Le principal objectif de l'utilisation d'un logiciel d'authentification multi-facteurs (MFA) est d'augmenter la sécurité lorsque les utilisateurs se connectent à des comptes. Les entreprises utilisent ce logiciel pour s'assurer que seuls les utilisateurs autorisés, tels que les employés, les sous-traitants ou les clients, ont un accès sécurisé à des comptes spécifiques de l'entreprise. Cela aide à prévenir les menaces internes, telles que les employés non autorisés accédant à des données sensibles, et les menaces externes, comme les cybercriminels déployant des attaques de phishing pour des violations de données, d'accéder à des comptes restreints.
La MFA exige que les utilisateurs effectuent des étapes d'authentification supplémentaires pour prouver leur identité avant d'obtenir l'accès à des applications, systèmes ou informations sensibles. Le logiciel aide à sécuriser les comptes en fournissant une sécurité supplémentaire grâce à une approche d'authentification en couches et multi-étapes. Généralement, la première étape pour authentifier l'identité d'un utilisateur comprend un processus de connexion standard avec nom d'utilisateur et mot de passe. Après cette tentative de connexion initiale, la deuxième étape peut exiger que les utilisateurs saisissent un code fourni par une application logicielle sur un appareil mobile, un jeton matériel comme un porte-clés, ou un code envoyé à un utilisateur par message texte (SMS), email ou appel téléphonique. D'autres étapes d'authentification peuvent inclure la présentation d'une donnée biométrique comme une empreinte digitale ou un visage, ou la présentation d'autres signaux d'identification comme l'adresse IP typique de l'utilisateur, l'ID de leur appareil, ou via des facteurs comportementaux vérifiés par des outils d'authentification basés sur le risque (RBA).
Que signifie MFA ?
MFA signifie authentification multi-facteurs. Elle nécessite deux ou plusieurs facteurs d'authentification différents. Ce logiciel peut également être appelé authentification à deux facteurs (2FA) ou vérification en deux étapes lorsqu'il utilise exactement deux facteurs d'authentification différents.
Quels sont les facteurs d'authentification ?
Le logiciel MFA exige que les utilisateurs s'authentifient avec certains ou tous les cinq facteurs suivants :
Authentification à un facteur : L'authentification à un facteur exige que les utilisateurs s'authentifient avec quelque chose qu'ils connaissent. L'authentification par mot de passe est l'authentification à un facteur la plus courante. Elle est considérée comme peu sûre car de nombreuses personnes utilisent des mots de passe faibles ou des mots de passe facilement compromis.
Authentification à deux facteurs : L'authentification à deux facteurs exige que les utilisateurs s'authentifient avec quelque chose qu'ils ont. Elle exige que les utilisateurs fournissent les informations qu'ils ont, généralement un code fourni par une application d'authentification sur leurs appareils mobiles, un SMS ou un message texte, un jeton logiciel (soft token), ou un jeton matériel (hard token). Le code fourni peut être soit un mot de passe à usage unique basé sur HMAC (HOTP) qui n'expire pas tant qu'il n'est pas utilisé, soit un mot de passe à usage unique basé sur le temps (TOTP) qui expire en 30 secondes.
Authentification à trois facteurs : L'authentification à trois facteurs exige que les utilisateurs s'authentifient avec ce qu'ils sont. Elle prend en compte quelque chose d'unique à l'utilisateur, comme des facteurs biométriques. Ils peuvent inclure des scans d'empreintes digitales, la géométrie des doigts, des scans de la paume ou de la géométrie de la main, et la reconnaissance faciale. L'utilisation de la biométrie pour l'authentification devient de plus en plus courante à mesure que les connexions biométriques sur les appareils mobiles, y compris les logiciels de reconnaissance faciale et les capacités de scan d'empreintes digitales, gagnent en popularité parmi les consommateurs. D'autres méthodes d'authentification biométrique, telles que la reconnaissance de la forme de l'oreille, les empreintes vocales, les scans de la rétine, les scans de l'iris, l'ADN, l'identité olfactive, les motifs de démarche, les motifs veineux, l'analyse de l'écriture manuscrite et de la signature, et la reconnaissance de la frappe, n'ont pas encore été largement commercialisées à des fins de MFA.
