La méthode traditionnelle de sécurisation des identités n’offre pas l’agilité commerciale, l’expérience utilisateur et les protections nécessaires pour un domaine numérique en évolution rapide. De nombreuses organisations mettent en œuvre Zero Trust afin d’atténuer ces difficultés et de permettre la nouvelle normalité du travail en tout lieu, avec tout le monde et à tout moment.
Cependant, l’écosystème étendu d’utilisateurs distants avec plusieurs appareils crée davantage de surfaces d’attaque à exploiter. Cela permet à un attaquant d’obtenir des informations sur un utilisateur ou un appareil afin d’y accéder. Les méthodes Zero Trust aident à atténuer ces menaces avant qu’elles ne deviennent des attaques actives.
Le nouveau modèle d’identité et d’accès augmente la flexibilité des utilisateurs et des appareils pour accéder aux applications et aux données, comme le montre la Figure 1 ci-dessous. En outre, le large éventail d’appareils, d’applications et de données connectés à l’internet crée une grande dispersion de l’emplacement des identités et élargit la surface d’attaque pour les mauvais acteurs.
Cependant, les identités des utilisateurs dépendent aujourd’hui fortement des noms d’utilisateur et des mots de passe pour accéder aux applications. L’utilisation de l’authentification multifacteur (MFA) et les stratégies d’accès conditionnel permettent d’atténuer une partie du risque. Les entreprises devraient examiner et planifier les moyens d’optimiser la gestion des identités et des accès afin de réduire ou de supprimer l’utilisation des mots de passe.
L’approche optimale de la gestion des identités et des accès consiste à utiliser les conseils suivants :
L’authentification sans mot de passe est activée sur tous les appareils et toutes les applications.
Les appareils accédant aux applications et aux ressources de l’entreprise doivent être enregistrés avec les stratégies de gestion des appareils mobiles (MDM) ou de gestion des applications mobiles (MAM).
L’utilisateur, l’appareil, l’emplacement et le comportement sont analysés en temps réel pour déterminer le risque et assurer une protection continue.
L’optimisation de la gestion des identités et des accès garantit que les utilisateurs sont bien ceux qu’ils prétendent être à chaque tentative d’accès, et qu’ils réaffirment régulièrement leur fiabilité. C’est la base de la mise en œuvre de la méthodologie de Zero Trust.
La mise en œuvre de Zero Trust par des solutions sans mot de passe utilise la MFA pour protéger vos applications avec deux sources de validation. Ces sources de validation comprennent quelque chose qu’ils sont (une empreinte digitale biométrique ou une reconnaissance faciale) et quelque chose qu’ils ont (un téléphone ou un jeton) pour vérifier l’identité avant de leur accorder l’accès. Il convient de noter que les éléments que vous connaissez (mots de passe ou numéros d’identification personnels) ne sont pas pris en compte dans le scénario MFA. Avec plusieurs méthodes d’authentification disponibles, les administrateurs peuvent choisir celle qui convient le mieux au flux de travail de leurs utilisateurs.
Microsoft dispose de solutions au sein de sa plateforme de gestion des identités et des accès pour l’authentification sans mot de passe.
Les informations d’identification Microsoft MFA « sans mot de passe » incluent :
Microsoft Authenticator : pour une flexibilité, une commodité et un coût optimaux, nous vous recommandons d’utiliser l’application mobile Microsoft Authenticator. Microsoft Authenticator prend en charge la biométrie, les notifications Push et les codes secrets à usage unique pour toute application connectée à Azure AD. Il est gratuit à télécharger à partir des App Store Apple et Android.
Windows Hello : pour une excellente expérience intégrée sur le PC, nous vous recommandons d’utiliser Windows Hello. Il utilise votre visage ou votre empreinte digitale pour se connecter automatiquement.
Les clés de sécurité Fast Identity Online (FIDO2) sont désormais disponibles auprès de plusieurs fournisseurs tels que Yubico, Feitian Technologies et HID Global sous forme d’USB, de badge compatible avec NFC ou de clé biométrique. FIDO2 est une norme ouverte pour l’authentification sans mot de passe.
Des informations supplémentaires sur les options d’authentification sans mot de passe de Microsoft sont disponibles ici.
De nombreuses entreprises ont été contraintes de passer de méthodes traditionnelles à des méthodes plus modernes de gestion des identités et des accès. Bien que ces entreprises ne soient pas encore dans la catégorie entièrement optimisée, elles peuvent toujours commencer à aller dans cette direction en appliquant l’authentification multifacteur pour tous les utilisateurs et en prévoyant des méthodes de vérification Zero Trust supplémentaires avec les stratégies d’accès conditionnel et de protection de l’identité. La section suivante vous permettra de mieux comprendre la mise en œuvre d’un cadre Zero Trust.
