Thales banner

Solutions d’authentification à deux facteurs (2FA)

Vue d’ensemble

Les méthodes d’authentification à deux facteurs reposent sur plusieurs technologies différentes, les plus connues étant les mots de passe à usage unique (OTP) et l’infrastructure à clés publiques (PKI). Quelle est la différence ? Et laquelle de ces deux technologies votre organisation devrait-elle utiliser ?

Mots de passe à usage unique

Les mots de passe à usage unique (OTP) sont une forme d’authentification symétrique, où un mot de passe à usage unique est généré à deux endroits simultanément, sur le serveur d’authentification et sur le token matériel ou logiciel détenu par l’utilisateur. Si l’OTP généré par votre token correspond à celui généré par le serveur d’authentification, l’authentification est réussie et l’accès est autorisé.

Authentification pour les infrastructures à clé publique (PKI)

L’authentification PKI est une forme d’authentification asymétrique dans le sens où elle repose sur une paire de clés de chiffrement différentes, une clé de chiffrement privée et une clé de chiffrement publique. Les tokens matériels basés sur des certificats, comme les cartes à puce et les tokens USB, sont conçus pour stocker votre clé de chiffrement privée en toute sécurité. Lors de l’authentification sur le serveur réseau de l’entreprise, par exemple, le serveur émet un « challenge » numérique. Ce challenge est signé avec votre clé de chiffrement privée. S’il existe une corrélation mathématique, ou une correspondance, entre le challenge signé et votre clé de chiffrement publique (connue de votre serveur réseau), l’authentification est alors réussie et vous obtenez l’accès au réseau. (Il s’agit d’une simplification excessive. Pour en savoir plus, regardez les vidéos The Science of Secrecy par Simon Singh.)

Authentification unique

SSO + MFA + gestion des accès

Plateforme tout-en-un

Quelle est la meilleure méthode d’authentification à utiliser ?

En matière d’authentification, il est impossible de faire des généralités. Voici plusieurs considérations à garder à l’esprit lorsque vous choisissez la ou les méthodes les mieux adaptées à votre organisation :

Niveau de sécurité approprié

Bien que l’authentification OTP, par exemple avec les applications OTP, puisse fournir une protection suffisante pour la plupart des cas d’usage d’entreprise, certains marchés verticaux qui exigent des niveaux d’assurance plus élevés, comme le cybergouvernement ou la cybersanté, peuvent avoir l’obligation, selon les réglementations en vigueur, d’utiliser la sécurité PKI.

Normes et règlements de l’industrie

L’authentification PKI utilise une clé de chiffrement privée qui n’est pas transférable lorsqu’elle est stockée dans un token matériel. De par sa nature asymétrique, l’infrastructure PKI est utilisée dans le monde entier pour les cas d’usage nécessitant un niveau d’assurance supérieur. Cependant, la sécurité de l’OTP est également de plus en plus reconnue par de nombreux secteurs, comme le secteur de la santé américain, et répond aux exigences EPCS de la DEA lorsqu’une application OTP conforme FIPS est utilisée.

En fonction des réglementations qui s’appliquent à votre industrie, il se peut que le token matériel ou logiciel que vous déployez doive être conforme aux normes FIPS 140-2 en Amérique du Nord ou Critères Communs dans d’autres régions du monde.

Accès logique/physique

Lorsqu’une combinaison d’accès physique et logique est requise, les tokens matériels compatibles avec le contrôle d’accès physique reposant sur la technologie RFID sont à privilégier. Pour en savoir plus, rendez-vous sur notre page de solutions de contrôle d’accès physique et logique.

Authentification multifacteur

Indépendamment de la technologie d’authentification utilisée, la sécurité peut être élevée lors de l’évaluation des attributs contextuels supplémentaires d’une tentative de connexion, comme plusieurs variables d’appareils et de comportement. Pour en savoir plus, rendez-vous sur notre page consacrée à l’authentification contextuelle.

Limiter différents vecteurs de menace

Différentes technologies d’authentification sont efficaces pour contrer différentes menaces. Pour consulter une enquête sur les méthodes d’authentification et les menaces qu’elles contrent, téléchargez le livre blanc Étude sur les technologies d’authentification

Coût

Coûts de déploiement et d’administration

Traditionnellement, l’authentification OTP est plus rentable, en offrant un déploiement plus simple et rapide, car elle ne nécessite pas la configuration d’une infrastructure PKI qui implique d’acheter des certificats numériques à une autorité de certification pour chaque utilisateur. Contrairement à l’authentification OTP qui utilise des applications OTP pouvant être installées sur les appareils mobiles et les ordinateurs de bureau des utilisateurs, l’authentification PKI nécessite l’approvisionnement d’un token matériel pour chaque utilisateur afin qu’il puisse garder sa clé de chiffrement en sécurité. Pour cette raison, l’authentification OTP engendre généralement des coûts de déploiement inférieurs et requiert moins de temps et d’effort de la part du personnel informatique.

