AUTHENTIFICATION

MULTIFACTEUR : LES
MEILLEURES PRATIQUES POUR
SÉCURISER L’ENTREPRISE
NUMÉRIQUE MODERNE
Des mots de passe et de l’authentification classique à deux
facteurs vers une MFA contextuelle pour plus d’économies,
de convivialité et de sécurité

LIVRE BLANC
SOMMAIRE

03 RÉSUMÉ

04 TOUR D’HORIZON DE L’AUTHENTIFICATION

07 CHOISIR LES BONS MÉCANISMES DE MFA RENFORCÉE

07 APPLIQUER UN MODÈLE DE MFA RENFORCÉE BASÉ SUR LE RISQUE

09 MEILLEURES PRATIQUES EN MATIÈRE DE MFA RENFORCÉE

14 CONCLUSION

2
LIVRE BLANC Authentification multifacteur : les meilleures pratiques pour sécuriser l’entreprise numérique moderne
RÉSUMÉ
L’utilisation frauduleuse d’identifiants constitue toujours un risque de faille majeur dans les entreprises. Rien d’étonnant quand on connaît le
nombre de structures qui se contentent encore des mots de passe comme seul facteur d’authentification de leurs utilisateurs. Certaines auront
adopté l’authentification à deux facteurs classique (2FA), mais le recours à des jetons matériels détériore l’expérience utilisateur et nuit à son
adoption, sans compter qu’elle coûte très cher. Un modèle d’authentification plus sécurisé, plus convivial et plus rentable s’impose. Ce document
fait le point sur l’authentification multifacteur renforcée et vous dit pourquoi elle est préférable aux autres méthodes.

L’authentification multifacteur (MFA) renforcée est un modèle d’authentification dynamique, où l’utilisateur – qu’il s’agisse d’un client ou d’un
employé – doit se soumettre, le cas échéant, à des étapes d’authentification supplémentaires, selon la politique définie. Exemples types de MFA
renforcée :

• Un client s’est connecté à un site bancaire via son mot de passe et souhaite maintenant transférer de l’argent. L’application mobile
de la banque envoie une notification push sur l’appareil précédemment considéré comme fiable du client afin de fournir l’assurance
supplémentaire requise.

• Une cadre, qui essaie d’acheter un cadeau pour son enfant alors qu’elle est en déplacement en Afrique, doit s’authentifier sur son iPhone
avec son empreinte digitale pour autoriser la transaction.

• Un parent d’adolescent reçoit une notification lui demandant d’approuver une nouvelle chaîne qui a été ajoutée au bouquet de télévision
par câble de la famille.

• Une cliente qui vient de s’inscrire sur un site d’e-commerce depuis son iPad à domicile n’est soumise à aucune étape d’authentification
visible jusqu’à ce qu’elle doive modifier ses paramètres.

• Un employé tente d’accéder à une application SaaS native depuis son bureau. Comme il est sur le réseau de l’entreprise, il n’a aucune
démarche d’authentification supplémentaire à effectuer.

• Une cliente souhaite relier un thermostat intelligent qu’elle vient d’acheter au compte de sa plateforme domotique. Alors qu’elle utilise
une application sur son téléphone Android pour configurer les données d’identification sur le thermostat, elle reçoit une notification lui
indiquant que le thermostat est en cours d’installation et qu’elle doit approuver cette opération sensible.

Ce livre blanc répertorie les meilleures pratiques en matière de MFA renforcée pour tous les types de déploiement, privés ou professionnels. Il
examine l’approche basée sur le risque qui associe l’authentification renforcée dynamique à des mécanismes contextuels passifs, tels que la
géolocalisation et l’heure de la journée. L’approche basée sur le risque permet une évaluation globale des utilisateurs, de leur environnement
informatique et de la nature de l’opération qu’ils veulent effectuer, dans le but d’appliquer le degré d’authentification et d’autorisation adapté.

Quelques avantages de l’approche de MFA renforcée basée sur le risque :

• Elle offre une expérience utilisateur optimale en exigeant le niveau minimum d’authentification acceptable pour une opération donnée.

• Si les mécanismes d’assurance de niveau supérieur ont un coût par utilisation, les modèles basés sur le risque sont économiques dans
la mesure où les options chères ne sont utilisées qu’en cas de nécessité.

• Elle améliore la détection des fraudes par rapport aux règles binaires classiques.

• Elle crée une architecture flexible et durable, capable de s’adapter aux nouvelles technologies et types de données.

Ce livre blanc vous apprend :

• Tout ce qu’il faut savoir sur l’authentification, de la terminologie aux mécanismes, en passant par les signaux.

• Comment choisir les bons mécanismes de MFA pour votre environnement.

• Comment appliquer un modèle de MFA renforcée basé sur le risque.

• Les meilleures pratiques en matière de MFA renforcée : analyse du risque, choix des facteurs d’authentification, confidentialité,
verrouillage, inscription, consentement des utilisateurs, suspension, contournement, self-service, applications natives, première
authentification et différents points de contact/canaux.

3
LIVRE BLANC Authentification multifacteur : les meilleures pratiques pour sécuriser l’entreprise numérique moderne
TOUR D’HORIZON DE L’AUTHENTIFICATION
On a coutume de classer les mécanismes d’authentification selon qu’ils sont :
1. Quelque chose que vous connaissez (par exemple un mot de passe ou un code PIN).
2. Quelque chose que vous possédez (par exemple un appareil mobile ou un jeton).
3. Quelque chose que vous êtes (par exemple une empreinte digitale ou autres données biométriques).

