Gestion Intégrée des Risques
La gestion intégrée des risques correspond à l’ensemble des pratiques qui vise à améliorer la performance d’une organisation et la prise de décision grâce à une vision holistique des risques.
Identity and Access Management
L'IAM ou Gestion de l’identité et des accès consiste à attribuer les accès aux données et systèmes appropriés dans les délais nécessaires pour garantir l’activité et ce de façon sécurisée.
Services de cybersécurité & sécurité des applications
Le volume de données critiques transitant au sein du système d’information est en constante augmentation, source d’opportunités pour les cybers criminels. Nous vous aidons à détecter et à vous prémunir contre ces attaques par un par un renforcement de la sécurité de vos systèmes.
À propos de Turnkey
Un groupe d'individus passionnés ayant pour objectif commun d'aider les principales entreprises du monde à adopter les meilleures pratiques de sécurité et de gestion des risques.
Partenaires
Le réseau de partenaires stratégiques de Turnkey est composé d'organisations sélectionnées qui complètent nos propres capacités, nous permettant de relever tous les défis liés à la sécurité SAP, au GRC (Gestion des Risques et de la Conformité) ou à l'identité.
Responsabilité Sociale de l'Entreprise
Nous sommes déterminés à être des acteurs du changement grâce à notre Plan d'Action pour le Climat, en promouvant la diversité dans nos lieux de travail, et plus encore.
Contactez-nous
Nous délivrons nos services dans le monde entier. Découvrez quel bureau est le plus proche de vous et entrez en contact avec eux.
Carrières
Turnkey rassemble les esprits les plus brillants pour assurer la protection des plus grandes entreprises. Si vous êtes passionné par les défis et que vous osez bousculer le statu quo, vous allez adorer vivre cette expérience unique au sein de notre équipe.
Webinaires & livre blanc
Retrouvez en accès libre sur cette base documentaire, l’ensemble de nos webinars, guides, présentations et autres contributions autour de la sécurité IT.
Blogs
Lisez les derniers articles de nos experts sur la GRC et la gestion des risques.
Les évènements
Nous participons régulièrement ou sommes invités à prendre la parole dans des évènements spécialisés autour de la gestion des risques et de la sécurité. Retrouvez nos prochaines interventions et n’hésitez pas à nous rejoindre.
Nos succès
Chez Turnkey, nous mettons au cœur de notre culture d’entreprise la satisfaction client, en cherchant à dépasser chaque fois que possible les attentes.
26 juin 2024

Gestion de la perte du facteur MFA (Multi-Factor Authentication)

Problématique :

L’authentification multi-facteurs (MFA) étant un bon moyen de prévenir les attaques informatiques qui reposent sur le vol de mots de passe, il n’est pas étonnant que son usage se répande au sein des entreprises dès lors qu’il s’agit pour les utilisateurs d’accéder à des données sensibles. Parmi les facteurs, qu’on appelle aussi méthodes, les plus sûrs et les plus utilisés, l’application mobile est très prisée, quel que soit le vendeur (Microsoft, Okta, Ping, Google, etc.). Cependant, lors du déploiement du MFA chez nos clients, une question revient régulièrement au moment de la conception des cas d’usage : comment un utilisateur qui a perdu son téléphone peut-il accéder de manière sécurisée à une application protégée par le MFA ?

De manière simple :

Comme à chaque fois qu’un nouveau produit est déployé au sein d’un environnement informatique, il n’existe pas une unique manière de procéder et plusieurs réponses peuvent être proposées à la question posée ci-dessus. En effet, selon les exigences en termes de sécurité et d’expérience utilisateur, différents scénarios sont envisageables :

  1. Une première réponse serait de demander à l’utilisateur d’enrôler un deuxième facteur (généralement l’OTP par e-mail, un hard token, FIDO2) en prévoyance de la perte du premier. Plus d’autonomie serait donné à l’utilisateur qui n’aurait pas besoin de contacter le Help desk. Toutefois, cela n’est toujours pas possible :

    1. D’abord l’OTP par e-mail est aujourd’hui considéré comme trop peu sécurisé. D’autre part, certaines entreprises protègent l’accès à la boîte mail de leurs collaborateurs par du MFA, ce qui aboutirait à une situation similaire à un serpent qui se mord la queue.

    2. Demander à tous les utilisateurs d’utiliser un hard token telle une Yubikey engendrerait un coût bien trop élevé.

    3. Le recours à la biométrie via le protocole FIDO2 (Windows Hello par exemple) n’est pas toujours possible. Généralement, cela est dû à une limitation technologique imposée par les postes de travail qui ne supportent pas tous ce protocole ou bien le refus des utilisateurs d’enregistrer leurs données biométriques sur un appareil professionnel qu’ils ne maitrisent pas.

