Qu'est-ce que l'authentification multifactorielle adaptative ?
- Glossaire IAM
- Qu'est-ce que l'authentification multifactorielle adaptative ?
L'authentification multifactorielle adaptative (MFA adaptative) est une méthode de sécurité qui évalue les facteurs contextuels avant d'inviter l'utilisateur à vérifier son identité par une authentification supplémentaire. Contrairement à la MFA standard, la MFA adaptative n'interpelle les utilisateurs que lorsque des indicateurs contextuels, tels que le type d'appareil, la localisation ou le comportement, s'écartent de leurs schémas habituels. La MFA adaptative permet de protéger les comptes en ligne tout en simplifiant le processus de connexion pour les utilisateurs de confiance.
Comment fonctionne la MFA adaptative
La MFA adaptative analyse les risques de sécurité en temps réel en utilisant des données contextuelles pour déterminer si une tentative de connexion est légitime et quelles exigences d'authentification doivent être appliquées. Lorsqu'un utilisateur tente de se connecter, le système évalue des données telles que l'adresse IP de l'utilisateur, sa localisation géographique et l'heure d'accès par rapport à son comportement habituel. En fonction des résultats, le système attribue un score de risque à la tentative de connexion. Voici les différents types de scores de risque :
- Risque faible : si la tentative de connexion correspond au comportement habituel de l'utilisateur, il se peut qu'il lui suffise de saisir son nom d'utilisateur et son mot de passe pour obtenir l'accès.
- Risque moyen : si l'utilisateur se connecte à partir d'un nouvel appareil ou à une heure inhabituelle, il peut être invité à vérifier son identité à l'aide d'une étape supplémentaire, comme un mot de passe à usage unique (OTP).
- Risque élevé : si le système détecte plusieurs anomalies, comme une connexion à partir d'un lieu inconnu ou une adresse IP suspecte, l'utilisateur peut être amené à utiliser une méthode d'authentification plus solide, comme des données biométriques, ou l'accès lui sera refusé.
Par exemple, si un utilisateur se connecte habituellement à partir d'un ordinateur portable situé à New York pendant les heures de bureau, une tentative de connexion à partir d'un appareil mobile situé en Australie à 3 heures du matin sera considérée comme présentant un risque élevé. Le système pourrait exiger à la fois un OTP et une authentification biométrique, et l'accès serait bloqué si l'utilisateur ne peut pas satisfaire aux exigences.
MFA vs MFA adaptative
L'authentification multifactorielle (MFA) traditionnelle exige que les utilisateurs vérifient leur identité en utilisant deux méthodes d'authentification ou plus. Généralement, MFA requiert quelque chose que l'utilisateur connaît (comme un mot de passe), quelque chose qu'il a (comme un OTP) ou quelque chose qu'il est (comme une empreinte digitale). La MFA applique le même ensemble d'étapes d'authentification prédéterminées à tous les utilisateurs, quel que soit leur niveau de risque ou leurs données contextuelles.
L'authentification multifactorielle adaptative va plus loin en utilisant des évaluations contextuelles des risques pour déterminer le niveau d'authentification nécessaire. Les utilisateurs à faible risque reçoivent moins d'invites, ce qui améliore la convivialité, tandis que les tentatives à haut risque déclenchent des mesures de sécurité plus strictes.
| Validation multi-étapes | Authentification multifactorielle adaptative |
|---|---|
| Méthode d'authentification | |
| Les mêmes étapes pour tous les utilisateurs | Des étapes dynamiques basées sur le contexte et le niveau de risque |
| Flexibilité | |
| Applique des règles fixes à toutes les tentatives de connexion | S'adapte à chaque scénario de connexion |
| Évaluation de risque | |
| Non inclus | Intégré, utilisant des données contextuelles pour analyser les risques |
| Cas d’utilisation | |
| Idéal pour les environnements de base avec un comportement d'accès cohérent de l'utilisateur | Idéal pour les environnements dynamiques qui requièrent à la fois commodité et mesures de sécurité avancées |
Avantages de la MFA adaptative
La MFA adaptative offre plusieurs avantages aux organisations, notamment par rapport à la MFA traditionnelle, en se concentrant sur le contexte. Voici comment la MFA adaptative renforce la sécurité tout en réduisant les frictions pour les utilisateurs de confiance.