En théorie, l’authentification multifacteur (MFA) va au-delà de l’authentification à

deux facteurs (2FA) dans la mesure où elle exige d’un utilisateur qu’il s’authentifie par
JE SAIS deux facteurs ou plus (par ex. un « quelque chose que vous connaissez » associé à
Mots de passe, PIN, un « quelque chose que vous possédez »), comme illustré à la figure 1. En pratique,
auth. par connaissance
toutefois, on peut aussi combiner plusieurs facteurs d’un même type, pour autant que la
compromission d’un facteur n’entraîne pas la compromission de l’autre.
MFA MFA
MFA En général, la combinaison de plusieurs facteurs d’authentification se traduit par un
J’AI JE SUIS niveau d’assurance (LoA) supérieur que l’individu qui tente de s’authentifier est réellement
Bracelet,
Empreinte digitale, l’individu en question. Parce que même si l’un des facteurs a été compromis, les risques
porte-clé électronique,
tél. mobile MFA rétine, voix, visage
que l’autre facteur le soit aussi sont faibles.

Figure 1 : la MFA oblige les utilisateurs à
s’identifier par le biais de deux catégories
d’authentification ou plus.
Les mécanismes d’authentification peuvent également être distingués selon qu’ils utilisent
le même canal emprunté par l’utilisateur pour accéder à l’application ou un canal séparé,
dédié à l’authentification.
Avant d’examiner les mécanismes d'authentification dans le détail, commençons par
définir la terminologie que nous emploierons tout au long de ce livre blanc.

TERMINOLOGIE D’AUTHENTIFICATION
Dans le monde de l’authentification, on manipule de nombreux termes (parfois contradictoires) pour décrire les modèles d’authentification. Ce livre
blanc repose sur les définitions suivantes :

• Authentification : procédure permettant de vérifier qu’une identité revendiquée est authentique et repose sur des identifiants corrects.

• Identifiant : information accessible par l’utilisateur (qu’il « a » ou qu’il « connaît »), utilisée dans un protocole d’authentification. Avant de
pouvoir servir à l’authentification de l’utilisateur, elle doit avoir été associée ou reliée à cet utilisateur.

• Identification : procédure par laquelle les informations relatives à une personne sont rassemblées et utilisées pour fournir un certain
niveau d’assurance que la personne est bien celle qu’elle prétend être.

• Vérification d’identité : étape faisant partie de la procédure d’inscription, qui permet de vérifier l’identité d’un client avant qu’il ne reçoive
un compte et des identifiants.

• Niveau d’assurance (LoA, pour Level of Assurance) : indique le degré de certitude qu’un individu est bien celui qu’il prétend être lorsqu’il
doit saisir des identifiants numériques. Le LoA est déterminé par la qualité de la phase de contrôle, de vérification et d’accréditation
de l’identité, ainsi que par la qualité de la procédure d’authentification en elle-même, c’est-à-dire la qualité/le type d’identifiant utilisé et
la robustesse du mécanisme d’authentification. Les modèles de LoA définissent habituellement environ quatre catégories différentes,
chacune avec des exigences spécifiques concernant la vérification d’identité et les éléments du/des mécanisme(s) d’authentification.

• Authentification multifacteur (MFA) : indique l’utilisation de deux identifiants ou plus pour l’authentification de l’utilisateur.
Généralement, le recours à plusieurs facteurs/identifiants entraîne un LoA supérieur concernant l’utilisateur. L’authentification à deux
facteurs (2FA) est un exemple de MFA qui fait appel à deux identifiants différents.

• Inscription : procédure au cours de laquelle l’utilisateur est relié à ses identifiants et données d’identité, et où un identifiant est attribué à
l’utilisateur.

4
LIVRE BLANC Authentification multifacteur : les meilleures pratiques pour sécuriser l’entreprise numérique moderne
MÉCANISMES D’AUTHENTIFICATION
Penchons-nous à présent sur les différents mécanismes d’authentification qui peuvent constituer une architecture de MFA renforcée. Certains
mécanismes d’authentification exigent une opération explicite de la part de l’utilisateur, d’autres se contentent d’une collecte passive (plus conviviale).

MOTS DE PASSE
Un mot de passe est un secret partagé, connu de l’utilisateur et présenté par ce dernier au serveur pour s’authentifier. À l’heure actuelle, les mots de passe
sont le mécanisme d’authentification par défaut sur le Web. Pourtant, à eux seuls, ils ne constituent pas une solution acceptable du fait de leur manque de
convivialité ainsi que de leur vulnérabilité aux failles à grande échelle et aux attaques de phishing.

JETONS MATÉRIELS
Ce sont de petits équipements matériels que le détenteur porte sur lui pour autoriser l’accès à un service du réseau. L’appareil peut avoir la forme d’une
carte à puce ou être intégré à un objet facile à transporter comme un porte-clé ou une clé USB. L’appareil contient lui-même un algorithme (une horloge ou
un compteur), ainsi qu’un enregistrement seed utilisé pour calculer le nombre pseudo-aléatoire que les utilisateurs doivent saisir pour prouver qu’ils ont
le jeton. Le serveur qui authentifie l’utilisateur doit aussi avoir une copie de chaque enregistrement seed de l’appareil, de l’algorithme utilisé et de l’heure
exacte.

Une nouvelle forme de jetons matériels a vu le jour. De petits jetons sont insérés dans l’emplacement USB de l’ordinateur. Lorsque l’utilisateur a besoin de
s’authentifier, il appuie sur une touche de l’appareil, ce qui génère un mot de passe à usage unique (OTP) et l’envoie au serveur comme si l’utilisateur l’avait
entré lui-même.

