De nombreuses entreprises ont choisi d’utiliser le smartphone ou un objet de sécurité dédié pour démocratiser l’authentification multifacteur et garantir un niveau de sécurité particulièrement robuste à leurs collaborateurs. Or, la logistique derrière l’administration d’une flotte d’objets de sécurité peut paraitre nébuleuses pour les non-initiés n’ayant pas encore pris le virage de la sécurité matérielle. Entre Mobile Device Management (MDM) et administration d’un objet de confiance, nous faisons le point pour vous sur la robustesse de ces solutions et leur logistique.
Sommaire
L’objet de confiance, indispensable pour la 2FA
La logistique d’un objet supplémentaire que l’on distribue aux collaborateurs pour s’authentifier peut à première vue paraître fastidieuse. Pourtant, plusieurs entreprises préfèrent déjà les solutions de sécurité matérielle, pour le très haut niveau de sécurité qu’elles apportent. Par ailleurs pour mettre en place des standards robustes comme le second facteur d’authentification, un facteur de possession est indispensable. Les techniques de cryptographie relatives à la 2FA nécessitent en effet un endroit matériel tangible où poser la clef cryptographique.
| 💡 | Pour rappel, activer la 2FA sur l’ensemble de vos services en entreprise est essentiel pour protéger de la meilleure manière possible les différents accès de vos collaborateurs ! |
Une logistique s’impose donc inexorablement pour gérer un objet de confiance. Bonne nouvelle, des outils dédiés existent pour vous épauler dans cette gestion, pouvant s’avérer fastidieuse pour les entités ayant de nombreux salariés.
Le smartphone, un choix discutable
Pour déployer la MFA et franchir un premier cap dans la protection des accès, de nombreuses structures choisissent de faire confiance au smartphone. Cependant, celui-ci présente des inconvénients logistiques et est loin d’être l’objet le plus sécurisé pour ce genre de pratiques.
Mobile Device Management : une gestion plus compliquée
Lorsqu’on parle d’objets dédiés à l’authentification, une opposition est souvent faite entre les objets physiques (cartes à puce, tokens usb, produits sécurisés comme la OneWave) et le smartphone. Or dans les faits, un temps d’administration sera nécessaire dans les deux cas.
Qu’il soit professionnel (COPE) ou personnel (BYOD), le smartphone utilisé comme objet de confiance implique lui aussi une gestion rigoureuse de la part des administrateurs. Les solutions logicielles pour administrer les mobiles demandent elles aussi un certain effort de la part de son gestionnaire.
Le Mobile Device Management (MDM) est un type de technologie de gestion ou de sécurité qui permet aux administrateurs informatiques de gérer les flottes de mobiles professionnels fonctionnant sur plusieurs systèmes d’exploitation.
Si le Mobile Device Management est un outil précieux pour les DSI et RSSI, il ne gomme néanmoins en aucun cas les inconvénients du smartphone en tant qu’objet de confiance.
Niveau logistique, il convient de noter qu’une bonne administration du mobile implique les éléments suivants :
• Des mises à jour régulières : il est essentiel de s’assurer que les collaborateurs effectuent régulièrement les mises à jour nécessaires au bon fonctionnement de leur device, afin d’en garantir la sécurité.
• Des solutions en cas de perte ou de vol : le smartphone étant un objet multifonctionnel, il est inévitablement soumis aux convoitises et donc au vol, contrairement à un objet 100% dédié à la sécurité. En plus de cela, les collaborateurs ne considèrent pas forcément le smartphone comme un objet de sécurité, étant donné ses nombreuses fonctionnalités. Le soin porté à sa surveillance et le risque de perte sont donc directement corrélés.
Peu importe le modèle de smartphone choisi, un temps de support informatique sera inévitable pour gérer le mobile utilisé dans le cadre de l’authentification.
Une sécurité poreuse
Côté sécurité, il faut garder à l’esprit qu’un objet dédié à la sécurité et à l’authentification sera forcément plus sécurisé qu’un smartphone.
En effet, le côté multifonctionnel du mobile implique une surface d’attaque logicielle beaucoup plus large, nécessitant outre le temps de support, une certaine organisation et des coûts de sécurisation. Ce n’est un secret pour personne, l’authentification smartphone présente des coûts cachés !
Par ailleurs, de nombreuses failles sont découvertes chaque année sur les OS. À titre d’exemple, selon un rapport d’avril 2022, 380 nouvelles failles de sécurité ont été découvertes lors du second semestre 2021 sur Apple, en augmentation de 467 % sur un an1. Android n’est malheureusement pas en reste, avec près de 58 failles zero-day sur détectées par Google en 2021.2
À contrario, un objet de confiance dédié uniquement à la sécurité présente un périmètre fonctionnel, financier et de support beaucoup plus restreint.
Ainsi, et malgré l’utilisation d’un outil de Mobile Device Management, le smartphone en tant qu’objet de confiance présente des inconvénients logistiques et de sécurité, que vous utilisiez du BYOD ou du COPE.
Focus sur les inconvénients du BYOD
Le mobile personnel utilisé à des fins professionnelles, notamment en tant qu’objet dédié à l’authentification, est susceptible de représenter un danger pour l’entreprise. Son niveau de protection est proportionnel aux usages de son propriétaire :
- L’utilise-t-il sans précaution sur des réseaux Wi-Fi ouverts ?
- A-t-il un code de sécurité qui se bloque après plusieurs tentatives ?
- A-t-il modifié son code PIN ?
- A-t-il sécurisé son téléphone ?
