Page d'accueil d'OpenText.
Thèmes techniques

Qu'est-ce que l'authentification multifactorielle ?

Illustration d'éléments informatiques avec une ampoule en point de mire

Présentation

Lorsque vous accédez à une ressource protégée, vous vous authentifiez auprès d'un magasin de données avec vos informations d'identification. Il s'agit d'une identité revendiquée et d'un secret qui lui est associé. Traditionnellement, cela se fait avec un simple nom d'utilisateur et un mot de passe, ce qui est la méthode d'authentification la plus courante aujourd'hui. Malheureusement, l'authentification par nom d'utilisateur/mot de passe s'est révélée très vulnérable au phishing et au piratage d'informations d'identification. Comme les mots de passe peuvent être difficiles à retenir, les gens ont tendance à choisir un mot de passe simple et à le réutiliser pour leurs différents services en ligne et dans le nuage. Cela signifie que lorsqu'un identifiant est piraté sur un service, des personnes extérieures malveillantes le testent sur d'autres services numériques personnels et professionnels. 

L'authentification multifactorielle (AMF) est conçue pour protéger contre ces menaces et d'autres types de menaces en exigeant de l'utilisateur qu'il fournisse deux méthodes de vérification ou plus avant de pouvoir accéder à une ressource spécifique telle qu'une application, un stockage de données ou un réseau privé.

Le terme "facteur" décrit les différents types ou méthodes d'authentification utilisés pour vérifier l'identité prétendue d'une personne. Les différentes méthodes sont les suivantes :

  • Quelque chose que vous connaissez, commeun mot de passe, un code PIN mémorisé ou des questions pièges.
  • Quelque chose que vous possédez - alors qu'historiquement il s'agissait d'un jeton, il s'agit plus souvent d'un smartphone ou d'une clé USB sécurisée.
  • Ce que vous êtes :les données biométriques courantessont les empreintes digitales ou la reconnaissance faciale ; les données biométriques moins courantes sont la voix ou d'autres technologies de reconnaissance.

Authentification multifactorielle

Comment décidez-vous du nombre de facteurs à configurer pour une ressource protégée ?

Les exigences en matière de sécurité et de facilité d'utilisation dictent le processus utilisé pour confirmer l'identité du demandeur. L'authentification multifactorielle permet aux équipes de sécurité de répondre au contexte ou à la situation du demandeur (personne ou processus programmatique), la suppression de l'accès étant le scénario le plus courant. Au-delà de la détermination du nombre de types d'authentification requis, les services informatiques doivent également trouver un équilibre entre le coût des exigences en matière de convivialité et le coût de leur mise en œuvre.

Authentification à facteur unique (SFA)

La SFA a été et reste la solution par défaut pour sécuriser l'accès aux informations et aux installations mobiles, en ligne et autres. En raison de son omniprésence et de son faible coût, le type de SFA le plus courant est le nom d'utilisateur et le mot de passe. Néanmoins, les technologies sans mot de passe sont de plus en plus adoptées pour éviter les menaces posées par diverses attaques de phishing. Par exemple, la majorité des applications mobiles permettent l'utilisation des empreintes digitales ou de la reconnaissance faciale à la place du nom d'utilisateur et du mot de passe traditionnels.

Des options sans mot de passe (par exemple, FIDO2 et passkeys) sont actuellement disponibles auprès de tous les principaux fournisseurs de plateformes, y compris Microsoft, Apple et Google.

Parce qu'ils sont utilisés pour vérifier les identités, les jetons d'authentification doivent être protégés contre les personnes extérieures. Outre la sécurité élevée des jetons, ils sont souvent configurés pour expirer assez fréquemment, ce qui augmente leur taux de rafraîchissement. Si la mise en œuvre de jetons à durée de vie courte utilisés sous l'interface sans mot de passe renforce la sécurité, elle n'atteint pas le niveau offert par l'authentification à deux facteurs.

Les mécanismes modernes sans mot de passe tels que les passkeys ou WebAuthn ne sont généralement pas considérés comme de simples SFA - il s'agit de formes d'authentification plus fortes qui combinent souvent plusieurs garanties cryptographiques (quelque chose que vous avez et parfois quelque chose que vous êtes). L'absence totale de mot de passe peut elle-même constituer une forme d'authentification avancée ou multifactorielle forte lorsqu'elle est correctement mise en œuvre.