Authentification à quatre facteurs : L'authentification à quatre facteurs exige que les utilisateurs s'authentifient avec où ils sont et quand. Elle prend en compte l'emplacement géographique d'un utilisateur et le temps qu'il a fallu pour y arriver. Habituellement, ces méthodes d'authentification ne nécessitent pas qu'un utilisateur authentifie activement cette information, au lieu de cela, cela fonctionne en arrière-plan lors de la détermination du risque d'authentification d'un utilisateur spécifique. L'authentification à quatre facteurs vérifie la géolocalisation d'un utilisateur, qui indique où il se trouve actuellement et sa géo-vélocité, qui est le temps raisonnable qu'il faut à une personne pour se rendre à un endroit donné. Par exemple, si un utilisateur s'authentifie avec un fournisseur de logiciel MFA à Chicago et tente 10 minutes plus tard de s'authentifier depuis Moscou, il y a un problème de sécurité.
Authentification à cinq facteurs : L'authentification à cinq facteurs exige que les utilisateurs s'authentifient avec quelque chose qu'ils font. Cela se rapporte à des gestes ou des motifs de toucher spécifiques que les utilisateurs génèrent. Par exemple, en utilisant un écran tactile activé avec un système d'exploitation relativement nouveau, qui prend en charge la fonctionnalité, les utilisateurs peuvent créer un mot de passe image où ils dessinent des cercles, des lignes droites, ou tapent sur une image pour créer un mot de passe gestuel unique.
Quels types de logiciels d'authentification multi-facteurs (MFA) existent ?
Il existe plusieurs types de logiciels MFA. En plus de la fonctionnalité MFA standard, de nombreuses entreprises se dirigent vers des logiciels RBA, également connus sous le nom de MFA intelligent, qui utilisent la surveillance des risques pour déterminer quand demander aux utilisateurs de s'authentifier. Les différents types de méthodes d'authentification peuvent inclure :
Applications mobiles : Un moyen courant que les utilisateurs préfèrent pour s'authentifier est d'utiliser l'application mobile du logiciel MFA.
Jeton logiciel : Les jetons logiciels permettent aux utilisateurs d'utiliser des applications mobiles MFA, y compris des appareils portables. L'utilisation de jetons logiciels est considérée comme plus sécurisée que l'utilisation de mots de passe à usage unique via SMS, car ces messages peuvent être interceptés par des pirates. Les jetons logiciels peuvent être utilisés hors ligne, ce qui est pratique pour les utilisateurs finaux qui peuvent ne pas avoir accès à Internet.
Notifications push : Les notifications push simplifient l'authentification pour les utilisateurs finaux. Une notification est envoyée à l'appareil mobile d'un utilisateur lui demandant d'approuver ou de refuser la demande d'authentification. La commodité est cruciale pour l'adoption par les utilisateurs des outils MFA.
Jeton matériel : Les jetons matériels sont des pièces de matériel que les utilisateurs portent avec eux pour authentifier leur identité. Les exemples incluent les porte-clés OTP, les appareils USB et les cartes à puce. Les problèmes courants avec les jetons matériels incluent le coût du matériel plus le coût supplémentaire des remplacements lorsque les utilisateurs les perdent.
Mots de passe à usage unique (OTP) via SMS, voix ou email : Les utilisateurs qui ne peuvent pas utiliser d'applications mobiles sur leurs téléphones peuvent choisir d'utiliser des OTP envoyés à leurs appareils mobiles via message texte SMS, appel vocal ou email. Cependant, recevoir des codes d'authentification via SMS est considéré comme l'un des moyens les moins sécurisés pour authentifier les utilisateurs.