Le smartphone peut également contenir des virus et programmes malveillants qui n’ont pas été détectés, et peuvent finir par impacter le réseau de l’entreprise.
Les défauts du COPE
L’alternative au BYOD consiste à mettre en place une politique COBO (Company Owned, Business Only) ou COPE (Company Owned, Personnally Enabled) dans laquelle l’entreprise fournit les smartphones à ses collaborateurs. Parmi ses nombreux usages, il fait souvent office d’objet dédié à l’authentification. Cette solution est toutefois moins sécurisée et plus coûteuse qu’un outil d’authentification matériel basé sur des seconds facteurs OTP, du fait des nombreuses failles de sécurité des smartphones et des inconvénients organisationnels cités ci-dessus.
Le manque de praticité des clefs USB dédiées à l’authentification
Pour sécuriser les accès des collaborateurs via un objet de sécurité matériel, certaines entreprises font le choix d’une clef USB dédiée à l’authentification pour chacun de leurs collaborateurs.
Or, ces solutions sont généralement très techniques et ne sont donc pas adaptées aux moins technophiles de nos entreprises, pour qui le risque cyber sera toujours autant présent.
Par ailleurs, les clefs USB dédiés à l’authentification présentent également le désavantage d’être difficilement administrables, et sont donc bien loin de faciliter le quotidien de DSI.
Cependant, d’autres objets dédiés à l’authentification peuvent pallier ces problèmes. En effet, plusieurs solutions de sécurité matérielle disposent maintenant de moyens de gestion de flotte semblables à ce qui existe depuis longtemps côté sécurité logicielle.
Les critères d’un objet dédié à l’authentification pour une logistique optimisée
Un objet dédié à la sécurité des authentifications des collaborateurs implique inévitablement d’être compatible avec les aléas de la vie d’entreprise. Pour que la logistique d’un objet dédié à l’authentification soit la plus fluide possible, il est indispensable de s’assurer qu’il soit compatible avec les situations suivantes, courantes dans le monde du travail :
- Les pertes, oublis et vols :
L’objet doit être facilement administrable et réinitialisable, afin qu’en cas d’oubli, de perte ou de vol, le collaborateur puisse rapidement récupérer l’ensemble de ses accès par une restauration.
- Le turnover et les mouvements en entreprise :
L’objet de sécurité doit avoir un cycle de vie maîtrisable par la DSI. Lorsqu’un salarié quitte l’entreprise ses accès doivent pouvoir être révoqués instantanément par l’administrateur, pour éviter les failles de sécurité comme les comptes fantômes. Il sera également possible d’attribuer l’objet vierge à un nouvel entrant, avant de le personnaliser avec ses différents accès et droits par exemple.
- La multiplicité des services et devices utilisés en entreprise :
Avant de choisir un outil de Mobile Device Management ou un objet dédié à la sécurité, assurez-vous qu’il soit compatible avec l’existant. Vous pourrez ainsi vous assurer qu’il remplisse pleinement sa fonction et vous évite des coûts supplémentaires.
- Les différentes populations de collaborateurs, du technophile au néophyte :
L’objet dédié à l’authentification doit pouvoir être pris en main par tous les profils de collaborateurs, du plus expert au moins technique.
- Les différents cas d’usage :
La solution doit nécessairement évoluer en même temps que les process de la structure. Pour une logistique optimale, l’outil doit nécessairement pouvoir se mettre à jour et recevoir les différents secrets à distance, de manière sécurisée.
L’équilibre OneWave : une administration optimale et une sécurité robuste
Alors que certains objets dédiés à l’authentification sont difficilement administrables, la OneWave a été conçue pour simplifier la vie des collaborateurs et des administrateurs. Adaptée aux aléas de la vie d’entreprise et à ses imprévus, la OneWave propose une restauration des sauvegardes simple et sécurisée, en cas de perte ou de vols.
Son interface a été pensée pour gérer la flotte des différentes cartes en un seul coup d’œil. Son administrateur a accès en quelques clics à chaque carte, ainsi qu’à la personne à qui elles ont été attribuées. Les DSI et RSSI peuvent donc adapter les droits facilement, en fonction du rôle du collaborateur dans l’entreprise mais également du contexte. Ainsi, la OneWave peut être paramétrée pour demander un facteur d’authentification supplémentaire ou plus régulier, si la personne est connectée sur un autre réseau, ou en télétravail par exemple.
La gestion de flotte peut également se faire en un temps record, avec des fonctionnalités comme le push access, qui envoie directement les accès et les secrets d’un collaborateur sur sa carte à travers des canaux sécurisés. Le support informatique gagne en temps et en confort de travail, tout en sécurisant de manière très robuste les différents accès des collaborateurs.
Ce qu’il faut retenir
- Un objet de confiance sera forcément nécessaire si vous souhaitez instaurer l’authentification multifacteur sur un ou plusieurs de vos services.
- Le smartphone en tant qu’objet de confiance présente des failles de sécurité.
- Les clefs USB dédiées à la sécurité sont difficilement administrables, et peu accessibles au moins technophiles de nos entreprises.
- Contrairement aux idées reçues, le Mobile Device Management pour gérer une flotte de mobiles peut être plus compliqué à administrer qu’une flotte d’objets dédiés.
- La OneWave offre un parfait équilibre entre sécurité des accès et logistique, avec une facilité d’administration et de déploiement sans égale ôté DSI.
Sources :
1 https://atlasvpn.com/blog/apple-products-vulnerabilities-surge-by-over-450
2 https://www.phonandroid.com/google-a-detecte-58-failles-zero-day-en-2021-un-record-absolu.html