Authentification à deux facteurs (2FA)

Le 2FA renforce la sécurité en demandant à l'utilisateur de fournir un deuxième type (savoir, avoir, être) pour la vérification de l'identité. Une preuve d'identité peut être un jeton physique, comme une carte d'identité, et l'autre quelque chose de mémorisé, comme un défi/réponse, un code de sécurité ou un mot de passe. Un deuxième facteur élève considérablement la barre pour les malfaiteurs et autres acteurs extérieurs qui réussissent à franchir les barrières de sécurité.

Voici une liste des méthodes d'authentification les plus courantes :

  • Mots de passe à usage unique -OTP, HOTP, YubiKey et autres dispositifs conformes à la norme FIDO
  • Autresappels hors bande, push mobile
  • Certificats PKI
  • Biométrie - empreinte digitale, visage, reconnaissance vocale
  • Cartes de proximité, application mobile de géofencing
  • Ce que vous savez - mots de passe, questions pièges

Authentification à trois facteurs (3FA)

Cette méthode ajoute un autre facteur à deux facteurs, ce qui rend encore plus difficile la falsification d'une identité déclarée. Un scénario typique pourrait consister à ajouter des données biométriques à un nom d'utilisateur/mot de passe existant, ainsi qu'à une carte de proximité. Parce qu'elle ajoute un niveau notable de friction, elle devrait être réservée aux situations qui requièrent un niveau élevé de sécurité. Les banques peuvent trouver des situations où le 3FA a du sens, tout comme diverses agences gouvernementales. Des zones spécifiques à haut niveau de contrôle dans un aéroport ou un hôpital sont également des zones où les équipes de sécurité ont jugé que la 3FA était nécessaire. La 3FA est peu courante et l'AMF adaptative (qui évalue le risque contextuel) est l'orientation dominante de l'industrie.

Où l'AMF est-elle généralement utilisée ?

Bien que de nombreuses organisations considèrent la vérification des utilisateurs comme une réflexion après coup, il est important de noter que le DBIR annuel de Verizon montre constamment que le piratage d'informations d'identification est l'une des principales stratégies d'intrusion. Ce n'est qu'une question de temps avant que la quasi-totalité des organisations ne subissent une perte d'informations sensibles qui se traduira par une perte financière tangible et une perte potentielle de confiance de la part des clients.

Ce qui rend ces tendances remarquables, c'est qu'il n'y a jamais eu d'époque où l'authentification multifactorielle est aussi pratique et abordable à mettre en œuvre qu'elle l'est aujourd'hui. Traditionnellement, les organisations ont limité leurs implémentations MFA à un petit sous-ensemble d'utilisateurs spécialisés qui travaillent avec des informations présentant un niveau de risque plus élevé pour l'entreprise. Le coût et la facilité d'utilisation ont souvent été les facteurs limitant le déploiement à grande échelle des technologies d'authentification forte. Historiquement, les méthodes d'authentification forte étaient coûteuses à l'achat, au déploiement (y compris l'inscription des utilisateurs) et à l'administration. Mais récemment, on a assisté à une série de changements radicaux dans tous les secteurs, au sein des organisations elles-mêmes, de leurs clients (ou patients, citoyens, partenaires, etc.) et de la technologie à laquelle ils ont accès.

Quelles sont les principales motivations des entreprises pour mettre en œuvre l'authentification multifactorielle ?

Bien que chaque organisation ait ses propres exigences concrètes, il existe des moteurs commerciaux de haut niveau qui sont souvent communs à toutes les organisations :

  • La plupart des secteurs d'activité doivent se conformer à un certain type de loi sur la protection de la vie privée concernant les informations relatives aux clients, aux patients ou aux finances. En outre, les agences gouvernementales continuent de renforcer leurs politiques exigeant l'AMF pour la vérification de l'identité de l'utilisateur.
  • Plus que jamais, les professionnels travaillent en dehors du bureau, que ce soit en tant que travailleurs itinérants ou en tant qu'employés à distance. Ils utilisent l'AFM dans le cadre de leurs pratiques de gestion des risques ou dans le cadre d'une initiative de conformité couvrant les informations (client, patient, citoyen, RH, etc.) qui sont soumises à des mandats d'authentification gouvernementaux.
  • Les utilisateurs puissants et les organisations au sein desquelles ils travaillent évoluent dans un monde omniprésent et connecté, ce qui signifie que lorsque leurs informations d'identification sont violées, la vulnérabilité exposée pour leur employeur est une force irrésistible pour sécuriser leurs comptes avec l'AMF.
  • Pratiquement tout le monde a un ordinateur connecté (smartphone) dans sa poche à partir duquel il mène sa vie : médias sociaux, contenu personnalisé pour le consommateur et commerce électronique. Parce que les clients s'attendent à interagir avec les entreprises numériquement sur leurs appareils, les organisations poursuivent souvent une stratégie agressive en matière d'applications mobiles qui nécessite l'AMF pour gérer leurs risques.