Logiciel d'authentification basé sur le risque (RBA) : Le RBA, également connu sous le nom de MFA intelligent ou adaptatif, utilise des informations en temps réel sur les utilisateurs finaux pour évaluer leur risque et les inciter à s'authentifier lorsque cela est nécessaire. Le logiciel RBA analyse les adresses IP, les appareils, les comportements et les identités pour définir des méthodes d'authentification personnalisées pour chaque utilisateur distinct tentant d'accéder au réseau.
Authentification sans mot de passe : L'authentification sans mot de passe, également connue sous le nom d'authentification invisible, repose sur des facteurs RBA tels que l'emplacement, l'adresse IP et d'autres comportements des utilisateurs. Les notifications push sont considérées comme une authentification sans mot de passe, car un utilisateur n'est pas tenu de saisir un code, mais simplement de répondre à une demande d'authentification.
Biométrie : Les facteurs d'authentification biométriques, tels que la reconnaissance faciale et des empreintes digitales, gagnent en popularité parmi les consommateurs, et par conséquent, les fournisseurs de logiciels MFA commencent à les prendre en charge. Actuellement, d'autres facteurs biométriques, tels que le scan de l'iris, ne sont pas disponibles dans les outils MFA. Un problème avec l'utilisation de la biométrie pour l'authentification est que, une fois qu'ils sont compromis, ils le sont pour toujours.
MFA en tant que service : En lien avec les annuaires basés sur le cloud d'une entreprise, certains fournisseurs de MFA offrent une solution MFA en tant que service basée sur le cloud. Ceux-ci prennent souvent en charge plusieurs méthodes d'authentification, y compris les notifications push, les jetons logiciels, les jetons matériels, l'authentification en ligne et hors ligne, et la biométrie.
MFA sur site : Les solutions MFA sur site fonctionnent sur le serveur d'une entreprise. De nombreux fournisseurs de logiciels abandonnent ces types de solutions MFA et poussent les clients vers des solutions basées sur le cloud.
MFA disponible hors ligne : Les utilisateurs qui ont besoin de s'authentifier, mais n'ont pas accès à Internet, peuvent utiliser des solutions MFA avec support hors ligne. Par exemple, de nombreux employés fédéraux travaillent dans des environnements contrôlés et sécurisés et peuvent ne pas avoir accès à Internet. Les employés civils du gouvernement fédéral peuvent utiliser des cartes de vérification d'identité personnelle (PIV) pour s'authentifier, tandis que les employés du Département de la Défense s'authentifient en utilisant une carte d'accès commune (CAC). Pour les civils en général, ils peuvent s'authentifier hors ligne en utilisant une application mobile avec accès hors ligne aux OTP ou une qui utilise une clé de sécurité U2F basée sur le matériel.
Solutions d'entreprise : Les entreprises qui gèrent des déploiements MFA pour de nombreux utilisateurs ont besoin de solutions robustes et opteront pour des logiciels avec des consoles d'administrateur, une visibilité des points de terminaison, et une connexion avec des logiciels de connexion unique (SSO).
Comment acheter des logiciels d'authentification multi-facteurs (MFA)
Collecte des exigences (RFI/RFP) pour les logiciels d'authentification multi-facteurs (MFA)
Alors que l'acheteur développe sa liste d'exigences et de priorités pour sélectionner un logiciel MFA, il doit garder ces éléments à l'esprit :
Cas d'utilisation des utilisateurs finaux : Déterminer les cas d'utilisation des utilisateurs finaux de l'entreprise est essentiel. L'acheteur doit également classer les utilisateurs qu'il essaie d'authentifier : sont-ils des employés, des sous-traitants ou des clients ? Par exemple, les employés peuvent être en mesure d'utiliser des méthodes d'authentification telles que des jetons matériels et la biométrie, tandis que les clients pourraient s'appuyer sur des notifications push dans l'application mobile ou des OTP envoyés par email, SMS ou téléphone.