JETONS LOGICIELS
Il s’agit d’applications de jetons de sécurité de base logicielle, fonctionnant généralement sur un smartphone, qui génèrent un OTP de connexion. Les
jetons logiciels présentent de grands avantages par rapport aux jetons matériels. Les utilisateurs risquent moins d’oublier leur smartphone chez eux que
de perdre un jeton matériel servant uniquement pour les mots de passe. S’ils perdent leur téléphone, les utilisateurs auront plus tendance à signaler la
perte et le jeton logiciel sera désactivé. Les jetons logiciels sont également plus faciles à distribuer et moins chers que les jetons matériels, qui doivent
être livrés.

AUTHENTIFICATION MOBILE
Les jetons logiciels se servent de la capacité des téléphones mobiles à générer des mots de passe à usage unique et profitent, le cas échéant, de leur
réseau de communication. Un utilisateur peut prouver qu’il est en possession de son téléphone (qui aura été associé à cet utilisateur) en recevant un
message envoyé à cet appareil. Un OTP peut être envoyé par SMS (pour être ensuite saisi par l’utilisateur sur un écran d’inscription). Une application peut
aussi recevoir une demande d’authentification par le biais des services de notification du système d’exploitation mobile. Ou encore, le téléphone peut
recevoir un appel. Une application mobile fournit des éléments de contexte utiles, permettant d’expliquer à l’utilisateur pourquoi il doit s’authentifier et ce
qu’il peut autoriser implicitement ou explicitement. Il y a une grande différence entre « vous connecter à votre compte » et « vider votre compte ».

Si l’option de mot de passe à usage unique par SMS présente l’avantage de ne pas nécessiter de smartphone moderne prenant en charge les applications
mobiles, elle a aussi de nombreux inconvénients :

• Le National Institute of Standards and Technology (NIST) considère les SMS comme un deuxième facteur moins sûr qu’on ne
le pensait.

• Ils n’ont jamais été conçus dans une optique de sécurité.

• Ils s’appuient sur les pratiques des opérateurs en matière de portage de numéro, entre autres.

• Ils ne protègent pas contre le phishing, même si les agresseurs doivent agir en temps réel.

• Ils n’offrent pas la garantie de livraison nécessaire en matière d’authentification. Un retard de quelques minutes peut, de fait,
entraîner le verrouillage du compte d’un client.

AUTHENTIFICATION BIOMÉTRIQUE
L’authentification biométrique s’appuie sur différentes technologies, parmi lesquelles les scans de la rétine, de l’iris, de l’empreinte digitale ou des veines
du doigt, la reconnaissance faciale et vocale, ou encore la géométrie de la main voire du lobe de l’oreille. Les appareils mobiles peuvent permettre
l’utilisation de la méthode privilégiée, le modèle biométrique pouvant être enregistré sur l’appareil lui-même au lieu d’un serveur. Les téléphones les plus
récents intègrent d’ores et déjà la biométrie, à l’instar du TouchID sur l’iPhone. Les facteurs biométriques peuvent exiger une action explicite de la part de
l’utilisateur (par ex. faire glisser un doigt) ou être implicites (par ex. analyser la voix de l’utilisateur alors qu’il est en communication avec l’assistance).

5
LIVRE BLANC Authentification multifacteur : les meilleures pratiques pour sécuriser l’entreprise numérique moderne
L’Alliance FIDO définit une architecture standardisée permettant de transmettre l’authentification locale d’un utilisateur sur un appareil (ordinateur
portable, téléphone, etc.) à un serveur. Lorsque l’authentification locale est biométrique (par ex. le scan de l’empreinte digitale par un capteur de
téléphone ou la reconnaissance faciale), l’avantage de la technologie FIDO est que le modèle biométrique n’a pas besoin d’être enregistré sur le
serveur, ce qui présenterait des risques de confidentialité.

IDENTIFICATION D’APPAREIL
L’identification d’appareil est une procédure selon laquelle une empreinte digitale plus ou moins unique est créée pour l’appareil en question.
Petit à petit, cette empreinte permet au serveur d’authentification de reconnaître l’appareil et de voir quand l’utilisateur qui lui est associé tente
de s’authentifier depuis un autre appareil, ce qui pourrait être un signe d’activité frauduleuse. Les solutions d’identification d’appareil créent une
empreinte digitale sur la base de caractéristiques telles que la géolocalisation, la version du système d’exploitation, le navigateur ou d’autres
données spécifiques à l’appareil. Le mécanisme le plus simple d’identification d’appareil est un cookie à long terme, installé dans le navigateur
mobile par le serveur d’authentification. Les applications d’identification d’appareil sont les plus indiquées pour les entreprises qui comptent un
grand nombre d’utilisateurs devant accéder à des informations sensibles depuis Internet.

AUTHENTIFICATION CONTEXTUELLE
Cette procédure utilise des informations contextuelles – géolocalisation, adresse IP, heure de la journée ou identifiants d’appareil – pour
déterminer le caractère authentique ou non d’une identité. Habituellement, le contexte actuel d’un utilisateur est comparé à un contexte enregistré
précédemment en vue de pointer les incohérences et d’identifier une éventuelle fraude. Ces contrôles sont invisibles aux yeux de l’utilisateur
autorisé, qui n’est donc pas dérangé dans son activité, mais ils peuvent constituer une barrière efficace en cas d’attaque. Visa, par exemple,
s’appuie sur des mécanismes mobiles de confirmation du lieu qui déterminent l’emplacement du téléphone mobile d’un utilisateur afin de vérifier
que celui-ci se trouve effectivement près du lieu où la carte de crédit est utilisée. Les risques de transaction frauduleuse sont plus importants si
l’opération se déroule en un lieu qui n’est pas celui du téléphone. Il s’agit là d’un exemple d’utilisation du contexte du canal applicatif, et non du
contexte d’un canal d’authentification spécifique, pour identifier une fraude potentielle.