Quels sont les mandats qui exigent que les organisations utilisent l'AMF pour être en conformité ?

L'AMF est désormais une exigence de base dans :

  • PCI DSS v4.0 - pourtous les accès à distance aux systèmes traitant les données des titulaires de cartes.
  • HIPAA - poursécuriser les informations électroniques protégées sur la santé (ePHI).
  • NIS2 et DORA - qui exigent descontrôles d'accès stricts dans les secteurs critiques.
  • Polices d'assurance cybernétique - la plupart exigent l'AMF pour la couverture.

Quels sont les moyens de rendre l'AMF moins intrusive pour l'utilisateur ?

Les services informatiques ont accès à quelques technologies permettant de réduire les frictions que l'AMF peut potentiellement imposer aux utilisateurs :

  • Signature unique.
  • Évaluation des risques liés à une demande d'accès.
  • Correspondance entre le meilleur type d'authentification et l'utilisateur.

Authentification unique (SSO, single sign-on)

Le SSO permet aux utilisateurs de s'authentifier auprès de plusieurs ressources à partir d'une seule interaction de la part de l'utilisateur, ce qui signifie que les utilisateurs saisissent un justificatif d'identité unique à partir duquel l'infrastructure sous-jacente s'authentifie auprès de chacune des ressources protégées en leur nom au cours de cette session. L'approche la plus sûre du SSO est que le moteur d'authentification utilise un ensemble unique d'informations d'identification pour chaque ressource configurée pour le SSO. Cela permet de renforcer la sécurité à un niveau élevé :
  • L'utilisateur ne connaît pas le justificatif d'identité réel de la ressource, mais seulement le justificatif d'identité fourni à la passerelle d'authentification. Cela oblige l'utilisateur à utiliser la passerelle d'authentification plutôt que de se rendre directement à la ressource. Cela signifie également que chaque ressource dispose d'un justificatif unique. Ainsi, si l'un d'entre eux fait l'objet d'une violation de son stock d'identité, cela ne compromet pas les autres. Cette approche permet aux services informatiques de se conformer aux exigences de l'AMF tout en effectuant des authentifications en série aux ressources protégées.
  • En s'appuyant sur le contexte de l'utilisateur, la technologie basée sur le risque (RBA) peut être utilisée pour invoquer l'AMF uniquement lorsque cela est nécessaire. Qu'il s'agisse de se conformer à un mandat gouvernemental ou d'appliquer la politique de gestion des risques de l'organisation, la RBA peut être utilisée pour réduire le nombre de cas où une demande d'authentification est imposée à un utilisateur. Les politiques sont généralement un mélange de lieux, d'appareils et d'heures d'accès.

Options d'authentification à faible friction

Même si les OTP/TOTP traditionnels resteront le type d'authentification à deuxième facteur le plus courant, d'autres options peuvent s'avérer plus judicieuses dans une situation donnée. Les applications mobiles de push hors bande offrent une option à faible friction pour l'OTP, car tout ce que l'utilisateur doit faire est d'appuyer sur le bouton d'acceptation. Pour les situations à plus haut risque, certaines applications push peuvent être configurées pour demander une empreinte digitale afin de vérifier l'identité de la personne, ainsi qu'une confirmation des informations (comme un numéro présenté sur le bureau) afin de vérifier que l'utilisateur possède à la fois le bureau et le smartphone.

La reconnaissance faciale devient rapidement l'authentification biométrique de choix. La nature peu frictionnelle de Windows Hello, qui s'améliore avec le temps, offre une expérience utilisateur pratique. Le plus gros problème est que Windows Hello ne fonctionne pas bien dans les différentes situations d'éclairage. Cette incapacité à reconnaître les visages en fonction de l'éclairage peut être gérée par des enregistrements faciaux supplémentaires. Plus récemment, certaines applications mobiles offrent la possibilité d'enregistrer les motifs de l'iris dans les yeux d'une personne. Utilisées ensemble (visage, empreintes digitales, iris), les options d'authentification biométrique placent la barre de sécurité très haut pour qu'une personne extérieure puisse la franchir. Les méthodes biométriques constituent également une excellente option pour les organisations qui recherchent un moyen peu contraignant de se protéger contre les attaques par hameçonnage.

