James Thew - Fotolia
MFA : quels sont les principaux produits du marché ?
Les produits permettant de déployer l’authentification à facteurs multiples ne manquent pas sur le marché. Les principaux facteurs de choix portent sur les capacités d’intégration, les contraintes de déploiement et de maintenance, mais également le support des approches passwordless et de l’authentification adaptative.
Le marché de gestion des identités et des accès (IAM) est extrêmement riche en solutions de gestion d’authentification à facteurs multiples (MFA). Le choix peut n’en être que plus difficile.
De toute évidence, il doit être établi suivant les impératifs d’intégration spécifiques au portefeuille applicatif à couvrir. Mais l’éventail de moyens d’authentification et leur simplicité d’usage ne sont pas pour autant à négliger : ils influeront sur l’adhésion des utilisateurs. Et de plus en plus, la MFA adaptative (à savoir plus ou moins contraignante, suivant le niveau de risque) s’impose comme largement incontournable.
Des solutions françaises
Dans l’Hexagone, il faut au moins compter sur Ilex, IS Decisions (UserLock), TrustBuilder et Wallix pour proposer des solutions d’authentification à facteurs multiples – ainsi que de SSO. Passé dans le giron d’Inetum à l’automne 2021, Ilex est loin d’être inconnu sur le marché français. Lors de son rachat, l’éditeur revendiquait plus de 300 clients et 14 millions d’utilisateurs. Parmi ceux-ci, on comptait notamment Lactalis, le CHU de Montpellier, Ramsay Générale de Santé, Crédit Agricole SA, Generali, ou encore Canal+ (pour un projet de CIAM, l’IAM appliquée aux clients). La solution Sign&Go d’Ilex supporte l’authentification adaptative depuis 2017.
Okta
Okta est incontournable sur le marché de la gestion des identités et des accès. L’éditeur propose une solution de MFA basée sur le risque qui utilise des politiques d’accès contextuelles. En fonction de l’emplacement, de l’adresse IP ou de l’appareil de l’utilisateur, Okta Adaptive MFA peut demander le bon facteur d’authentification de niveau supérieur pour ouvrir à l’utilisateur un accès sécurisé. Les administrateurs peuvent définir les types de facteurs dont les utilisateurs ont besoin pour l’accès en fonction de leur rôle dans l’entreprise.
Le produit Okta Adaptive MFA prend en charge l’authentification par notification push et par jeton logiciel. Les clés physiques YubiKeys sont également supportées. Les outils d’Okta peuvent notamment être déployés pour les services VPN, RDP, ou encore SSH. Okta propose également un agent pour serveur Radius.
Ping Identity
PingID est un outil d’authentification multifactorielle de Ping Identity fourni par le biais de la plateforme PingOne. PingID fournit une authentification multifactorielle pour les applications cloud, les applications sur site, les VPN, Windows Server, RDP et SSH. Il s’intègre à Azure Activity Directory et à Active Directory Federation Services.
Les méthodes d’authentification supportées, côté utilisateur, sont nombreuses. À tel point que si les utilisateurs n’ont pas accès à leurs terminaux mobiles, ils peuvent toujours se connecter en utilisant des OTP vocaux et par courriel, des applications de poste de travail protégées par un code PIN, les YubiKeys, les Apple Watches et les Nymi Bands.
En outre, le kit de développement logiciel mobile PingID permet aux clients d’intégrer une fonctionnalité MFA avancée directement dans leurs applications mobiles iOS ou Android.
RSA Authentication Manager
RSA Authentication Manager, de RSA Security, est la plateforme qui sous-tend le produit RSA SecurID. RSA Authentication Manager offre une authentification multifactorielle sous la forme d’une appliance virtuelle ou matérielle. Une entreprise peut également combiner les deux solutions au sein d’une même implémentation.
Le logiciel permet aux administrateurs RSA SecurID de gérer de manière centralisée les méthodes d’authentification, les profils d’utilisateurs, les applications et les agents sur plusieurs sites physiques. RSA Authentication Manager vérifie également les demandes d’authentification et gère de manière centralisée les politiques d’authentification des entreprises pour leurs utilisateurs finaux.
La console en libre-service vise à résoudre les tâches les plus longues et les plus chronophages associées à la gestion d’un outil d’authentification d’entreprise : les utilisateurs peuvent modifier leurs propres codes PIN, demander des jetons de remplacement, demander un accès d’urgence et résoudre les problèmes sans contacter directement le service d’assistance.
SecureAuth IdP
SecureAuth IdP de SecureAuth offre plus de 25 méthodes d’authentification, y compris les SMS, le téléphone, les codes à usage unique, les notifications push, les clés USB et le push to accept. L’outil n’impose une étape d’authentification multifactorielle que s’il identifie un risque. Il est proposé en mode SaaS.
SecureAuth IdP permet de développer différents workflows d’authentification personnalisés, pour un utilisateur particulier, un groupe d’utilisateurs ou des applications spécifiques, voire en fonction de risques spécifiques.
