Vous avez l'authentification unique ? Vous avez toujours besoin de la sécurité par mot de passe

L'authentification unique est un excellent outil de productivité et de sécurité, mais elle laisse des failles de sécurité liées aux mots de passe.

Les solutions d'authentification unique (SSO) gagnaient rapidement en popularité avant même que la pandémie de COVID-19 ne provoque une ruée vers le cloud. Aujourd'hui, l'authentification unique est plus populaire que jamais en raison des avantages de commodité et de sécurité qu'elle offre aux organisations avec des effectifs répartis, notamment :

• Un seul mot de passe à retenir pour les employés. L'élimination de la « fatigue des mots de passe » est l'un des principaux moteurs de l'adoption de l'authentification unique. Au lieu d'un mot de passe différent pour chaque application et service, les employés n'ont qu'à mémoriser leur mot de passe de connexion unique.
• Un seul mot de passe à saisir, une fois par jour. En plus de ne pas avoir à se souvenir de plusieurs mots de passe, les employés n'ont pas besoin d'entrer plusieurs mots de passe tout au long de la journée de travail. Ils entrent leur mot de passe SSO une fois, au début de leur journée de travail, éliminant ainsi le temps perdu à saisir des mots de passe tout au long de la journée de travail.
• Réduisez de moitié les tickets du service d'assistance. Le groupe Gartner estime que les réinitialisations de mot de passe représentent jusqu'à 50 % des tickets du service d'assistance. SSO promet d'éliminer virtuellement ces tickets, permettant aux employés du support de passer plus de temps à aider les utilisateurs finaux avec des problèmes plus complexes.
• Déploiement plus facile de l'accès et de la gestion des identités (IAM). L'authentification unique réduit la complexité de la configuration de l'authentification et des contrôles d'accès, permettant un déploiement plus rapide et plus simple des solutions IAM, ainsi qu'un chemin plus rapide vers un environnement de confiance zéro.
• Rapports de conformité plus faciles. De nombreux cadres de conformité courants nécessitent des pistes d'audit des utilisateurs pour les données de connexion des utilisateurs. L'authentification unique facilite l'inclusion de ces données dans les rapports de conformité.

Lacune de l'authentification unique : lacunes de sécurité liées aux mots de passe

Le SSO a pour objectif de faciliter l'accès aux ressources. C'est excellent pour la productivité, mais pas du point de vue de la sécurité :

• Un seul mot de passe équivaut à un seul point de défaillance. Si un employé perd ou oublie le mot de passe d'un seul compte, son accès à ce compte est bloqué. S'ils oublient leur mot de passe SSO, tous leurs comptes sont bloqués. Plus inquiétant encore, si un cybercriminel met la main sur un mot de passe SSO, il peut accéder à tous les comptes professionnels de l'employé. Verizon estime que plus de 80 % des violations de données réussies sont dues à des mots de passe compromis, ce qui constitue un énorme inconvénient.
• Les anciennes applications métier (LOB) ne prennent pas en charge l'authentification unique. Bien que la pandémie de COVID-19 ait accéléré de plusieurs années les efforts de transformation numérique, la plupart des organisations utilisent encore au moins quelques applications LOB héritées qui ne prennent pas en charge l'authentification unique. Parce qu'ils sont si vieux, les moderniser n'est pas réaliste ; parce qu'ils sont si hautement spécialisés, il n'est pas non plus possible de les remplacer.
• Toutes les applications modernes ne prennent pas en charge l'authentification unique. Les applications héritées ne sont pas le seul point d'achoppement. De nombreuses applications et services modernes ne prennent pas non plus en charge l'authentification unique, en particulier les applications de bureau. Il est rare que le déploiement SSO d'une organisation couvre toutes les applications utilisées par leurs employés, en particulier dans les grandes entreprises, où des centaines d'applications peuvent être utilisées.
• Différentes applications peuvent utiliser différents protocoles SSO. Vos employés peuvent avoir besoin d'utiliser des applications qui utilisent un protocole différent de celui utilisé par le fournisseur d'identité (IdP) de votre organisation. Par exemple, si votre IdP utilise le protocole SAML, votre solution SSO ne prendra pas en charge les applications qui utilisent OAuth.
• Aucun contrôle sur les habitudes de mot de passe des utilisateurs. Les déploiements SSO n'offrent aucune visibilité sur les mauvaises pratiques de sécurité des mots de passe. Les employés peuvent choisir un mot de passe faible ou précédemment compromis pour leur connexion SSO, ou ils peuvent réutiliser un mot de passe qu'ils utilisent sur plusieurs comptes supplémentaires. Ils peuvent faire la même chose pour toutes les applications que votre déploiement SSO ne prend pas en charge. Ils peuvent également partager leurs mots de passe avec des tiers non autorisés.
• Aucune protection pour les utilisateurs ou les sessions privilégiés. En règle générale, les utilisateurs doivent entrer des informations d'identification distinctes pour accéder aux systèmes et aux données particulièrement sensibles, mais le but de l'authentification unique est de donner aux utilisateurs un laissez-passer pour tous avec une authentification unique.