La reconnaissance vocale a gagné en popularité dans le secteur des services financiers. Les institutions l'apprécient parce qu'il est entièrement passif pour les clients lorsqu'ils parlent avec un représentant du service. Le représentant est informé de la vérification de l'identité du client. Ils utilisent la reconnaissance vocale en lieu et place des questions pièges pour les clients qui ont souvent du mal à se souvenir des réponses correctes à ces questions. Dans ce cas, la sécurité et la convivialité sont optimisées.

FIDO/FIDO2 sont des options intéressantes lorsque les utilisateurs se déplacent entre plusieurs appareils. Ce qui fait de FIDO une option d'authentification attrayante, c'est en partie le large soutien des fournisseurs et l'accent mis sur la facilité d'utilisation. FIDO a connu un succès notable dans les universités qui gèrent un grand nombre d'étudiants utilisant une grande variété de services numériques. FIDO permet la portabilité de l'authentification sans mot de passe sur différents appareils et plateformes.

Le profilage des gestes des smartphones est une forme d'analyse comportementale qui analyse la manière dont une personne interagit physiquement avec son appareil. Il utilise des heuristiques pour repérer des schémas dans les gestes et produit des scores de confiance basés sur la cohérence de ces schémas. Au fur et à mesure que des données sont collectées, le système devient plus confiant dans la reconnaissance du comportement unique de l'utilisateur, ce qui augmente la précision - ou la fidélité - du profil gestuel. Bien qu'il ne soit pas suffisamment puissant pour servir de méthode principale de vérification de l'identité, le profilage gestuel peut constituer un facteur complémentaire utile lorsqu'il est associé à d'autres méthodes d'authentification.

Comment OpenText vous aide

OpenText™ Advanced Authentication fait partie de notre portefeuille de gestion des identités et des accès. Il permet un déploiement flexible de l'AMF, y compris :

  • Authentification biométrique et sans mot de passe.
  • Décisions d'accès fondées sur le risque et le contexte.
  • Application des politiques dans les environnements hybrides et multiclouds.
  • Intégration via des API, des SDK et des protocoles de fédération (SAML, OAuth, OIDC).

Que vous sécurisiez des utilisateurs internes, des partenaires ou des consommateurs, OpenText offre une authentification sécurisée, conforme et évolutive à l'échelle de l'entreprise.

En quoi OpenText Advanced Authentication est-il différent des autres solutions MFA ?

Les équipes chargées de la sécurité mettent souvent en œuvre les logiciels d'appui qui accompagnent l'authentification qu'elles adoptent. Cela semble bien fonctionner jusqu'à ce que vous achetiez différents appareils qui nécessitent une implémentation logicielle différente, créant ainsi un autre silo. Dans les grandes organisations, il est possible d'avoir plusieurs silos de technologies sans mot de passe utilisées pour l'authentification multifactorielle ou pour satisfaire à d'autres exigences d'authentification. La faiblesse de cette situation est que chaque silo d'authentification a son propre ensemble de politiques. La mise à jour de ces multiples archives de politiques nécessite une charge administrative plus importante et présente le risque d'avoir des politiques inégales.

OpenText Advanced Authentication est conçu pour répondre aux besoins d'authentification multifactorielle des plus grandes entreprises. Son approche fondée sur les normes offre une architecture ouverte, exempte des risques de verrouillage des fournisseurs. Le cadre prend en charge une variété d'appareils et de méthodes supplémentaires prêtes à l'emploi, mais il peut également être élargi au fur et à mesure que de nouvelles technologies sont mises sur le marché.

Quelle que soit la plateforme (web, mobile, client), OpenText Advanced Authentication fournit également un support prêt à l'emploi pour les plateformes et les applications les plus courantes. En plus de servir de moteur de politique central pour les authentifications à l'échelle de l'entreprise, OpenText Advanced Authentication offre également un moteur basé sur les risques pour contrôler quand le MFA est invoqué ainsi que pour contrôler quels types d'authentification sont proposés selon les différents niveaux de risque. Outre son propre moteur intégré, OpenText Advanced Authentication s'intègre à OpenText Access Manager pour fournir un ensemble robuste d'options d'authentification unique et de mesures des risques qui peuvent être utilisées dans le cadre d'un cas d'utilisation de gestion adaptative des accès.

Produits associés

OpenText™ Advanced Authentication

Activez l'authentification multifactorielle et sans mot de passe pour une protection simple à l'échelle de votre entreprise.

OpenText™ Access Manager

Assurez une authentification unique et un contrôle d'accès sur l'ensemble des plateformes mobiles, cloud et historiques.

OpenText™ Core Identity Foundation

Plateforme de sécurité des identités cloud native

Voir tous les produits apparentés

Comment pouvons-nous vous aider ?

Notes de bas de page