Les meilleures pratiques IAM pour renforcer la sécurité des entreprises
À l’occasion du Cybermoi/s 2024, nous partageons avec vous les meilleures pratiques IAM pour renforcer la sécurité des entreprises
Dans son offre My-Access, Memority propose un ensemble de mécanismes pour organiser et personnaliser l’authentification des utilisateurs aux applications fédérées en fonction de leur identité, de l’appareil et du réseau utilisés, et de l’application à laquelle ils souhaitent accéder. Avec Memority on s’adapte !
Pour mieux comprendre comment gérer plusieurs moyens d’identification avec un seul tenant, imaginons une société, que nous allons appellerons myCompany. Chez myCompany, nous avons, bien sûr, des employés internes, mais également des prestataires. Les employés de myCompany ont à leur disposition le matériel fourni par la société – PC et carte à puce par exemple – , leur permettant d’accéder aux applications du SI. Les prestataires, cependant, viennent chez myCompany en utilisant leur propre matériel (fourni par leur société prestataire). Ces derniers doivent tout de même pouvoir accéder à des applications du SI de myCompany pour effectuer correctement leur mission. Voyons comment.
Pour les employés internes, afin de rendre l’authentification la plus fluide possible, Memority est en mesure de leur proposer divers moyens, tels que l’authentification Kerberos, Windows Hello ou la carte à puce, et, en complément, de mettre en place des règles d’authentification adaptative en fonction du contexte. Par exemple, il est possible de déclencher l’authentification Kerberos automatiquement et directement si l’utilisateur n’est pas sur un mobile. Si celle-ci est valide, alors l’authentification est totalement transparente pour l’utilisateur. En revanche, si celle-ci échoue (car l’utilisateur ne se trouve pas sur le réseau de myCompany et/ou pas sur un PC fourni par myCompany), alors les autres modes d’authentification disponibles en fonction du contexte peuvent être proposés, tels que la carte à puce, si celle-ci est détectée sur le poste, ou Windows Hello, si un enrôlement Windows Hello du poste de myCompany a été effectué auparavant par l’utilisateur. Mais que se passe-t-il si un employé a besoin d’accéder à certaines applications depuis un mobile ? Les moyens d’authentification précédents étant limités au PC, il est possible d’ajouter un autre moyen, par exemple par login / mot de passe, qui serait alors disponible uniquement pour les employés, et uniquement sur un appareil mobile. Les employés de myCompany disposent alors de 4 moyens d’authentification différents pour accéder aux applications du SI. Quel choix !
Mais qu’en est-il des prestataires ? N’ayant pas de matériel fourni par myCompany, ils ne peuvent utiliser ni Kerberos, ni Windows Hello, ni une carte à puce. Pourquoi ne pas leur proposer des moyens de double facteur d’authentification proposés par l’offre My-Keys de Memority ? Sur un PC, le prestataire pourrait enrôler un navigateur. L’authentification Memority serait alors possible uniquement sur ce navigateur, et en particulier sur ce poste. Le prestataire peut également utiliser l’application mobile Memority disponible sur les app store Android et iOS afin de recevoir des notifications push à valider lors de l’authentification. Si le prestataire n’a pas de mobile fourni par sa propre société et ne souhaite pas installer d’application sur son mobile personnel, l’envoi d’un OTP par SMS ou mail peut également être proposé. L’offre My-Keys permet la gestion de ces différents seconds facteurs : elle détermine qui peut en bénéficier, quel est le process d’activation associé, quelles actions sont disponibles en self-service, etc. Et donc, bien sûr, seuls les moyens d’authentification activés pour/par l’utilisateur lui seront proposés à l’authentification. Ainsi, les prestataires disposent également de 4 moyens d’authentification pour accéder aux applications du SI de myCompany. Egalité, pas de jaloux
À tous ces critères basés sur l’identité, l’appareil et le réseau, s’ajoute enfin l’application accédée. Pour chaque moyen d’authentification défini chez myCompany, un niveau de sensibilité est défini. Il en va de même pour chaque application fédérée à Memority. Ainsi, lors de l’accès à une application, que l’on soit employé ou prestataire, sur un PC ou sur mobile, en interne ou externe au réseau de la société, seuls les moyens d’authentification dont le niveau de sensibilité est égal ou supérieur à celui de l’application sont possibles et donc proposés lors de l’authentification (en combinaison des critères définis précédemment).
Tout ceci est bien sûr un exemple. La personnalisation de l’authentification adaptative Memority peut très bien être simplifiée ou, au contraire, étendue à d’autres moyens d’authentification à disposition, à d’autres critères de l’identité, etc. Avec Memority, tout devient possible !