Il existe beaucoup d’autres mécanismes d’authentification, dont les certificats X.509, qui conviennent davantage au monde de l’entreprise qu’aux
clients, compte tenu des difficultés de déploiement et d’implémentation qu’ils comportent.

SIGNAUX D’AUTHENTIFICATION
L’authentification contextuelle suppose la collecte passive (en théorie) de toute une série de signaux concernant les utilisateurs et leur contexte.
Ces signaux d’authentification peuvent être l’endroit où ils se trouvent (physiquement et sur un réseau), leur environnement informatique et les
ressources auxquelles ils tentent d’accéder.

Les signaux peuvent être collectés par :

• Les pages Web sur lesquelles ils s’authentifient.

• Les appareils mobiles utilisés pour la MFA.

• Tout autre matériel sur le réseau.

• Des applications (ou les passerelles en amont).

• D'autres capteurs à proximité de l’utilisateur (appareils portatifs ou montres connectées, par ex.).

Une fois collectés et agrégés, ces signaux peuvent être analysés par l’infrastructure de risques et de politiques à la recherche de schémas
anormaux, susceptibles d’indiquer une attaque ou un comportement frauduleux. Cette analyse peut être :

• Contextuelle : comparaison de la valeur d’un signal donné par rapport à une liste prédéfinie de valeurs autorisées ou rejetées (par ex. le
refus de connexion pour toute adresse IP provenant d’Ouzbékistan).

• Comportementale : comparaison de la valeur d’un signal donné à la valeur attendue, en fonction d’un schéma préétabli (par ex., un
employé voyage souvent en Ouzbékistan pour affaires, en toute légitimité, et est donc autorisé à se connecter par MFA, tandis que les
autres employés n’ont pas le droit de se connecter depuis l’Ouzbékistan).

• Corrélative : comparaison de la valeur d’un signal donné à une autre valeur de signal collectée et recherche des incohérences entre les
deux (par ex., d’après l’adresse IP de son ordinateur portable, un employé se trouve aux États-Unis, mais selon son téléphone mobile, il
est au Canada).

6
LIVRE BLANC Authentification multifacteur : les meilleures pratiques pour sécuriser l’entreprise numérique moderne
CHOISIR LES BONS MÉCANISMES
DE MFA RENFORCÉE
Comment choisir le bon mécanisme de MFA renforcée pour votre environnement ? Il vous faudra pour cela tenir compte des variables suivantes :

• Atouts : combien de faux positifs ? Combien de faux négatifs ?

• Avantages pour le service informatique : la méthode d’authentification est-elle facile à déployer ? Demandera-t-elle des ressources
supplémentaires ? Peut-elle fonctionner sur différents canaux (en ligne, téléphone, etc.) ?

• Avantages pour les utilisateurs : la méthode d’authentification est-elle facile à utiliser ? Les utilisateurs finaux accepteront-ils la nouvelle
procédure ? Peut-on partir du principe que les utilisateurs possèdent un appareil prenant en charge un certain mécanisme ? Fera-t-il
peser une charge excessive sur les utilisateurs ? Les utilisateurs devront-ils s’inquiéter de la confidentialité de leurs données ?

• Avantages sectoriels : une méthode d’authentification présente-t-elle des aspects qui la rendent plus adaptée pour certains secteurs
ou domaines fonctionnels ? Si, par exemple, des employés doivent porter des gants pour leur travail, la biométrie ne sera pas le meilleur
choix.

• Coût d’achat initial : y a-t-il un coût par utilisateur qui augmentera à chaque nouvel ajout ? Quel est le coût de remplacement, tant pour
l’appareil que pour la charge administrative associée ?

• Coût de déploiement : quels sont les coûts associés au déploiement du mécanisme d’authentification ? Nécessite-t-il l’acquisition de
matériel ou d’un logiciel client ? Si tel est le cas, comment se passe la distribution aux clients et quels sont les coûts associés ?

APPLIQUER UN MODÈLE DE MFA

RENFORCÉE BASÉ SUR LE RISQUE
Une authentification renforcée basée sur le risque présuppose l’évaluation dynamique du risque lié à une opération donnée en fonction des
éléments suivants :

• Le statut actuel d’authentification de l’utilisateur.

• Le risque associé à la ressource en question.

• Le contexte de la requête ; le cas échéant, l’utilisateur peut être prié de s’authentifier avec un facteur supplémentaire si le résultat du
calcul est en dessous du seuil.

Selon ce modèle, l’authentification renforcée est habituellement déclenchée par un contexte ou un comportement atypique et anormal (par ex. une
connexion en provenance d’Ouzbékistan ou une tentative de transaction de plus de 100 000 dollars).

Comme illustré à la figure 2 sur la page suivante, un utilisateur doit, pour être autorisé à accéder à certaines ressources, s’authentifier avec un
facteur donné – un mot de passe par exemple. Au moment de l’authentification, le système collecte également des signaux d’authentification et
les contrôle. C’est seulement si ces contrôles détectent quelque chose d’inattendu ou d’anormal que l’utilisateur est prié de s’authentifier avec le
deuxième facteur avant d’obtenir l’accès désiré.

