L’authentification

forte : un must pour

tous les utilisateurs
L’authentification :
arrêt sur image
Les tendances actuelles du marché (adoption du Cloud, mobilité
accrue, montée en puissance des réseaux sociaux et hausse des
données partagées en ligne) rendent urgent l’établissement d’une
authentification forte.

Pour garantir la sécurité, un département informatique ne peut plus

se contenter de mettre en place un réseau dans un périmètre bien
défini, ni se fier uniquement à l’identification par nom d’utilisateur
et mot de passe. Avec toujours plus d’utilisateurs, d’informations
et de points d’entrée, les besoins en protection s’accentuent.

La mise en ligne de données et d’applications stratégiques requiert

une authentification forte pour chaque utilisateur afin de protéger
et de faciliter les activités.

02
 Évolution des tendances, évolution
des menaces
Pour garantir une sécurité appropriée contre les risques à l’échelle de l’entreprise,
ses responsables doivent comprendre l’importance d’une authentification forte dans
le contexte des tendances technologiques majeures :
Explosion du nombre et des types d’utilisateurs
Dans la plupart des entreprises, la base des utilisateurs finaux a été étendue aux
employés, aux sous-traitants, aux partenaires et aux clients ; le département IT doit donc
prendre en compte l’éventail complet des situations d’utilisation, des scénarios d’accès
et des privilèges.

Réseaux sociaux
L’utilisation des identifiants de connexion aux réseaux sociaux pour faciliter le processus
« De nombreuses d’inscription ou de connexion constitue une stratégie désormais répandue permettant
d’augmenter la fidélisation des utilisateurs et de simplifier leur expérience. Cela dit,
entreprises (près de il est possible de compléter cette stratégie au moyen de méthodes conviviales
d’authentification forte pour protéger les données et transactions plus sensibles.
70 %) autorisent une
certaine forme de BYOD Mobilité
Avec l’avènement des ordinateurs portables, des tablettes et des smartphones,
pour les smartphones. les utilisateurs peuvent désormais accéder aux données à tout moment, où qu’ils
se trouvent.
Cette proportion va
certainement augmenter Cloud
L’utilisation croissante du Cloud et des services Web rend obsolète la notion même de
pour atteindre plus « périmètre réseau ».
de 80 % d’ici 2020. » Accroissement des menaces
Les fraudes, le vol d’identités et les attaques ciblées sur différents secteurs d’activité sont
de plus en plus fréquents et sophistiqués.
Gartner, « Tracking Changes in Enterprise Smartphone
Preferences », Ken Dulaney, David A. Willis et Heather Keltz,
22 novembre 2013

03
Les nombreux défis de sécurité
Les entreprises doivent affronter de nombreux défis de sécurité,
dont les suivants :

Contrôler l’accès aux applications Web

Garantir la sécurité sur les appareils mobiles

L’ère du mot de passe
Ne pas se laisser déborder par l’évolution des atteintes est-elle révolue ?
à la protection des données
« Même si votre mot de passe apparaît sous
forme obscurcie et hachée, il reste vulnérable
aux pirates qui parviennent à le convertir
Se conformer à la réglementation du secteur
en texte brut. Ce risque est particulièrement
élevé pour les mots de passe faibles, mais
nous avons pu constater qu’il est possible
Déployer une solution de sécurité évolutive tout en maîtrisant les coûts de déchiffrer même des mots de passe
relativement forts. Si des pirates parvenaient
à décoder un mot de passe que vous utilisez
sur plusieurs sites, ils pourraient accéder
à votre messagerie, à vos relevés de compte
et à vos profils de réseaux sociaux. »

– Jon Brodkin
« The secret to online safety: Lies, random characters,
and a password manager »
Ars Technica, 3 juin 2013

04
 Le maillon faible Que signifie
l’expression
Il suffit de regarder les actualités pour constater que les attaques visant les données en ligne sont
fréquentes. La combinaison « nom d’utilisateur/mot de passe » pose désormais problème, car elle « dommage
représente le maillon faible de la stratégie de sécurité d’une entreprise. Ainsi, les experts
du secteur constatent :
collatéral » ?
• des attaques par hameçonnage de plus en plus fréquentes et sophistiquées ; À l’ère de la connectivité tous azimuts,
• des vols et publications de mots de passe ininterrompus (plus de 100 millions de mots de passe ont il est indispensable de limiter les
été publiés en ligne sous forme de texte brut ou chiffré) ; dégâts causés par le vol de noms
• une augmentation de la réutilisation des mots de passe. d’utilisateur et de mots de passe.
Un utilisateur Web lambda gère
Selon le groupe d’experts APWG (Anti-Phishing Working Group, groupe de travail contre l’hameçonnage),
la durée de vie moyenne des attaques par hameçonnage a augmenté d’environ 70 % au premier
25 comptes avec seulement 6,5 mots
semestre 20131, ce qui indique clairement que les pirates continuent à cibler les noms d’utilisateur de passe pour les protéger.3 Sans
et les mots de passe en raison de leur vulnérabilité. protocoles de sécurité adaptés, en cas
de vol, ces mots de passe peuvent
S’il est vrai que rapidité et simplicité sont deux raisons valables qui expliquent pourquoi les entreprises être utilisés pour compromettre des
restent attachées au système « nom d’utilisateur/mot de passe », un nombre croissant d’organisations
douzaines d’autres comptes.
s’intéressent aux nouvelles méthodes d’authentification pour renforcer leurs défenses.