Lors de l’utilisation d’un token logiciel, qu’il repose sur la technologie PKI ou OTP, le remplacement de l’OTP peut être réalisé à distance, éliminant les coûts associés à l’expédition d’un token matériel de rechange.

Conserver les investissements en tokens actuels

Les organisations qui ont déjà déployé des solutions d’authentification à deux facteurs, PKI ou OTP, peuvent chercher à retenir leur investissement actuel.
Les entreprises ayant déjà déployé des tokens PKI peuvent étendre ou changer leurs déploiements pour s’adapter à la mobilité. À cette fin, une organisation peut tirer parti des avancées de la technologie mobile, comme SafeNet IDPrime Virtual et les dispositifs FIDO, pour retenir son investissement en token actuel et exploiter son infrastructure PKI existante.
Là où les tokens OTP sont déjà déployés, les organisations peuvent retenir leur investissement actuel en cherchant des solutions compatibles avec des tokens et des serveurs RADIUS tiers ou chercher des solutions pouvant importer leurs tokens basés sur des standards dans une nouvelle solution (p. ex., les tokens OATH)

Utilisation

Les organisations qui offrent une mobilité accrue du personnel ou étendent l’authentification forte aux partenaires et aux consultants peuvent chercher des méthodes d’authentification de plus en plus transparentes. Les tokens logiciels et mobiles, ainsi que les solutions sans token, fournissent une expérience d’authentification plus fluide qui facilite la mise en place d’initiatives de mobilité sécurisée.

SafeNet Trusted Access

SafeNet Trusted Access

Découvrez comment protéger vos applications cloud en toute simplicité avec le SSO

Passez facilement d’une politique d’accès globale à une politique d’accès granulaire.

Passez à l’étape suivante !

Produits d’authentification à deux facteurs

Dispositifs d’authentification OTP SafeNet : Thales offre la gamme la plus étendue de dispositifs d’authentification OTP matériels, logiciels et mobiles, permettant aux organisations de respecter différents niveaux d’assurance lorsqu’elles protègent une solution d’entreprise, qu’elle soit sur site, à distance ou virtuelle.
En savoir plus

Authentificateurs hors bande SafeNet de Thales : en proposant une authentification hors bande via des notifications push, par SMS ou e-mail, les authentificateurs hors bande de Thales utilisent un canal de communication autre que celui utilisé pour fournir un code secret à usage unique, pour une sécurité et un confort des utilisateurs accrus.
En savoir plus

Contrôle des accès physiques et logiques : en combinant les contrôles d’accès physiques à l’accès logique, les organisations peuvent protéger l’accès physique aux bureaux ainsi que les sites industriels et de fabrication, tout en protégeant l’accès aux réseaux et aux applications sensibles.
En savoir plus

Authentificateurs PKI : la suite de tokens PKI SafeNet basés sur les certificats de Thales permettent un accès sécurisé à une vaste gamme de ressources, ainsi qu’à d’autres applications de sécurité avancées, y compris la signature numérique, le chiffrement d’e-mail et l’authentification à deux facteurs.
En savoir plus

Foire aux questions sur l’authentification à deux facteurs

L’authentification à deux facteurs (2FA) garantit que l’utilisateur est qui il prétend être. Plus le nombre de facteurs utilisés pour déterminer l’identité d’une personne est élevé, plus la fiabilité est grande.

Pourquoi l’authentification à deux facteurs est-elle utilisée ?

Tout comme on ne souhaite pas que notre banque accède à notre compte courant avec un simple mot de passe, on veut s’assurer que nos ressources sont protégées en demandant aux employés de fournir un facteur d’authentification supplémentaire. Ceci permet de garantir l’identité des employés et empêche les identifiants de connexion d’être piratés ou volés facilement. Vous ne voulez pas autoriser l’accès à vos ressources précieuses (qu’il s’agisse du VPN, de Citrix, d’Outlook Web Access ou des applications cloud) avec un seul facteur, qui est souvent un mot de passe faible.

L’authentification à deux facteurs permet de renforcer la protection des ressources essentielles en réduisant de façon considérable les risques d’attaques variées, notamment le vol d’identité, l’hameçonnage, la fraude en ligne, etc.