7
LIVRE BLANC Authentification multifacteur : les meilleures pratiques pour sécuriser l’entreprise numérique moderne
 DEMANDE D’ACCÈS

OUI NON Authentification

1er facteur OK ? Contexte OK ?
avec 2ème facteur

NON OUI

Demande Demande OUI

2ème facteur OK ?
refusée approuvée

NON

Figure 2 : la MFA renforcée basée sur le risque est déclenchée par un contexte ou un comportement
atypique et anormal. Lorsque le contexte déterminé par le premier facteur d’authentification indique quelque
chose d’inattendu, un deuxième facteur d’authentification est demandé avant d’autoriser l’accès.

Un des avantages majeurs de la MFA renforcée basée sur le risque réside dans le confort d’utilisation accru. L’utilisateur ne doit fournir un
facteur d’authentification supplémentaire que si cela est nécessaire, d’après les contrôles contextuels passifs et non par défaut.

La figure 3 montre des copies d’écran d’une application mobile bancaire utilisant une forme de MFA renforcée. Certains éléments de
l’application, comme les numéros de téléphone des agences, sont accessibles même aux utilisateurs non authentifiés. Mais lorsqu’un
utilisateur tente d’accéder à un élément plus sensible, comme un transfert d’argent, il doit s’authentifier.

Figure 3 : seuls les aspects sensibles d’une application bancaire, comme le transfert d’argent, déclenchent la MFA avec un
modèle de renforcement basé sur le risque

Notez qu’une banque britannique a rejeté le modèle d’authentification renforcé. À la place, elle a choisi d’authentifier ses clients avec le
mécanisme LoA le plus élevé possible au début de leur session, indépendamment de l’opération prévue. La banque pensait que demander une
authentification renforcée plus tard, uniquement suite à un changement dans le profil de risque, pourrait troubler ses clients. Elle a donc préféré
opter pour un modèle plus simple.

8
LIVRE BLANC Authentification multifacteur : les meilleures pratiques pour sécuriser l’entreprise numérique moderne
MEILLEURES PRATIQUES D’AUTHENTIFICATION
MULTIFACTEUR RENFORCÉE
Ping Identity a compilé les meilleures pratiques suivantes en matière de MFA renforcée à partir des tendances du marché, d’entretiens avec des
clients qui l’ont mise en place et de sa propre expérience et analyse.

ANALYSE DU RISQUE
Un modèle d’authentification basé sur le risque suppose la détermination préalable du risque associé à différentes ressources et opérations d’une
application. Le mémorandum M-04-04 du United States Office of Management and Budget (OMB) intitulé « E-Authentication Guidance for Federal
Agencies », définit un modèle d’évaluation du risque qui peut être applicable à l’espace grand public :

Le risque découlant d’une erreur d’authentification dépend de deux facteurs :

1. Le risque de préjudice ou d’impact potentiel

2. La probabilité d’un tel préjudice ou impact

Il existe diverses catégories de préjudice et d’impact, notamment :

• Désagrément, difficultés, perte de crédit ou de réputation

• Perte financière ou engagement de la responsabilité publique

• Préjudice à l’égard de programmes gouvernementaux ou d’intérêts publics

• Publication non autorisée d’informations sensibles

• Sécurité personnelle

• Infractions civiles ou pénales

L’évaluation du risque doit être effectuée par les équipes de marketing, sécurité et conformité, qui doivent s’entendre sur le niveau de risque qu’elles
sont prêtes à accepter. Une fois que les ressources ont été ainsi classifiées, on peut déterminer le niveau d’assurance (LoA) requis pour chaque
catégorie de risque. Les facteurs et modèles d’authentification peuvent dès lors être choisis en fonction du niveau d’assurance auquel ils peuvent
satisfaire.

Regardons un exemple d’analyse du risque. Une banque britannique a mis en place un modèle « ce que vous pouvez faire quand... ». Elle a suivi la
logique suivante : « Lorsqu’il s’authentifie avec un ou plusieurs mécanisme(s), un utilisateur peut effectuer les opérations suivantes. » La banque a
attribué des degrés de force (de 0 à 40) aux différents mécanismes d’authentification qu’elle a mis à la disposition de ses clients. Exemple :

• Un lecteur de carte physique associé à un code PIN générant un mot de passe à usage unique (OTP) a obtenu le degré de force 40.

• Une application mobile pouvant générer des OTP le degré 35.

• Un mot de passe se situait au degré 20.

À chaque degré de force correspond une liste d’opérations (consultation du solde, transfert de fonds, etc.) que le client est autorisé à réaliser une
fois authentifié avec le mécanisme en question. Il existe d’autres méthodes d’analyse du risque, mais le critère essentiel est le rattachement de
mécanismes d’authentification possibles à différentes ressources de l’application.

9
LIVRE BLANC Authentification multifacteur : les meilleures pratiques pour sécuriser l’entreprise numérique moderne
CHOIX DES FACTEURS D’AUTHENTIFICATION
On ne peut pas se contenter d’une approche universelle. Un petit groupe d’utilisateurs accédant à des ressources sensibles ne nécessitera pas les
mêmes facteurs d’authentification qu’un groupe plus important accédant à des ressources moins exposées. La troisième partie de ce livre blanc,
« Choisir les bons mécanismes de MFA renforcée » peut vous aider à sélectionner les facteurs d’authentification adéquats.

