Renoncer aux mots de passe pour déployer une authentification forte

Privilégier la sécurisation du périmètre réseau en s’en remettant à des mots de passe statiques n’est plus viable, les administrateurs informatiques se retrouvant aux prises avec une myriade de difficultés, dont des menaces persistances avancées et les vulnérabilités engendrées par le BYOD.

Progressivement, le seul moyen fiable de combattre l’actuelle recrudescence des menaces – menaces APT ou vulnérabilités BYOD – est de recourir à une authentification forte et à une stratégie de sécurité à plusieurs niveaux englobant l’accès distant, les serveurs et applications clés, et les systèmes en mode cloud.

Opter pour l’efficacité avec une authentification forte est aujourd’hui nettement plus aisé, en partie grâce à l’adoption de smartphones, cartes à puce et autres équipements susceptibles de stocker des identifiants sécurisés. Avec un modèle d’authentification forte, les entreprises peuvent :

• Créer des solutions convergées qui assurent non seulement un accès logique sécurisé au réseau et aux ressources et services dans le cloud, mais contrôlent également l’accès physique aux bâtiments.
• Gérer des tokens de sécurité mobiles procurant aux utilisateurs une solution d’accès extrêmement pratique et ultra-sécurisée exploitable sur smartphones ou tablettes.
• Intégrer des outils de veille garants d’une sécurité renforcée, englobant l’identification des équipements et faisant appel à des technologies intégrées comme la géolocalisation pour la détection des emplacements.
• Bénéficier d’une protection plus efficace contre les menaces en faisant appel à une authentification multifactorielle dans le cadre d’une stratégie de sécurité à plusieurs niveaux.

Les mots de passe à usage unique (OTP), token et carte hybride (displaycards) et autres dispositifs physiques ont fourni jusqu’ici une solution pour l’authentification à deux facteurs. Malheureusement, les OTP matériels, fort peu commodes, ne sont utiles que pour un nombre limité d’applications. Si les OTP logiciels stockés sur téléphones mobiles ou tablettes, tout comme les tokens basés dans un navigateur, sont plus faciles à utiliser, ils sont vulnérables aux menaces de sécurité. D’autres solutions, comme les cartes à puce basées sur une infrastructure à clé publique (PKI), sont mieux sécurisées, mais elles se révèlent, en général, onéreuses et délicates à déployer.

Mieux vaut tirer avantage de la technologie NFC dont on commence à disposer avec les cartes sans contact, et qui équipe en standard les smartphones et ordinateurs portables. Ces équipements peuvent servir à accéder aux ressources par simple « effleurement » – rendant ainsi superflues l’émission et la gestion de mots de passe, ou leur saisie. Pour accéder à des locaux, réseaux privés virtuels (VPN), réseaux sans fil, Intranets d’entreprise, applications cloud et web, mais aussi clients SSO, il suffit à leurs utilisateurs d’approcher la carte de leurs équipements.

Ce modèle d’authentification forte sans contact donnera également aux entreprises les moyens de parvenir à une véritable convergence en termes de contrôle d’accès. Une solution unique peut ainsi servir à accéder aux ressources informatiques tout en activant plusieurs types d’applications de contrôle d’accès physique, comme la gestion sécurisée des impressions. Avec ce nouveau modèle, l’ensemble de ces applications seraient mises en œuvre sur la même carte à puce ou le même téléphone, aux côtés des OTP, évitant ainsi aux utilisateurs d’avoir à jongler avec des tokens ou terminaux supplémentaires.  

Plusieurs autres couches de sécurité devraient être prises en compte. La deuxième concerne l’authentification des équipements qui, au-delà d’établir la véritable identité de l’utilisateur, a également pour objet de vérifier que celui-ci utilise un équipement « connu ». La meilleure approche consiste à coupler identification et profilage des terminaux au moyen d’éléments tels que la détection de proxy et la géolocalisation. 

La troisième couche à employer vise à s’assurer que le navigateur de l’utilisateur relève d’un canal de communication sécurisé. Bien que cette couche de protection puisse être implémentée via une simple détection passive des logiciels malveillants, cette approche n’offre pas une sécurité infaillible au niveau des terminaux. L’utilisation d’un navigateur sécurisé avec connexion SSL s’avère plus efficace. 

La quatrième couche à faire entrer en ligne de compte a trait à l’authentification des transactions et aux schémas de veille. Sa mise en œuvre renforce la sécurité des transactions névralgiques. Une couche d’authentification transactionnelle peut se composer de plusieurs éléments, tels que la vérification des transactions hors bande (via SMS, Email, push), la signature transactionnelle à des fins de non-répudiation, le suivi des transactions et l’analyse comportementale. 

La dernière couche à implémenter concerne la sécurité applicative. Celle-ci protège les applications sur les terminaux mobiles utilisés pour transmettre des informations confidentielles. Dans l’idéal, non seulement l’architecture de l’application doit être renforcée, mais cette dernière doit également être capable d’opérer une authentification réciproque. 

Chacune de ces couches de sécurité peut être implémentée au moyen d’une plate-forme d’authentification intégrée polyvalente, assortie de capacités de détection des menaces en temps réel. Ce type de plate-forme fait depuis quelque temps ses preuves dans la banque en ligne. Aujourd’hui, des plates-formes de détection analogues devraient faire leur apparition au sein des entreprises, où elles procureront une couche de sécurité supplémentaire dans le cadre de scénarios d’accès distants tels que les VPN.

Résultat ? Une solution de sécurité à plusieurs niveaux, parfaitement interopérable, couvrant l’ensemble des réseaux, systèmes et locaux de l’entreprise.