Comment est-ce que cela fonctionne ?

Il existe plusieurs méthodes d’authentification pouvant être utilisées pour valider l’identité d’une personne. SafeNet offre la plus vaste gamme de méthodes et de formats d’authentification, permettant ainsi aux clients de traiter de nombreux cas d’utilisation, niveaux d’assurance et vecteurs de menace.

  • Authentification matérielle : appareil supplémentaire que l’utilisateur possède physiquement et sans lequel l’authentification n’est pas possible.
  • Authentification hors bande : appareil étant déjà en la possession de l’utilisateur et pouvant être utilisé pour recevoir des informations de façon sécurisée via SMS ou e-mail.
  • Authentification logicielle : les méthodes d’authentification de ce type déploient une application logicielle sur l’ordinateur, le smartphone ou l’appareil mobile de l’utilisateur.
  • Mot de passe à usage unique (OTP) : des mots de passe à usage unique dynamiques sont générés afin d’authentifier correctement les utilisateurs qui souhaitent accéder aux applications et aux données essentielles, que ce soit sur un token, un appareil mobile ou via une authentification par grille.
  • Authentificateurs par certificats (CBA) - tokens USB  : sécurisent l’accès à distance et fournissent des applications de pointe, notamment la signature numérique, la gestion des mots de passe, les connexions au réseau, ainsi que l’accès physique et logique combiné.
  • Authentificateurs par certificats (CBA) - cartes à puce : du même format qu’une carte de crédit traditionnelle, elles répondent aux besoins des entreprises en matière de sécurité PKI et de contrôle d’accès.
  • Authentificateurs hybrides : authentificateurs associant un mot de passe à usage unique, une mémoire flash chiffrée ou une technologie de certificats sur le même dispositif d’authentification forte.

Qu’est-ce que l’authentification contextuelle ?

L’authentification contextuelle utilise les informations contextuelles pour vérifier si l’identité d’un utilisateur est authentique ou non. Elle est recommandée en complément d’autres technologies d’authentification forte.

Les solutions d’authentification de nouvelle génération de SafeNet offrent aux administrateurs informatiques une approche à plusieurs niveaux du contrôle d’accès. Les employés peuvent accéder simplement et en toute sécurité aux applications d’entreprise et SaaS tant qu’ils respectent les règles des politiques prédéfinies que l’administrateur a fixées à l’avance. Si un utilisateur ne respecte pas les règles d’accès mises en place, il pourra lui être demandé de fournir un facteur d’authentification supplémentaire avant que l’accès ne lui soit donné. Il pourra s’agir d’un SMS ou d’un code secret à usage unique généré par un token d’authentification par téléphone ou bien un token matériel, en fonction des stratégies organisationnelles. Cliquez ici pour voir notre infographie sur l’authentification contextuelle.

Sécurise-t-elle l’accès aux applications cloud ?

Le passage au cloud estompe les frontières du périmètre de sécurité réseau classique. En conséquence, les entreprises ont du mal à fournir, mettre en place et gérer des stratégies d’accès unifiées à appliquer aux ressources distribuées de l’entreprise. Avec l’adoption grandissante des SaaS, il est désormais possible d’accéder de plusieurs manières aux applications professionnelles.

Les solutions d’authentification SafeNet répondent à ce défi en permettant aux entreprises d’étendre harmonieusement l’accès sécurisé au cloud grâce à la fédération des identités. Les plateformes d’authentification SafeNet s’appuient sur les infrastructures d’authentification déjà en place, afin que les entreprises puissent étendre au cloud les identités sur site local des utilisateurs et mettre en place des politiques de contrôle d’accès unifiées pour les applications réseau et cloud. En savoir plus sur l’authentification forte pour les applications et services SaaS dans le cloud

L’authentification à deux facteurs sécurise-t-elle les employés mobiles et les employés sédentaires avec des niveaux de risques différents ?

En fournissant un point central de gestion pour définir et appliquer les contrôles d’accès à toutes les ressources virtuelles, dans le cloud et sur site, SafeNet permet d’étendre l’authentification à deux facteurs à tous les utilisateurs et à tous les niveaux de risque, y compris aux employés mobiles.

Différents formats et méthodes d’authentification traitent les différents niveaux de risque des utilisateurs. Ainsi, un employé qui n’accède qu’au portail de l’entreprise utilisera une méthode d’authentification ou un format différent de celui de l’administrateur de l’entreprise.