Les entreprises doivent trouver l’équilibre entre convivialité, coût et sécurité afin d’améliorer l’expérience et éviter la désaffection de leurs
utilisateurs. En termes d’expérience utilisateur, les facteurs d’authentification peuvent varier du tout au tout, d’invasif à totalement imperceptible.
Un modèle basé sur le risque garantit que l’utilisateur est confronté à une authentification explicite uniquement lorsque cela est nécessaire,
l’authentification contextuelle passive étant la règle par défaut.

Une solution de MFA flexible permet de passer facilement d’un mode à l’autre. Par exemple, si un téléphone mobile est hors ligne ou si l’utilisateur
est en itinérance, le recours sera la génération d’un OTP. Vous améliorerez l’adoption parmi les utilisateurs, en particulier les clients, en proposant
plusieurs options de mécanismes renforcés. Certains utilisateurs peuvent ne pas avoir de téléphone pour effectuer les mécanismes mobiles.
D’autres mécanismes n’entreront peut-être pas en ligne de compte pour les utilisateurs handicapés. Enfin, il y a des utilisateurs qui sont
simplement réticents aux nouvelles technologies.

La figure 4 montre le nombre de mécanismes de MFA pris en charge par Google. Ces mécanismes couvrent les différentes préférences et
contraintes associées aux utilisateurs, et servent en outre d’alternative en cas d’indisponibilité du mode principal.

Figure 4 : Google prend en charge une vaste gamme de mécanismes de MFA

principaux et de secours afin de tenir compte des préférences et des contraintes
de ses utilisateurs.

10
LIVRE BLANC Authentification multifacteur : les meilleures pratiques pour sécuriser l’entreprise numérique moderne
 Les jetons matériels offrent davantage de sécurité par rapport aux jetons logiciels mobiles, mais les
coûts associés, supérieurs, et le manque de convivialité les rendent moins attrayants.

Pour une application mobile grand public, il vaut mieux que les fonctionnalités de MFA soient
intégrées à une application native que d’exiger du client qu’il télécharge une application
d’authentification indépendante. Comme illustré à la figure 5, les utilisateurs de l’application
Twitter peuvent activer ce qui est appelé la « validation en deux étapes » depuis l’application. Via
l’application Twitter principale, les utilisateurs doivent approuver certaines opérations – par exemple
une connexion à leur compte depuis un nouvel appareil.

Cela présuppose qu’une solution de MFA basée sur l’application mobile propose un SDK permettant
d’intégrer cette fonctionnalité aux applications métier existantes.

Figure 5 : Twitter intègre des
fonctionnalités MFA à son
application mobile.
CONFIDENTIALITÉ
Différents mécanismes d’authentification nécessitent la collecte de différentes quantités
d’informations utilisateur potentiellement sensibles. Par exemple, un modèle d’OTP par SMS requiert
le numéro de téléphone des utilisateurs. Dès lors que des informations permettant d’identifier une
personne sont collectées, le but de leur utilisation doit être expliqué aux utilisateurs. Les solutions
d’identification d’appareil créent effectivement une empreinte digitale de l’appareil. Si elle est mal
utilisée, cette empreinte peut permettre de suivre un client sur plusieurs applications. Les lois
européennes sur la protection de la vie privée limitent la quantité d’informations qu’il est possible
de collecter sur des utilisateurs. Par conséquent, dans certaines régions, les entreprises doivent
autoriser les clients à refuser des applications d’identification d’appareil.

La protection de la vie privée des utilisateurs implique la mise à disposition de modèles de MFA avec consentement et de diverses options
relatives au mécanisme de MFA. Laisser la flexibilité aux utilisateurs et leur permettre de contrôler leurs informations personnelles est primordial
dans l’espace grand public, mais utile également au niveau entreprise. Habitués à des contrôles accrus de la confidentialité dans leur vie privée,
les employés ne consentent plus passivement à des politiques de sécurité informatique désuètes.

VERROUILLAGE
Lorsque vous bloquez l’accès d’un utilisateur à une application, vous faites inévitablement mauvaise impression. Cela peut avoir un impact
financier négatif, par exemple lorsqu’un client ne peut pas terminer un achat. Cela peut aussi entraîner une perte de productivité ; quand les
applications de travail d’un employé sont verrouillées, il ne peut plus accomplir sa tâche pendant un certain
temps.

Le verrouillage doit rester le dernier recours. Il y a de meilleures options. Par exemple, si un utilisateur entre
plusieurs fois un mot de passe incorrect, une démarche de MFA judicieuse consiste à l’aiguiller vers une
procédure de réinitialisation du mot de passe, plutôt que de lui interdire directement l’accès à l’application.
Par ailleurs, le modèle d’authentification continue rend la nécessité de recourir au verrouillage moins
probable. Plus vous collectez et analysez de signaux d’authentification, moins une valeur atypique (qui
pourrait justifier en soi un verrouillage) pèsera dans la balance.

INSCRIPTION
Un mécanisme d’authentification ne peut être fort que si la procédure d’inscription qui a émis les identifiants
l’est aussi. Une procédure d’inscription rigoureuse qui lie étroitement les identifiants à un seul utilisateur est
obligatoire.

Pour les systèmes reposant sur une application mobile, l’affichage d’un code QR constitue un mécanisme
puissant et utile pour le serveur d’authentification qui a déjà authentifié l’utilisateur avec le premier facteur
(par ex. un mot de passe). La figure 6 montre un exemple de code QR apparaissant lors de la procédure
Figure 6 : l’application mobile PingID
d’inscription à PingID. L’utilisateur se sert de l’application préalablement téléchargée et installée (soit dédiée à utilise un code QR durant la procédure
l’authentification, soit intégrée à une autre application) pour scanner le code QR. Étant donné que le code QR d’enregistrement de l’appareil.
mentionne l’identité du client, l’application est automatiquement liée à ce compte.