  2. Un autre moyen que proposent nativement certaines solutions comme PingOne est de permettre à l’utilisateur de contourner le MFA pendant un certain temps. Une fois que l’utilisateur aura en sa possession un nouveau smartphone, il sera capable de désapparier lui-même l’appareil perdu afin d’enrôler l’autre et pourra indiquer au Help desk de réactiver le MFA. L’expérience utilisateur est privilégiée au détriment de la sécurité des accès (puisque le MFA est désactivé pour l’ensemble des applications auxquelles l’utilisateur tente d’accéder). De plus cette fonctionnalité requiert de solliciter le Help desk à deux reprises, Help desk auquel une nouvelle responsabilité échoit : celle de tracer les utilisateurs qui bénéficient de la désactivation du MFA afin d’éviter que ceux-ci n’aient plus du tout à valider l’authentification multi-facteurs même après avoir enrôlé un nouvel appareil.

  3. La meilleure méthode reste peut-être de demander à l’utilisateur de contacter le Help desk pour que celui-ci désapparie l’appareil perdu, permettant au premier d’enrôler son nouvel appareil, s’il en a un à sa disposition, lors d’une prochaine connexion mais là encore, le Help desk est sollicité.

Dans les réponses mentionnées plus haut et qui impliquent le Help desk se pose aussi la question de vérifier l’identité de la personne qui contacte l’assistance. Il n’est pas bien difficile d’imaginer un scénario dans lequel un individu malveillant se fait passer pour un collaborateur ayant perdu son facteur MFA afin qu’il puisse par la suite enrôler son propre appareil. Cette situation devient encore plus dangereuse dans le cas où le système d’authentification principal de l’entreprise ne repose plus sur le mot de passe mais uniquement la validation du MFA (Passwordless).

L’arrivée de PingOne DaVinci + PingOne Verify :

Pour pallier ces multiples lacunes, Ping Identity met à disposition de nouveaux outils qui permettent notamment d’automatiser ce processus de recouvrement d’accès, rendant l’expérience utilisateur plus agréable tout en garantissant un haut niveau de sécurité.

Le premier est PingOne DaVinci, une solution d’orchestration qui permet de créer facilement des parcours d’authentification en utilisant des connecteurs qui embarquent des fonctions préconstruites. Ces connecteurs, placés les uns à la suite des autres et liés entre eux via un système de « drag & drop » peuvent aboutir à des parcours d’authentification variés sans avoir recours, ou sinon très rarement, à du code.

Cet outil peut être combiné avec PingOne Verify, un service Cloud capable, entre autres, d’effectuer une reconnaissance faciale depuis un document d’identité ou bien un selfie pris en direct.

Supposons à présent un scénario fictif avec les conditions suivantes :

  • L’utilisateur a perdu son unique moyen de valider le MFA qui était son application mobile PingID. Il ne peut plus accéder aux applications protégées.

  • L’utilisateur a pu acheter un nouveau smartphone mais celui-ci n’est pas encore enregistré.

  • L’utilisateur ne peut pas accéder à la page de gestion des appareils, et donc enrôler son nouvel appareil, car cette page nécessite la validation du MFA.

  • On ne souhaite pas impliquer le Help desk dans ce scénario.

Notre flow DaVinci s’organisera en deux grandes étapes : d’abord, vérifier l’identité de l’utilisateur à l’aide de PingOne Verify puis, dans un second temps, désapparier le smartphone perdu de l’utilisateur et commencer le processus d'enrôlement du nouvel appareil.

Voici un aperçu plus détaillé du cheminement étape par étape qui pourrait être configuré :

  1. Depuis son poste de travail, l’utilisateur se connecte à une URL PingOne dédiée à la gestion de la perte des facteurs

  2. L’utilisateur s’authentifie à l’aide de son nom d’utilisateur et de son mot de passe

  3. Un QR code apparaît sur le poste de travail de l’utilisateur et celui-ci le scan avec son nouveau téléphone

  4. Sur ce téléphone, le navigateur s’ouvre et demande à l’utilisateur de prendre un selfie en direct

  5. Une fois le selfie récupéré par PingOne Verify, celui-ci le compare avec une photo pré-enregistrée de l’utilisateur

  6. S’il y a correspondance, DaVinci désapparie automatiquement le smartphone de l’utilisateur

  7. L’utilisateur est ensuite invité à enrôler son nouvel appareil

  8. Enfin, l’utilisateur peut accéder aux applications que protège le MFA

D’un point de vue business, la combinaison de ces deux outils octroie aux entreprises la possibilité de délester les Help desks, souvent surchargés par des requêtes similaires de perte de facteurs, et donne plus d’autonomie aux utilisateurs en plus de leur permettre de ne pas marquer d’interruption dans leur travail. Sur le plan de la sécurité, les exigences en termes d’authentification multi-facteur sont conservées.