Cadre Zero Trust
L’accent est mis sur la gestion des identités et des accès en tant que deux plans de contrôle fondamentaux dans ce cadre, les identités elles-mêmes et la gouvernance utilisée pour surveiller et gérer l’accès aux ressources. Microsoft a traité ces plans de contrôle via la gamme de produits Microsoft Entra.
Voyons comment le plan de contrôle d’identité peut être utilisé dans le cadre Zero Trust.
Identité
Les identités, qu’elles représentent des personnes, des services ou des appareils IOT, définissent le plan de contrôle Zero Trust. Lorsqu’une identité tente d’accéder à une ressource, nous devons vérifier cette identité avec une authentification forte, nous assurer que l’accès est conforme et typique pour cette identité et suivre les principes d’accès privilégié.
Azure Active Directory (Azure AD) est le service de Microsoft qui fournit une identité cloud aux utilisateurs, aux groupes et aux ressources. Azure AD est utilisé comme fournisseur de cloud permettant aux utilisateurs et aux ressources natifs du cloud d’accéder aux applications cloud. Azure AD peut être utilisé comme fournisseur d’identité pour les applications SaaS tierces ainsi que pour les applications locales inscrites dans Azure AD. Azure AD offre des fonctionnalités pour protéger les identités contre les attaques par mot de passe et peut appliquer des fonctionnalités Zero Trust supplémentaires. Ces fonctionnalités Zero Trust incluent des mots de passe forts, l’authentification multifacteur (MFA), l’authentification sans mot de passe et des stratégies d’accès conditionnel.
Azure AD Identity Protection peut être utilisé parallèlement aux stratégies d’accès conditionnel pour reconnaître les risques liés aux utilisateurs et à la connexion. Dans Azure AD Identity Protection, les risques sont la possibilité que l’identité d’un utilisateur ait été compromise ou volée, ou qu’une connexion ne soit pas exécutée par l’utilisateur auquel appartiennent les informations d’identification. Ces niveaux de risque sont basés sur le comportement typique des utilisateurs et des tenants avec les solutions d’apprentissage automatique et d’intelligence artificielle de Microsoft signalant les utilisateurs et les connexions au-delà du comportement normal. Les stratégies d’accès conditionnel peuvent ensuite appliquer des étapes de vérification supplémentaires telles que la MFA, exiger une réinitialisation du mot de passe ou bloquer l’accès.
Il est essentiel que seules les bonnes personnes disposant des bonnes ressources sur des appareils sécurisés puissent accéder à vos données de n’importe où. Microsoft Conditional Access est un moteur de stratégie intelligent conçu pour garantir cela. Ses contrôles robustes vous permettent de définir des conditions spécifiques sur la façon dont les utilisateurs s’authentifient et accèdent aux applications et aux données. Vous pouvez personnaliser et gérer les stratégies automatisées et obtenir des rapports sur les stratégies appliquées pour chaque connexion.
Conclusion
Comme cela devrait être le cas pour tout parcours de sécurité du cloud, la planification et l’éducation sont des domaines clés de la réussite. Les utilisateurs doivent être formés pour gérer les changements et comprendre l’importance de cette méthodologie Zero Trust et de la protection de leur identité. La gestion des changements et la planification des lacunes potentielles dans les contrôles de sécurité et l’évaluation des risques vous permettront d’exécuter un niveau élevé de protection de l’identité pour les utilisateurs, les appareils et les ressources au sein de vos environnements cloud et hybrides.
Besoin d’aide pour gérer vos données de manière efficace, sécurisée et durable ? AvePoint Cloud Governance garantit que vos espaces de collaboration dans Microsoft 365 sont sécurisés et contrôlés et que l’automatisation signifie moins de pression sur votre service informatique. Demandez un essai gratuit de 30 jours dès aujourd’hui !
Pour en savoir plus sur la protection de l’identité auprès des spécialistes, assurez-vous de vous abonner à notre blog.
Dwayne is a Global Principal Cloud Security Technical Lead/CTO for Atos across Microsoft, AWS, and GCP. He also provides training and consulting services to Opsgility for their Microsoft training and technical coaching. Beyond that, he serves as a Microsoft Certified Trainer and Regional Lead, speaking at conferences and to user groups globally with talks focused on Cloud Security, Identity security, and Data/AI trends.