L’outil s’intègre à divers types d’annuaires, notamment LDAP, SQL, Oracle, ASP.NET et d’autres magasins de données.
Symantec VIP (Validation et protection de l’identité)
Symantec VIP est un service d’authentification forte basé sur le cloud qui fournit un accès sécurisé aux données et applications sensibles.
Symantec VIP permet aux entreprises de sécuriser tous leurs utilisateurs, c’est-à-dire leurs employés, leurs travailleurs à distance, leurs partenaires, leurs sous-traitants, leurs fournisseurs et leurs clients.
Le profilage des comportements et des appareils est utilisé pour empêcher les tentatives de connexion à risque, sans modifier l’expérience de connexion d’un utilisateur légitime.
Le client d’authentification permet d’utiliser le capteur biométrique du terminal mobile pour s’authentifier. Il supporte également la connexion de proximité mains libres, ainsi que la vérification push.
Pour l’OTP, les jetons matériels, logiciels et les identifiants OTP mobiles sont supportés, notamment.
Les entreprises peuvent ajouter une couche d’authentification forte à leurs applications Web en utilisant les API de Symantec VIP. Un kit de développement permet d’en faire autant pour les applications mobiles.
Microsoft MFA avec Azure AD
Microsoft supporte également l’authentification à facteurs multiples avec Azure AD. L’éditeur propose à cette fin son propre client mobile d’authentification, combinant protection biométrique et confirmation de code numérique partagé. Mais pour l’authentification forte avec Azure AD, Microsoft supporte également les certificats numériques et les clés FIDO2. De facto, toutes les applications pour lesquelles l’authentification dépend l’Azure AD profitent automatiquement de la MFA dès que celle-ci est activée.
Un large éventail d’offres
Mais les offres du marché de la MFA ne se limitent pas à ces quelques exemples. Cisco s’est doté d’une solution d’authentification à facteurs multiples durant l’été 2018, avec l’acquisition de Duo Security. CyberArk, connu initialement pour ses solutions de gestion des accès à privilèges, propose Workforce Identity, une solution complète de gestion des identités avec MFA adaptative. Micro Focus, avec NetIQ Access Manager, est également présent sur le marché, et il faut encore compter avec AWS, Entrust, Evidian (Authentication Manager), ForgeRock, Fortinet, Google, HID, Imprivita, ManageEngine, MobileIron, ou encore Thales.
SSO, MFA… ou les deux ?
Lorsque vous envisagez d’utiliser des produits MFA, vous devez également réfléchir à la manière de les coordonner avec les outils SSO (ou Single Sign-On) pour ouverture de session unique. L’intégration de la MFA avec le SSO vous permet de définir des politiques de sécurité plus strictes pour l’accès aux systèmes très sensibles.
Cependant, les fournisseurs de SSO se diversifient depuis plusieurs années dans le marché de la MFA avec le support d’une variété de jetons et de méthodes d’accès. SecureAuth et Ping Identity illustrent bien cette approche. Pourquoi une entreprise utiliserait-elle le SSO plutôt qu’un outil MFA pur et dur ? Il y a plusieurs raisons à cela.
Tout d’abord, si une entreprise utilise de nombreux services en mode cloud, elle peut souhaiter disposer d’un meilleur mécanisme pour permettre aux utilisateurs de s’y connecter. S’il est correctement paramétré, un outil SSO peut permettre aux utilisateurs de se connecter automatiquement à ces services, sans qu’ils aient à se souvenir de leurs mots de passe – et avec des mots de passe très forts.
La plupart des principaux services cloud supportent la norme SAML 2.0, que la plupart des outils SSO utilisent pour créer leur connexion. Si l’ensemble des services d’une entreprise ne prend pas encore en charge la norme SAML, l’entreprise ne sera probablement pas satisfaite des outils SSO ou MFA. Toutefois, si la plupart des applications d’une entreprise se trouvent dans son centre de calcul, elle voudra probablement utiliser des outils d’authentification à facteurs multiples qui s’appuient sur des appareils matériels ou logiciels dédiés pour protéger ces ressources.
Ensuite, si les entreprises sont moins préoccupées par les facteurs d’authentification supplémentaires que par la préservation et l’intégrité globales de l’identité, le SSO peut être une meilleure option. Cependant, si une organisation a une ou deux applications internes qu’elle doit protéger par des facteurs multiples, elle aura probablement intérêt à opter pour la MFA.
Il est également possible d’intégrer à la fois le SSO et la MFA, ce que les entreprises proposent généralement. Et il y a une bonne raison à cela : cela simplifie la vie des utilisateurs finaux tout en renforçant la sécurité de leurs comptes. Une façon de renforcer l’adhésion.
Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)
-
IAM : l’importance du provisionnement et du déprovisionnement des utilisateurs
-
Administration cloud : comment sécuriser Azure Functions avec Entra ID
-
« MFA : la sensibilisation des collaborateurs est nécessaire » (Antoine Coutant, Synetis)
-
Julien Mousqueton : « la question n’est plus s’il faut mettre en œuvre la MFA, mais quelle MFA »