En mai 2013, l’Allemagne est devenue le principal pays

au monde pour l’hébergement de chevaux de Troie et de
programmes de téléchargement basés sur l’hameçonnage,
détrônant ainsi les États-Unis. C’était la première fois que
l’Allemagne arrivait en tête de ce classement ; en juin 2013,
les États-Unis sont revenus à la première place.2
En savoir plus >>

1 « Global Phishing Survey: Trends and Domain Name Use in 1H2013 », APWG, 16 septembre 2013
2 « Phishing Activity Trends Report: Q2 2013 », APWG, 5 novembre 2013
3 Ars Technica, « Why passwords have never been weaker—and crackers have never been stronger », 20 août 2012 05
La sécurisation des identités : le nouveau périmètre
Les expressions du type « dans le réseau » ou « en dehors du réseau » sont de Les professionnels IT peuvent autoriser l’accès à des applications
moins en moins pertinentes étant donné que le réseau est désormais partout. spécifiques et contrôler l’activité des utilisateurs sur l’ensemble
Aujourd’hui, assurer la protection des points faibles signifie axer la sécurité de ces applications.
de l’entreprise sur les identités. Cette approche présente différents avantages :
Savoir quelles sont les informations d’authentification requises en
Le niveau d’authentification est déterminé et demandé en amont, fonction du niveau de risque aide à bloquer les activités suspectes.
même s’il est différent de celui que l’application exige.
La détection et le blocage des activités frauduleuses avant qu’elles ne se
produisent, sans impact négatif sur les utilisateurs légitimes et les coûts
d’exploitation, revêtent une importance capitale.

Consommateur Applications/
plates-formes Cloud
et services Web

Partenaire

Authentification
SaaS

Employé
mobile
Identité

Applications
Employé d’entreprise
interne

06
Cinq clés pour une
authentification forte réussie
En plus d’accorder la priorité aux identités, une authentification forte doit être omniprésente,
transparente et basée sur les risques. Pour répondre à ces critères, les organisations recherchent
des méthodes d’authentification efficaces et économiques qui offrent aux utilisateurs
une expérience conviviale.

Pour être sûres de leur méthode d’authentification, les organisations doivent :

1. savoir qui sont les utilisateurs (employés, 4. g

 arder à l’esprit qu’il peut être nécessaire
sous-traitants, partenaires, clients), de protéger aussi bien les applications
et comprendre les critères et niveaux basées sur le Cloud que celles déployées
d’accès de chaque groupe ; sur site ;

2. fournir le niveau adapté de sécurité par 5. r echercher des moyens de protéger les
authentification selon les risques transactions contre les nouvelles menaces,
inhérents à la situation ou à l’activité ; par exemple les attaques par interception.

3. protéger les identités et les données

sensibles dans des applications liées
sans alourdir inutilement l’expérience
des utilisateurs ;

Les départements IT doivent également être conscients des aspects suivants.

• Il n’existe aucune approche universelle : les départements informatiques doivent donc
évaluer de façon approfondie les besoins en authentification, et développer des protocoles
adaptés aux utilisateurs concernés ou à la situation spécifique de l’entreprise.
• La quantité n’est pas toujours synonyme de qualité : un processus d’authentification
à plusieurs étapes peut certes renforcer la sécurité, mais également se révéler frustrant pour
un utilisateur et avoir des conséquences négatives, comme la perte d’un client.
07
L’authentification basée sur les risques :
le juste équilibre
Les actions des entreprises visant à mettre en place une politique d’authentification entendent généralement
réaliser trois objectifs :

Sécurité adaptée Expérience utilisateur Réduction des coûts

aux risques simplifiée d’admin./de support

Associés correctement, ces trois paramètres peuvent aider les entreprises à verrouiller l’accès à leurs données sensibles tout
en simplifiant l’expérience des utilisateurs qui pourront accéder à des informations et à des applications où qu’ils se trouvent.