Méthodes d'authentification : L'acheteur doit déterminer les types de méthodes d'authentification qui fonctionneront et ne fonctionneront pas pour ses utilisateurs finaux. Y a-t-il des limitations sur les types de facteurs que les employés peuvent utiliser ? Par exemple, si les employés dans une installation de fabrication ou une unité de soins de santé ne peuvent pas transporter un téléphone mobile avec eux, les facteurs d'authentification nécessitant un appareil mobile peuvent ne pas convenir.
Licences nécessaires : Les acheteurs doivent déterminer combien de licences sont nécessaires pour leurs utilisateurs finaux et s'il existe différents types de licences en fonction du type d'utilisateur.
Solution spécifique au segment ou à la région d'activité : Si quelqu'un recherche un logiciel adapté au segment des petites entreprises par rapport aux segments du marché intermédiaire ou des entreprises, il doit être clair dans sa RFP à ce sujet. De même, si l'acheteur a besoin d'un outil qui fonctionne bien dans une région géographique ou une langue spécifique, il doit l'inclure dans sa RFP.
Intégrations : L'acheteur doit déterminer quelles intégrations sont importantes pour son entreprise.
Calendrier : L'entreprise doit décider de la rapidité avec laquelle elle doit mettre en œuvre la solution.
Niveau de support : Les acheteurs doivent savoir s'ils ont besoin d'un support de haute qualité ou s'ils préfèrent mettre en œuvre la solution en interne.
Comparer les produits de logiciels d'authentification multi-facteurs (MFA)
Créer une longue liste
Il existe des centaines de solutions MFA disponibles sur le marché, ce qui peut être décourageant à trier. Il est préférable de réduire la liste des fournisseurs potentiels en fonction des fonctionnalités les plus importantes pour l'organisation, telles que le type d'authentification disponible pour les utilisateurs finaux.
Les acheteurs peuvent consulter les produits MFA sur g2.com, où ils peuvent rechercher par langues prises en charge, fonctionnalités telles que le type d'authentification, et si la solution est une solution ponctuelle pour la MFA ou si la MFA fait partie d'un produit d'identité plus complet. Une fois que l'acheteur a réduit la sélection de produits, il peut les enregistrer dans la "Ma Liste" sur g2.com.
Créer une courte liste
Après avoir stocké la longue liste de produits MFA potentiels, la liste peut être encore réduite en lisant les avis des utilisateurs, en vérifiant le classement du produit sur le rapport G2 Grid® pour la catégorie des logiciels d'authentification multi-facteurs (MFA), et en lisant les évaluations de convivialité.
Conduire des démonstrations
Après avoir recherché les options, il est temps de conduire des démonstrations pour poser des questions détaillées au fournisseur et s'assurer qu'il répond aux besoins particuliers de l'entreprise. Les acheteurs potentiels peuvent contacter de nombreux fournisseurs directement sur g2.com pour demander des démonstrations en sélectionnant le bouton "Obtenir un devis". À chaque démonstration, les acheteurs doivent s'assurer de poser les mêmes questions et scénarios d'utilisation pour évaluer au mieux chaque produit.
Sélection des logiciels d'authentification multi-facteurs (MFA)
Choisir une équipe de sélection
L'équipe de sélection de logiciels devrait être un petit groupe de personnes représentant différentes zones de l'entreprise. Les personas devraient inclure le décideur ultime, les administrateurs informatiques ou de sécurité, et les utilisateurs finaux. Il est important d'inclure au moins un utilisateur final dans l'équipe de sélection car l'adoption par les utilisateurs finaux est essentielle au succès de cette solution logicielle.
Négociation
Lors de la négociation d'un contrat, généralement, des contrats de plus longue durée et un plus grand nombre de licences peuvent améliorer les remises.
Décision finale
Avant de prendre une décision finale sur l'outil à acheter, les acheteurs devraient demander au fournisseur s'il offre une période d'essai pour tester avec un petit nombre d'utilisateurs avant de s'engager pleinement dans le produit. Si l'outil est bien reçu par les utilisateurs finaux et les administrateurs, les entreprises peuvent se sentir plus confiantes dans leur achat.