11
LIVRE BLANC Authentification multifacteur : les meilleures pratiques pour sécuriser l’entreprise numérique moderne
CONSENTEMENT DE L’UTILISATEUR
Face à la diversité des groupes d’utilisateurs, il peut être difficile d’obliger tous les utilisateurs à se
soumettre à la MFA renforcée. Certains peuvent ne pas avoir de téléphone capable de prendre en
charge l’authentification par application mobile. D’autres seront réticents et mettront du temps à
adopter une nouvelle technologie. La MFA renforcée doit être présentée comme un moyen de protéger
les données clients plutôt que les informations d’une entreprise.

Il est important d’éduquer les clients sur l’intérêt de la MFA. Mais il peut être plus efficace de créer des
incitations au consentement. Certains clients seront éventuellement plus convaincus de consentir à
une MFA renforcée si elle promet des services améliorés. Par exemple, une banque américaine accroît
les limites de transfert quotidiennes et hebdomadaires pour les clients qui adhèrent à son service
de MFA. Google offre un bonus aux utilisateurs qui consentent à la MFA renforcée via un contrôle de
sécurité, comme illustré à la figure 7.

Figure 7 : Google crée

Quant aux entreprises, où la MFA peut être obligatoire, on pourra organiser une transition graduelle, où les des incitations à consentir à la
employés auront la possibilité de différer plusieurs fois ou pour une courte période l’inscription à la MFA. MFA renforcée.

SUSPENSION ET SOLUTIONS DE CONTOURNEMENT

Vous devez instaurer des procédures d’exception sécurisées et rigoureuses et des méthodes d’accès de secours pour les situations courantes
comme l’oubli, la perte ou le vol d’identifiants de MFA.

Pensez à permettre aux utilisateurs de déroger à la MFA renforcée s’ils accèdent à l’application depuis un appareil connu et de confiance, sur lequel
ils ont déjà effectué avec succès l’étape de MFA. Vous pouvez aussi appliquer une approche basée sur le risque à des appareils de confiance , ce
qui vous évitera d’avoir à demander explicitement aux utilisateurs de déroger à la MFA.

Google utilise ce modèle d’appareils de confiance afin de réduire à un

minimum les demandes explicites d’authentification supplémentaire,
comme illustré à la figure 8.

Pour les appareils perdus ou volés, instaurez une procédure permettant aux
utilisateurs d’accéder en toute sécurité à l’application ou de s’inscrire sur un
nouvel appareil. Mécanismes de récupération possibles :

• Envoi d’un e-mail de réinitialisation à l’adresse enregistrée

• Réponses à base de connaissances

• Codes de récupération imprimés (qui supposent que les utilisateurs

les stockent dans des conditions sûres et se souviennent de
Figure 8 : Google utilise le modèle d’appareil de confiance
l’endroit en question)
comme un moyen de contourner la MFA.

Parmi les procédures de récupération non sécurisées, il y a les questions posées

auxquelles ont peut facilement répondre avec quelques recherches sur Google ou
Facebook, par exemple « Où es-tu allé(e) à l’école ? »

SELF-SERVICE
Donner aux utilisateurs la possibilité de gérer eux-mêmes leurs mécanismes de MFA et leurs appareils peut générer d’importants gains d’efficacité.
Les mécanismes de MFA en self-service peuvent être utiles à des moments tels que l’inscription, la récupération et la révocation, et limiter les
besoins en interventions administratives coûteuses. Les mécanismes en self-service peuvent aussi donner aux utilisateurs davantage de contrôle
et de visibilité sur leurs informations d’authentification, ce qui peut améliorer la confidentialité dans son ensemble.

12
LIVRE BLANC Authentification multifacteur : les meilleures pratiques pour sécuriser l’entreprise numérique moderne
APPLICATIONS NATIVES
La meilleure pratique d’authentification des utilisateurs d’applications natives consiste à utiliser OAuth 2.0 ou OpenID Connect 1.0. Lors de la
première installation de l’application native (ou peu après), celle-ci ouvre une fenêtre du navigateur (pas un affichage Web) et charge la page de
connexion sur le serveur correspondant. Après authentification, les jetons sont renvoyés à l’application native pour un usage ultérieur lors d’appels
de l’API concernée.

Au moment où le jeton est émis, le fournisseur peut choisir de renforcer la MFA. Selon la nature de l’application native, des règles peuvent imposer
la MFA dès l’installation et la configuration initiales. L’authentification devant se faire dans une fenêtre de navigateur, et non dans l’interface
utilisateur de l’application, il est possible d’exploiter la même page de connexion (et la même politique et architecture d’authentification renforcée)
mise en place pour une application Web normale.

Par le biais de ce qu’on appelle des « jetons de rafraîchissement », OAuth permet d’assurer une session à long terme pour les applications
natives. Autrement dit, les utilisateurs n’auront pas à se connecter explicitement sur de longues périodes. En cas d’utilisation de tels jetons
de rafraîchissement longue durée, l’ajout de la MFA à la procédure de connexion peut aider à relier plus étroitement l’application native au bon
utilisateur et à limiter ainsi le risque lié aux jetons à longue vie.

