Tout savoir sur la méthode d'authentification externe EAM

Qu'est-ce qu'une méthode d'authentification externe (EAM) ?

Les infrastructures technologiques modernes incluent toute une gamme de services internes et tiers. Le découplage des services est un élément clé de l'architecture en microservices. Il peut aider les entreprises à créer de la valeur plus rapidement et en réduisant le nombre de points de défaillance. Cependant, l'augmentation du nombre de services impliqués dans le développement logiciel s'accompagne de compromis. Chaque nouveau service rend la gestion des identités et des accès (IAM) plus complexe.

Chaque nouveau service peut introduire une nouvelle méthode d'authentification qui ne serait pas conforme aux règles de sécurité ou aux exigences réglementaires. Une sécurité insuffisante en matière d'authentification au sein d'un seul service peut entraîner des cyberattaques et des compromissions de données coûteuses.

Les méthodes d'authentification externes (EAM) traditionnelles s'appuient sur des fournisseurs d'identité (IdP) tels qu'Okta, Entra ID et Google Identity pour authentifier les utilisateurs. Ces solutions vérifient les identifiants et imposent l'authentification à plusieurs facteurs, mais n'analysent pas les signaux de risque en temps réel.

CrowdStrike va plus loin dans l'EAM en combinant l'authentification avec une analyse des risques avancée. CrowdStrike Falcon® Next-Gen Identity Security évalue en permanence les scores de risque des utilisateurs, les indicateurs de fiabilité des appareils et la cyberveille avant d'autoriser l'accès. Cette approche empêche les cyberadversaires de contourner l'authentification à l'aide d'identifiants volés, d'attaques par lassitude du MFA ou d'endpoints compromis.

Cet article examine les éléments essentiels de l'EAM, son processus d'authentification, ses avantages, ses risques, ses défis et les solutions proposées.

Comprendre l'écosystème EAM

Les implémentations EAM traditionnelles confient la gestion de l'authentification à des fournisseurs d'identité tiers, qui vérifient les identifiants des utilisateurs, l'authentification multifacteur (MFA) ou les données biométriques avant de délivrer un jeton d'authentification (par exemple, JWT ou SAML). Si cette approche simplifie la gestion des identités, elle ne permet toutefois pas d'évaluer les facteurs de risque tels que les identifiants compromis, les comportements de connexion inhabituels ou l'état de sécurité des endpoints.

CrowdStrike Falcon® Next-Gen Identity Security renforce l'EAM en mettant en place une authentification basée sur les risques. Au lieu de se fier aveuglément aux fournisseurs d'identité (IdP), Falcon Next-Gen Identity Security évalue :

• Les scores de risque des utilisateurs : signale les utilisateurs présentant des comportements de connexion inhabituels.
• La confiance des appareils : garantit que seuls les appareils sécurisés et gérés peuvent s'authentifier.
• La cyberveille : identifie les identifiants compromis, les tentatives de bombardement de demandes MFA ou les tactiques des cyberadversaires.

Cette approche fondée sur les risques va au-delà de la simple validation des identifiants : elle garantit que les demandes d'authentification proviennent d'utilisateurs légitimes utilisant des appareils sécurisés.

Le déchargement du processus d'authentification améliore la sécurité, l'évolutivité et l'expérience utilisateur. Il réduit également les risques liés à la gestion décentralisée des identités. 

EAM utilise le modèle de sécurité Zero Trust. Par défaut, EAM ne fait confiance à aucun utilisateur ni à aucun appareil et exige une vérification explicite pour authentifier une identité. L'EAM aide également les entreprises à respecter les exigences de conformité en appliquant les meilleures pratiques en matière de traitement des données. 

IdP fédérés

Les IdP fédérés agissent comme une source de vérité pour l'authentification des identités. Parmi les IdP fédérés les plus connus, on peut citer Okta, Azure AD et Google Identity. Ces fournisseurs vérifient l'identité des utilisateurs et émettent un jeton JWT ou SAML, qui est ensuite utilisé par les applications métier pour l'autorisation et la gestion des sessions. 