08
L’authentification basée sur les
risques : sécurité et transparence
L’authentification basée sur les risques (également connue sous le nom d’authentification
adaptative) intervient au niveau du serveur ; elle offre aux utilisateurs une expérience
simplifiée tout en assurant la sécurité.

Cette pratique consiste à évaluer un grand nombre d’informations contextuelles, dont les
suivantes :

Identification des périphériques

Géolocalisation

Adresse IP

Règles basées sur les périphériques

L’authentification basée sur les risques a, de bien des manières, évolué en même temps
que le paysage informatique pour devenir plus disponible, flexible et puissante. Elle est
également plus rentable que d’autres méthodes d’authentification forte, car elle renforce
la sécurité avec un coût de déploiement moins élevé.

09
Zoom sur l’authentification basée sur les risques
L’authentification basée sur les risques est, dans ses fondements mêmes, différente des autres formes d’authentification
forte fondées sur les identifiants. Plus besoin de demander à l’utilisateur de fournir des informations pour vérifier son
identité, car avec l’authentification basée sur les risques, ce sont de multiples informations contextuelles qui permettent
d’effectuer cette vérification :

Où l’utilisateur se Quel est le système ou Que tente l’utilisateur ? Le comportement

trouve-t-il ? périphérique utilisé ? L’authentification basée sur les risques est-il cohérent ?
Le lieu d’accès est un facteur L’authentification basée sur les permet également d’évaluer chaque Les activités des utilisateurs
essentiel dans l’évaluation de risques permet également de demande particulière. Un département sont un autre facteur clé. Tout
l’identité. Les méthodes basées sur reconnaître le type du périphérique informatique peut ainsi définir des comportement incompréhensible
les risques utilisent les adresses IP employé. Si l’utilisateur tente un règles associées à différentes actions de la part d’un utilisateur
pour vérifier si l’utilisateur accède accès sur un appareil non reconnu ou des utilisateurs (par exemple, l’accès (connexions très fréquentes,
aux données depuis un lieu suspect jamais utilisé auparavant, le système à une base de données spécifique) tentatives d’accès à de grandes
ou si le périphérique employé ne évalue le risque potentiel. pour renforcer la protection des quantités de données, etc.)
correspond pas avec le type de données sensibles. Si la demande déterminera la manière dont
connexion utilisé pour l’accès. d’un utilisateur semble inhabituelle le système d’authentification
ou déclenche une règle spécifique, traitera la demande.
le système peut refuser l’accès
et marquer cette interaction pour
l’examiner de façon plus approfondie.

10
 L’authentification basée sur les
risques : résumé de ses avantages
Dans la plupart des cas, les solutions Support multicanal
d’authentification basée sur les risques permettent Les méthodes d’authentification basée sur les
de réaliser le juste équilibre entre sécurité, risques sont personnalisables pour différents
expérience utilisateur et coût. canaux d’interaction, par exemple les
équipements mobiles ou le Web.
Convivialité
L’authentification basée sur les risques s’exécute Modélisation des règles et du comportement
en arrière-plan, ce qui signifie que les utilisateurs Grâce à l’authentification basée sur les risques,
n’ont pas besoin de passer par des étapes un département informatique peut mettre en
supplémentaires pour s’identifier. œuvre des règles destinées à répondre à différents
profils et comportements utilisateur.
Simplicité de déploiement
Authentification hors Les solutions d’authentification basée sur les Compatibilité multipériphérique
bande à deux facteurs risques s’exécutant côté serveur, elles sont faciles Ces solutions permettent de protéger les
Dans les cas où une authentification à déployer et ne nécessitent l’installation d’aucun demandes d’accès et les transactions provenant
client sur un téléphone portable, une tablette ou d’équipements et de systèmes d’exploitation variés,
renforcée est requise en raison d’un
un ordinateur. notamment les tablettes, les téléphones portables
risque accru (par exemple, des tentatives
et les PC.
d’accès sur un ordinateur non reconnu), Souplesse
il est possible d’envoyer hors bande Ces solutions peuvent être adaptées aux besoins Rentabilité
un mot de passe à usage unique sur immédiats de l’entreprise et à son niveau de La plupart des méthodes d’authentification basée sur
le téléphone de l’utilisateur (via SMS, tolérance aux risques. Elles sont aussi facilement les risques sont moins onéreuses que les méthodes
courriel ou message vocal) pour vérifier ajustables en fonction de l’évolution des menaces classiques basées sur les jetons matériels.
son identité et réduire le risque de fraude. cybernétiques.