Il est également possible de mettre en place un modèle de MFA renforcée pour les applications natives. Lorsque l’application présente un jeton
suite à une demande pour une fonction particulière, l’API peut évaluer le LoA associé à ce jeton et, s’il est insuffisant, refuser la demande et
répondre à l’application qu’il faut un nouveau jeton (avec un LoA plus important). L’application renvoie cette exigence à la page de connexion, qui
déclenche le flux d’authentification renforcée adéquat.

De plus, l’API peut collecter des informations contextuelles similaires (par ex. l’adresse IP, l’heure de la journée, le comportement de l’application) et
en alimenter le moteur de risques.

PREMIÈRE AUTHENTIFICATION
Si la MFA limite certains des problèmes de sécurité inhérents aux mots de passe, ceux-ci resteront vraisemblablement dans l’immédiat le
premier facteur d’authentification par défaut, autrement dit le premier identifiant que l’utilisateur présente au serveur d’authentification. Dans la
configuration actuelle, les utilisateurs sont habituellement priés de fournir les deux sur un même écran.

À l’avenir, cependant, le premier identifiant demandé par le serveur d’authentification pourrait ne plus être le mot de passe. Le contexte ou un
autre mécanisme pourraient être suffisants, ce qui annulerait le besoin d’avoir un mot de passe. Les entreprises auraient tout à gagner d’envisager
une conception qui anticipe ce futur. C’est exactement ce que fait Google. Comme le montre la figure 9, Google a enlevé la demande de nom
d’utilisateur et mot de passe de sa page de connexion en mai 2015.

Figure 9 : anticipant un futur où le mot de passe ne sera peut-être plus le premier identifiant demandé par un serveur
d’authentification, Google a séparé la demande de nom d’utilisateur et mot de passe de sa page de connexion.

La distinction entre la manière que les utilisateurs ont de s’identifier à Google (comme on le voit à gauche de la figure 9) et de s’authentifier
(à droite) offre une plus grande flexibilité pour les schémas d’authentification futurs. Lorsque Google instaurera de nouvelles méthodes
d’authentification au-delà des mots de passe, la première page d’identification n’aura pas besoin de changer. De plus, la logique d’authentification
se situant derrière la première page, elle permet de choisir la méthode d’authentification appropriée pour une combinaison d’utilisateur et de
contexte donnée.

13
LIVRE BLANC Authentification multifacteur : les meilleures pratiques pour sécuriser l’entreprise numérique moderne
PLUSIEURS POINTS DE CONTACT/CANAUX
Si une entreprise offre plusieurs canaux permettant aux clients d’interagir avec les ressources et les données d’une application – par exemple le Web,
des applications mobiles, la téléphonie ou encore des emplacements physiques – le choix de la MFA peut différer d’un canal à l’autre.

Par exemple, une banque américaine utilise l’authentification biométrique vocale passive pour son canal téléphonique. Dans la même idée, la
banque canadienne Manulife a annoncé récemment une mise à jour vers son système de réponse vocale interactive (IVR) avec le déploiement de la
compréhension du langage naturel (NLU) et de technologies de biométrie vocale passives.

CONCLUSION
Il ne fait aucun doute que les entreprises doivent évoluer et améliorer les modes d’authentification de leurs utilisateurs, au-delà des limites des mots
de passe et de l’authentification classique à deux facteurs. La MFA est meilleure, mais la bonne approche pour les entreprises consiste à utiliser des
données contextuelles pour renforcer dynamiquement l’authentification.

Aujourd’hui, l’authentification contextuelle est perçue comme un complément aux facteurs d’authentification actifs et explicites. Mais à l’avenir, selon
Ping Identity, l’authentification contextuelle sera la norme, l’authentification explicite devenant moins fréquente. Une architecture d’authentification
basée sur le risque associe la MFA renforcée à l’authentification contextuelle passive pour un maximum d’efficacité, de convivialité et de sécurité.

Ping Identity recommande les cinq meilleures pratiques suivantes en matière de MFA renforcée :

• La MFA renforcée doit être complétée par une authentification contextuelle passive.

• Une approche basée sur le risque, reposant sur les opérations demandées et des indicateurs contextuels, doit être mise en place afin de
déterminer quand il convient d’exiger une MFA renforcée.

• La MFA renforcée doit rester optionnelle pour la majorité des scénarios clients. Les clients doivent être encouragés à consentir au
renforcement de la MFA en en vantant les avantages et en créant des incitations à consentir. Les risques associés au non-consentement de
clients à la MFA renforcée doivent être compensés pas d’autres mécanismes.

• Les employés doivent avoir le choix et des options concernant leurs mécanismes d’authentification. Si des employés dérogent à des modes
d’authentification actifs améliorés, les entreprises doivent y remédier par des modes passifs.

• Il est recommandé de prendre en charge un éventail d’options de MFA afin de répondre aux besoins de différentes catégories d’utilisateurs –
par exemple des utilisateurs présentant un handicap ou moins avertis sur le plan technique.

Pour plus d’informations, rendez-vous sur www.pingidentity.fr.

À PROPOS DE PING IDENTITY : Ping Identity assure à chaque utilisateur un accès fluide et sécurisé à toutes les applications de
l’entreprise numérique, ouverte et hyperconnectée, instaurant ainsi une nouvelle dimension de liberté numérique. Ping Identity
protège plus d’un milliard d’identités de par le monde. Plus de la moitié des entreprises classées au Fortune 100, dont Boeing,
Cisco, GE, Kraft Foods, TIAA-CREF et Walgreens, font confiance à Ping Identity pour résoudre les nouveaux défis de sécurité
générés par l’utilisation des technologies cloud, mobile, API et Internet des objets. Consultez pingidentity.com.
14
#3001 | 06.2017 | v00c