Amélioration de la sécurité
La MFA traditionnelle fonctionne en tandem avec des identifiants statiques tels que les mots de passe et les codes PIN, qui sont plus vulnérables aux attaques de phishing et au vol d'identifiant de connexion. Avec la MFA adaptative, les tentatives de connexion sont évaluées en temps réel afin d'identifier les activités suspectes et d'appliquer des étapes d'authentification plus strictes si nécessaire. Si une tentative de connexion est trop inhabituelle et que l'utilisateur ne fournit pas l'authentification requise, l'accès sera entièrement bloqué, protégeant ainsi les données sensibles des utilisateurs non autorisés.
Meilleure expérience utilisateur
Lorsqu'un utilisateur est identifié comme présentant un risque faible en se connectant à partir d'un lieu ou d'un appareil familier, il sera confronté à moins d'invites sur la MFA. Cette expérience de connexion accélérée permet aux utilisateurs de confiance d'accéder plus rapidement à leurs comptes sans avoir à vérifier inutilement leur identité. En n'exigeant une authentification plus forte que lorsque cela est nécessaire, la MFA adaptative offre une expérience de connexion moins frustrante sans mettre en péril la sécurité.
Réduction des coûts de fonctionnement
Avec moins d'invites d'authentification inutiles, les utilisateurs sont moins susceptibles d'oublier leurs identifiants, ce qui réduit le nombre de tickets d'assistance informatique. La MFA adaptative aide les organisations à gagner du temps et de l'argent en minimisant les demandes de réinitialisation de mot de passe et en réduisant le nombre de blocages de comptes dus à des processus d'authentification forte.
Comment mettre en œuvre des mesures de la MFA adaptative
Voici les principales étapes d'une mise en œuvre réussie de la MFA adaptative dans votre organisation :
- Évaluer les besoins de l'entreprise : déterminez où la MFA adaptative est le plus nécessaire en fonction des exigences de sécurité de votre organisation, du rôle de l'utilisateur et des niveaux d'accès. Donnez la priorité aux systèmes qui traitent des données sensibles, qui ont les comptes privilégiés ou qui sont plus susceptibles d'être la cible de cyberattaques.
- Choisir un fournisseur : sélectionnez un fournisseur de MFA adaptative de confiance qui répond à vos exigences en matière d'infrastructure et de sécurité. Parmi les choix les plus populaires, citons Microsoft Entra ID et DUO Security.
- Définir des politiques de risque contextuelles : définissez des règles claires pour classer les tentatives de connexion dans les catégories de risque faible, moyen ou élevé. Identifiez les facteurs contextuels (adresse IP, appareil, comportement, etc.) qui devraient déclencher des exigences supplémentaires en matière d'authentification.
- Intégrer les systèmes existants : assurez-vous que la solution que vous choisissez est compatible avec votre environnement informatique actuel, y compris les plateformes d'authentification unique (SSO), les fournisseurs d'identité (IdP) et les réseaux privés virtuels (VPN).
- Lancer un projet pilote : testez votre configuration MFA adaptative avec un petit groupe d'utilisateurs avant de la déployer dans le reste de votre organisation. Observez le fonctionnement du système d'évaluation des risques et vérifiez que les étapes d'authentification appropriées sont appliquées en fonction du contexte.
- Éduquer les utilisateurs : expliquez pourquoi la MFA adaptative est mis en œuvre et quels en sont les avantages pour tous les employés. Il est important de préparer les utilisateurs à tout changement susceptible d'intervenir au cours de leur expérience de connexion afin d'éviter toute frustration ou interruption inutile.
- Surveiller et optimiser : examinez régulièrement le journal d'audit pour voir si les politiques doivent être mises à jour en fonction du comportement des utilisateurs. Utilisez les données pour ajuster les déclencheurs et améliorer la précision des niveaux de risque.