11
L’authentification basée sur les
risques : évaluation des risques
La mise en œuvre du niveau d’authentification adapté exige d’évaluer soigneusement
les risques inhérents aux utilisateurs et à leurs activités dans leur globalité.
Les organisations doivent donc s’efforcer de répondre aux questions suivantes :

À quel groupe l’utilisateur appartient-il ?

O
 ù se trouve l’utilisateur lorsqu’il accède à des informations/
applications ?

De quels périphériques l’utilisateur va-t-il se servir ?

Quels types de données sont concernés ?

Quels types d’activités/transactions sont possibles ?

12
Les solutions
d’authentification forte
de CA Technologies
Flexible et évolutive, la solution CA Advanced Authentication
incorpore à la fois des méthodes d’authentification basée
sur les risques, telles que l’identification du périphérique,
la géolocalisation et la détection de l’activité de l’utilisateur,
et un grand nombre de données permettant une
authentification multifacteur forte.

Grâce à cette solution, qui inclut CA AuthMinder™ et CA RiskMinder™,

les organisations peuvent créer le processus d’authentification adapté
à chaque application ou transaction. Disponible sous forme de logiciel
à déployer sur site ou en tant que service Cloud, elle permet de protéger
l’accès aux applications depuis une multitude de points d’extrémité,
notamment tous les appareils mobiles les plus courants. Grâce à cette
solution, les organisations peuvent appliquer de manière rentable la
méthode appropriée d’authentification forte sur différents environnements,
sans alourdir l’expérience des utilisateurs finaux.

13
 Pour plus d’informations sur les solutions d’authentification
forte de CA Technologies, rendez-vous sur le site
http://www.ca.com/fr/multifactor-authentication.aspx.

Copyright © 2014 CA. Tous droits réservés. Tous les noms et marques déposées, dénominations commerciales, ainsi que tous les logos référencés dans le présent document demeurent la propriété de leurs détenteurs
respectifs. Certaines informations de cette présentation peuvent décrire l’orientation générale des produits CA. Cependant, CA peut apporter des modifications à un produit, à un programme logiciel, à une méthode
ou à une procédure CA décrit(e) dans cette publication à tout moment et sans préavis. Le développement, la mise en production et les délais de commercialisation des fonctionnalités décrites dans cette publication
restent à la seule discrétion de CA. CA assure uniquement le support des produits référencés conformément (i) à la documentation et aux spécifications fournies avec le produit référencé, et (ii) à la politique de
maintenance et de support de CA alors en vigueur pour le produit référencé. Sauf disposition contraire spécifiée, la présente publication ne doit pas (i) constituer une documentation ou des spécifications produit dans
le cadre d’un accord de services ou d’un accord de licence écrit existant ou futur relatif à un logiciel CA, ni faire l’objet d’une garantie stipulée dans un tel accord écrit ; (ii) servir à affecter les droits et/ou obligations
de CA ou de ses détenteurs de licence dans le cadre d’un accord de services ou d’un accord de licence écrit existant ou futur relatif à un logiciel CA ; ni (iii) servir à modifier la documentation ou les spécifications
produit d’un logiciel CA. Ce document est uniquement fourni à titre d’information. CA décline toute responsabilité quant à l’exactitude ou à l’exhaustivité des informations qu’il contient. Dans les limites autorisées
par la loi applicable, CA fournit le présent document « tel quel », sans garantie d’aucune sorte, expresse ou tacite, notamment concernant la qualité marchande, l’adéquation à un besoin particulier ou l’absence
de contrefaçon. En aucun cas, CA ne pourra être tenu pour responsable en cas de perte ou de dommage, direct ou indirect, résultant de l’utilisation de ce document, notamment la perte de profits, l’interruption
de l’activité professionnelle, la perte de clientèle ou la perte de données, et ce même dans l’hypothèse où CA aurait été expressément informé de la survenance possible de tels dommages.

CA Technologies (NASDAQ : CA) est un éditeur de logiciels et de solutions intégrées de gestion des systèmes d’information,
dont l’expertise couvre tous les environnements informatiques, du mainframe au Cloud Computing et des systèmes distribués
aux infrastructures virtuelles. CA Technologies gère et sécurise les environnements informatiques et permet à ses clients de fournir
des services informatiques plus flexibles. Grâce aux produits et aux services innovants de CA Technologies, les organisations
informatiques disposent de la connaissance et des contrôles nécessaires pour renforcer l’agilité métier. La majorité des sociétés
du classement « Fortune 500 » s’appuient sur CA Technologies pour gérer leurs écosystèmes IT en constante évolution.