Grâce à ce modèle d'authentification centralisé, les entreprises n'ont plus besoin de recourir à de multiples systèmes d'authentification disparates pour chacun des services de leur infrastructure technologique, et éliminent ainsi les risques qui y sont associés.

Authentification unique

L'authentification unique (SSO) est un modèle d'authentification qui permet aux utilisateurs de se connecter à plusieurs applications à l'aide d'une seule identité centralisée. Avec l'authentification unique, les applications métier délèguent la gestion de l'authentification à un IdP centralisé. SSO évite les authentifications répétées, offre une expérience utilisateur fluide, réduit la fatigue liée aux mots de passe et minimise les risques de sécurité. 

Authentification multifacteur

L'authentification multifacteur (MFA) renforce la sécurité de l'EAM en demandant à l'utilisateur de fournir une vérification supplémentaire avant de confirmer son identité. Le MFA utilise généralement un nom d'utilisateur et un mot de passe, associés à un facteur d'authentification supplémentaire choisi parmi les options courantes de MFA telles que les SMS, les mots de passe à usage unique (OTP) générés par une application, la biométrie ou jetons OTP matériels. En appliquant le MFA, les implémentations EAM réduisent le risque d'attaques par force brute et les dommages causés par les fuites d'identifiants.

Fonctionnement de l'EAM : flux d'authentification

Le flux d'authentification dans un déploiement EAM amélioré par CrowdStrike inclut une couche supplémentaire d'analyse des risques :

1. L'utilisateur lance la demande de connexion.

2. La demande d'authentification est interceptée par Falcon Next-Gen Identity Security, qui évalue les signaux de risque en temps réel avant de transmettre la requête à l'IdP.

3. La prise de décision fondée sur les risques intervient :

• Si la connexion présente un risque faible → L'utilisateur est redirigé vers l'IdP pour une authentification standard.
• Si la connexion présente un risque élevé → CrowdStrike met en œuvre des contrôles de sécurité adaptatifs, tels que le blocage de l'accès, l'application d'une authentification renforcée ou l'alerte des équipes de sécurité.

4. L'IdP vérifie les identifiants et le MFA, puis il émet un jeton JWT/SAML.

5. CrowdStrike surveille en permanence l'activité des sessions pour détecter les risques post-authentification.

Quatre avantages clés de l'EAM pour les entreprises modernes

L'EAM simplifie la gestion des identités et des accès pour les entreprises et évite d'avoir à gérer des bases de données et des services internes destinés au stockage des identifiants utilisateurs. 

Les quatre principaux avantages de l'EAM sont : 

1. La prévention proactive des cybermenaces : contrairement aux IdP traditionnels, Falcon Next-Gen Identity Security bloque activement les attaques ciblant l'identité avant qu'elles n'atteignent les applications.

2. Le contrôle d'accès basé sur les risques : CrowdStrike analyse en permanence les signaux relatifs aux utilisateurs, aux appareils et aux cybermenaces afin de déterminer si une connexion doit être autorisée, contestée ou bloquée.

3. L'amélioration du niveau de sécurité et de conformité : les entreprises qui utilisent Falcon Next-Gen Identity Security pour l'EAM bénéficient d'une surveillance en temps réel des risques liés à l'authentification, réduisant ainsi leur vulnérabilité face au vol d'identifiants, aux attaques par lassitude vis-à-vis du MFA et à la prise de contrôle de comptes.

4. Une expérience utilisateur fluide sans compromettre la sécurité : en supprimant les étapes d'authentification superflues pour les utilisateurs à faible risque, CrowdStrike concilie sécurité et confort d'utilisation.

Risques et défis potentiels de l'EAM

L'EAM simplifie la gestion des identités et la sécurité, mais elle comporte également certains risques et pose des défis opérationnels. Lors de l'élaboration d'une stratégie EAM, les entreprises devraient prendre en compte les obstacles les plus courants dans l'EAM.