Comment la 2FA fonctionne-t-elle avec le passage à l’utilisation d’équipements informatiques personnels dans un contexte professionnel (BYOD) ?

SafeNet offre plusieurs méthodes pour garantir un accès sécurisé depuis les appareils mobiles aux ressources sur le réseau, aux messageries, aux VDI, etc.

  • Authentification des utilisateurs : identifiez avec certitude les utilisateurs qui accèdent aux ressources de l’entreprise via un VPN, une connexion sans fil, des points d’accès, une VDI.
  • Attribution de certificats pour les appareils iOS : seuls les utilisateurs dont les appareils possèdent des certificats peuvent accéder aux ressources de l’entreprise.
  • Reconnaissance des appareils avec l’authentification contextuelle : reconnaît les utilisateurs enregistrés qui se connectent à des applications Web depuis le navigateur mobile.

Les solutions d’authentification SafeNet aident à sécuriser les accès lors des scénarios BYOD en demandant aux utilisateurs d’enregistrer leurs appareils. De cette manière, les organisations peuvent décider que seuls les appareils pré-enregistrés peuvent accéder au réseau, ou bien que les propriétaires d’appareils non enregistrés doivent fournir une méthode d’authentification supplémentaire, comme un code secret à usage unique.

Comment gérons-nous tous ces différents besoins et solutions ?

Le besoin de mettre en œuvre des politiques unifiées d’accès aux applications SaaS, aux solutions dans le cloud et aux environnements sur site est essentiel pour établir et maintenir un accès sécurisé dans les environnements de travail actuels, fortement influencés par la mobilité.

Sommé de réduire les coûts et de démontrer la valeur créée, le personnel en charge de l’administration informatique cherche en permanence à abaisser le coût total de possession. La gestion rationalisée inclut la gestion des utilisateurs, la distribution, l’identification unique, l’authentification forte, les autorisations, la création de rapports, les audits et les alertes stratégiques intégrées au LDAP ou à Active Directory.

Les solutions d’authentification SafeNet gérées de façon centralisée reposent sur une plateforme de gestion unique qui prend en charge :

  • la mobilité sécurisée pour les appareils mobiles des employés, qu’ils aient été fournis par l’entreprise ou apportés par les employés eux-mêmes ;
  • l’accès à distance sécurisé (VPN) aux réseaux d’entreprise ;
  • l’accès sécurisé aux applications Cloud ;
  • l’accès sécurisé aux infrastructures de bureau virtuel (VDI) ;
  • la connexion réseau sécurisée ;
  • l’accès sécurisé aux portails Web ;
  • les applications de sécurité avancée, comme l’authentification avant démarrage et la signature numérique.

Comment l’authentification à deux facteurs s’adapte-t-elle à l’écosystème informatique fragmenté des entreprises ?

Un écosystème informatique fragmenté entrave la sécurité et la conformité. La protection des accès des employés aux ressources des entreprises dans un environnement fragmenté peut en effet s’avérer compliquée. Les solutions d’authentification de SafeNet fournissent un point de gestion qui applique des contrôles d’accès cohérents à l’intégralité de l’écosystème informatique. Avec une couverture totale des cas d’usage, nos solutions fournissent plus de 100 intégrations fluides et prêtes à l’emploi pour le cloud, le VPN, la VDI, les portails Web et les réseaux locaux.

SafeNet garantit une gestion simple pour les administrateurs en fournissant :

  • des flux de travail entièrement automatisés ;
  • une gestion des solutions par exception ;
  • une piste d’audit unique de tous les accès ;
  • un portail en libre-service ;
  • un accès sécurisé depuis n’importe quel appareil ;
  • l’envoi à distance des jetons logiciels.

Le souhait de maintenir des niveaux acceptables de sécurité des accès sans accabler les utilisateurs finaux, ainsi que le besoin de prendre en charge de nombreux appareils, poussent les organisations à adopter des solutions ayant un impact minimal sur l’expérience des utilisateurs. SafeNet offre des solutions simples d’authentification des utilisateurs via une vaste gamme de méthodes d’authentification avec tokens 2FA et sans token, ainsi que l’identification unique fédérée dans le cloud.

SafeNet MobilePASS+ Mobile Authenticator App - Push and OTP

SafeNet MobilePASS+ Mobile Authenticator App - Push and OTP - Product Brief

End users and IT teams are experiencing waves of high stress due to the pandemic and escalating cyberattacks. Thales offers a simple and highly secure authenticator app that makes login fast and secure throughout each login session, lowering risk and ensuring secure remote...

Authentification push depuis votre téléphone portable avec MobilePASS+