aussi la plus facile à compromettre.

Les utilisateurs ont malheureusement tendance à utiliser des mots de passe faibles. Pire encore, ils réutilisent les mêmes pour plusieurs comptes, ce qui les rend vulnérables aux menaces d'ingénierie sociale, comme les attaques par hameçonnage.

2. Authentification multifactorielle (MFA)

L'authentification multifactorielle (MFA) nécessite plusieurs facteurs d'authentification pour vérifier l'identité d'une personne. Par définition, l'authentification à deux facteurs (2FA) entre dans cette catégorie, bien que la MFA soit généralement considérée comme une option plus sûre.

Dans ce cas, les personnes doivent soumettre d'autres informations en plus de leur mot de passe, comme un code de vérification à usage unique. Elles peuvent également être invitées à répondre à une question de sécurité personnelle dont elles seules connaissent la réponse.

La MFA aide les organisations à déjouer les attaques par hameçonnage et autres menaces malveillantes en créant plus de couches de protection que l'authentification de base.

3. Authentification unique (SSO)

L'authentification unique (SSO) permet à l'utilisateur d'appliquer un jeu unifié d'informations d'identification à plusieurs comptes. Très populaire, elle rationalise l'effort de connexion et permet à l'utilisateur de se connecter plus rapidement.

Du point de vue de l'entreprise, la SSO permet aux employés d'accéder rapidement aux applications connectées en se connectant une seule fois. Le système émet un certificat numérique, qui est vérifié chaque fois que l'utilisateur demande l'accès à une application intégrant la SSO.

Cependant, si des pirates informatiques parviennent à obtenir les identifiants SSO, ils accèdent également aux applications connectées de l'utilisateur. Il est donc préférable d'adjoindre à cette méthode des procédés d'authentification supplémentaires.

4. Authentification sans mot de passe

Un système d'authentification sans mot de passe, comme son nom l'indique, ne nécessite pas de saisir au préalable un mot de passe statique. Il identifie l'utilisateur par d'autres moyens, lesquels peuvent inclure les données biométriques ou les jetons matériels. Le plus souvent, il s'agit d'un code à usage unique (OTP).

En générant des informations d'identification temporaires selon les besoins, les OTP, parfois appelés mots de passe à usage unique basés sur le temps (TBOTP, time-based one-time password), constituent un processus d'authentification plus sûr. Par exemple, lorsqu'une personne se connecte à une application, un code d'accès peut lui être envoyé par e-mail et/ou sur son appareil mobile. Il lui suffit ensuite de saisir ce code pour accéder à la ressource voulue.

5. Authentification biométrique

Les identifiants biométriques sont uniques à chaque individu et ne s'appuient donc pas sur des informations d'identification susceptibles d'être dérobées. Exemples de facteurs biométriques courants :

• Empreintes digitales
• Scans de la paume de la main
• Reconnaissance faciale
• Reconnaissance de l'iris

6. Authentification basée sur les certificats (CBA)

L'authentification basée sur les certificats (CBA) vérifie l'identité d'une entité à l'aide de certificats numériques.

Utilisant la cryptographie à clé publique, les certificats fournissent un code unique contenant des informations sur l'utilisateur et/ou l'appareil. Ils comprennent également des clés cryptographiques qui établissent une connexion sécurisée avec la ressource demandée.

La CBA est souvent utilisée dans des situations très sensibles où la plus grande précaution est requise.

7. Authentification par jeton (TBA)

L'authentification par jeton (TBA) est un protocole d'authentification qui génère des jetons de sécurité uniques et chiffrés. Pendant la durée de vie du jeton, qui peut être révoqué ou renouvelé, les utilisateurs peuvent accéder plusieurs fois à n'importe quel site Web ou application pour lesquels le jeton a été émis, sans avoir à saisir à nouveau leurs informations d'identification.

8. Authentification adaptative basée sur le risque

L'authentification basée sur le risque (RBA), également appelée authentification adaptative, change dynamiquement en fonction du niveau de risque associé à chaque session ou transaction particulière. En résumé, elle attribue un score de risque aux interactions afin de déterminer le niveau d'authentification requis pour prouver l'identité de l'entité.

Par exemple, une session à faible risque peut ne nécessiter qu'une authentification à deux facteurs. À l'inverse, s'il s'agit d'une situation à haut risque, le système peut demander à l'utilisateur des facteurs supplémentaires.

Une authentification forte et continue est la clé de la cybersécurité moderne. Votre organisation a besoin de la garantie totale que ses connexions, ses identités et ses données sont à l'abri d'un accès non autorisé, et c'est exactement ce qu'Entrust peut fournir.

Notre portefeuille de gestion des identités et des accès (IAM) comprend tous les outils essentiels dont vous avez besoin pour protéger votre entreprise dans son intégralité. De l'authentification multifactorielle (MFA) résistant à l'hameçonnage, à l'authentification progressive adaptative, vous pouvez mettre en œuvre une stratégie à plusieurs niveaux et robuste grâce à une suite unique complète.