4 façons de combler les lacunes de sécurité liées aux mots de passe laissées par l'authentification unique

Malgré ces risques, les organisations soucieuses de la sécurité ne doivent pas rejeter leurs déploiements SSO. Aucune solution de sécurité n'est une panacée. En associant leurs solutions d'authentification unique à des technologies complémentaires, les entreprises peuvent combler les failles de sécurité liées aux mots de passe tout en conservant la productivité et la facilité d'utilisation de l'authentification unique.

#1. Mettre en œuvre un contrôle d'accès basé sur les rôles (RBAC) avec un accès au moindre privilège pour tous les utilisateurs

Le principe du moindre privilège, qui dicte que les utilisateurs ne doivent avoir accès qu'au niveau minimum de privilèges système pour faire leur travail et pas plus, est essentiel pour réduire la surface d'attaque potentielle d'une organisation. Entrez RBAC, qui simplifie l'attribution et la gestion des niveaux de contrôle d'accès.

Pour faciliter la gestion des attributions de rôles RBAC, évitez d'attribuer des rôles directement aux utilisateurs. Au lieu de cela, créez des groupes, attribuez des privilèges aux groupes et ajoutez des utilisateurs aux groupes en conséquence. En plus de minimiser le nombre d'attributions de rôles, cette pratique permet de gagner du temps si un changement de privilège doit être apporté à chaque utilisateur d'un groupe. Assurez-vous que vos groupes sont réutilisables et évitez de créer trop de rôles personnalisés.

#2. Implémenter Privileged Access Management (PAM) avec Privileged Session Management (PSM) pour les utilisateurs privilégiés

Contrairement à SSO, qui vise à rendre l'accès aussi facile que possible, PAM se concentre sur la restriction de l'accès aux systèmes et données les plus sensibles d'une entreprise. Les entreprises utilisent PAM pour restreindre et surveiller l'accès à leurs systèmes les plus critiques et les plus sensibles. Les utilisateurs privilégiés sont généralement des initiés de haut niveau de l'entreprise, tels que les administrateurs informatiques et de sécurité et les cadres de niveau C, bien que les fournisseurs et partenaires de confiance puissent également entrer dans cette catégorie.

PAM et PSM vont de pair. Alors que PAM contrôle l'accès des utilisateurs aux ressources sensibles, PSM empêche les utilisateurs privilégiés d'abuser de cet accès en contrôlant, en surveillant et en enregistrant les sessions d'utilisateurs privilégiés. La surveillance et l'enregistrement typiques du PSM sont très granulaires et incluent des frappes au clavier, des mouvements de souris et des captures d'écran. En plus d'assurer la sécurité, les pistes d'audit PSM sont requises par plusieurs cadres de conformité, notamment HIPAA, PCI DSS, FISMA et SOX.

#3. Implémentez l'authentification multifacteur sur toutes les applications et tous les services qui la prennent en charge

L'authentification multifacteur (2FA) est l'une des défenses les plus puissantes contre les mots de passe compromis. Même si un cybercriminel compromet un mot de passe, il ne peut pas l'utiliser sans le deuxième facteur d'authentification. 2FA protège tous les utilisateurs de ceux qui ont le moins d'accès aux systèmes aux utilisateurs les plus privilégiés de l'entreprise. Il améliore la confiance zéro en permettant aux organisations d'authentifier les identités des utilisateurs.

Certaines organisations hésitent à implémenter 2FA de peur que cela n'entrave la productivité en obligeant les employés à suivre des étapes supplémentaires pour se connecter. Ce problème est facilement rectifié en associant 2FA à une solution de sécurité de mot de passe moderne qui permet aux utilisateurs de stocker leurs informations d'identification 2FA avec leurs mots de passe. .

#4. Déployez une plate-forme de sécurité et de cryptage des mots de passe d'entreprise à l'échelle de l'entreprise

La plate-forme de sécurité et de cryptage des mots de passe permet aux employés de stocker en toute sécurité toutes leurs informations de connexion dans un référentiel centralisé, privé et crypté. Comme SSO, les utilisateurs mémorisent un seul « mot de passe principal », qui est utilisé pour accéder à toutes les informations d'identification dans leur référentiel numérique.

Contrairement à l'authentification unique, une bonne plate-forme de sécurité et de cryptage des mots de passe d'entreprise est conçue pour fonctionner avec tous les services et applications, y compris les applications héritées ; ils incluent des fonctionnalités supplémentaires, telles que des générateurs automatiques de mots de passe forts et des outils de remplissage automatique. Ils donnent également aux administrateurs informatiques une visibilité complète sur les habitudes de mot de passe des utilisateurs et appliquent des politiques de sécurité des mots de passe. Assurez-vous de déployer une plate-forme de sécurité et de cryptage des mots de passe de niveau entreprise qui s'intègre de manière transparente à votre déploiement SSO existant et prend en charge RBAC, 2FA, l'audit et les rapports d'événements.

L'authentification unique ne présente des risques de sécurité que si les organisations la considèrent comme une solution autonome. En reconnaissant les failles de sécurité liées aux mots de passe inhérentes à l'authentification unique et en les compensant par la mise en œuvre de technologies complémentaires, telles que 2FA, RBAC, PAM/PSM et une plate-forme de sécurité et de cryptage des mots de passe, les organisations peuvent accroître leur efficacité, améliorer l'expérience de l'utilisateur final, et se protéger contre les cyberattaques liées aux mots de passe.

Écrit par Teresa Rothaar