Risque d'arrêt lié aux dépendances externes de l'IdP 

Les solutions EAM traditionnelles reposent entièrement sur des IdP externes. Si un IdP tombe en panne, l'authentification échoue, empêchant ainsi les utilisateurs d'accéder aux applications essentielles. Une compromission de données dans le système IdP pourrait divulguer des données sensibles des utilisateurs ou exposer les applications à des attaques par usurpation d'identité. Les entreprises doivent réexaminer régulièrement leurs règles d'émission de jetons afin d'atténuer ces risques et de s'assurer que les applications en aval respectent les meilleures pratiques de validation. 

Comment CrowdStrike vous aide :

• Évaluation des risques hors ligne : Falcon Next-Gen Identity Security empêche le verrouillage complet de l'IdP en évaluant en permanence les signaux de risque, même lorsque l'IdP n'est pas disponible.
• Contrôles de sécurité adaptatifs : en cas d'indisponibilité de l'IdP, Falcon Next-Gen Identity Security peut mettre en œuvre des mécanismes d'authentification de secours afin d'assurer la continuité des activités.

Les règles devraient imposer l'utilisation de jetons à durée de vie limitée et à portée restreinte afin de réduire le risque d'utilisation abusive par des acteurs malveillants. De plus, il est essentiel d'évaluer régulièrement le niveau de sécurité de l'IDP et de mettre en place des accords de niveau de service (SLA) afin d'assurer la responsabilité. 

Mauvaises pratiques en matière de gestion des identités 

Des pratiques incohérentes en matière de gestion des identités de la part du fournisseur de l'IdP externe peuvent entraîner la création de comptes en double, ce qui provoque des problèmes de connexion et alourdit la charge de travail du service informatique. Pour éviter cela, configurez les applications avec un identifiant d'entité unique et assurez-vous que les comptes utilisateurs sont associés à un identifiant unique. 

Risques liés aux comptes orphelins et difficultés liées au départ

L'absence de workflows de départ des utilisateurs peut entraîner l'apparition de comptes orphelins, c'est-à-dire des comptes qui restent actifs dans l'IDP même après que l'utilisateur a quitté l'entreprise. Cela augmente le risque d'accès non autorisé. Le risque lié aux comptes orphelins peut être atténué en mettant en place des workflows de mise hors service qui synchronisent les comptes entre l'IdP et les systèmes internes.

Assistance et sécurisation des solutions EAM

L'EAM réduit considérablement le temps et les efforts nécessaires à la mise en place d'un système d'authentification, ce qui permet d'améliorer la sécurité, la conformité, la normalisation et l'évolutivité. L'EAM offre aux utilisateurs finaux une expérience de connexion fluide sur toutes les applications et évite les authentifications répétées. 

L'authentification IDP traditionnelle seule ne suffit pas à stopper les attaques d'identité modernes. La solution CrowdStrike Falcon® Next-Gen Identity Security renforce l'EAM en analysant les signaux de risque en temps réel, garantissant ainsi que seuls les utilisateurs de confiance et les appareils sécurisés obtiennent l'accès.

• Prévenir les attaques basées sur les identités avant l'authentification
• Bloquer les cyberadversaires qui utilisent des identifiants volés ou recourent à des tactiques de lassitude vis-à-vis du MFA
• Mettre en œuvre l'authentification adaptative à l'aide de règles basées sur les risques

CrowdStrike Falcon® Next-Gen Identity Security et ITDR offrent une protection en temps réel contre les attaques ciblant les identités, permettant ainsi aux entreprises d'identifier ces cybermenaces et d'y répondre dès qu'elles se produisent. Elle propose également des services professionnels de protection de l'identité permettant de surveiller de manière proactive les cybermenaces basées sur l'IdP, notamment Azure ID, Okta et Entra ID.