Adoption des clés d’accès d’entreprise : nuances et défis

La transition vers les clés d’accès promet aux organisations une solution rentable pour une authentification robuste des employés, des gains de productivité et le respect des réglementations. Nous avons déjà abordé tous les avantages et inconvénients de cette solution commerciale dans un article consacré à ce sujet. Cependant, le succès de la transition, voire sa faisabilité, dépend en réalité des détails techniques et des spécificités de mise en œuvre dans de nombreux systèmes d’entreprise.

Prise en charge des clés d’accès dans les systèmes de gestion des identités

Avant de vous attaquer aux défis organisationnels et à la révision des stratégies, vous devrez déterminer si vos systèmes informatiques centraux sont prêts pour le passage aux clés d’accès.

Microsoft Entra ID (Azure AD) prend entièrement en charge les clés d’accès, ce qui permet aux administrateurs de les définir comme méthode de connexion principale. Pour les déploiements hybrides avec des ressources locales, Entra ID permet de générer des tickets Kerberos (TGT), que votre contrôleur de domaine Active Directory peut ensuite traiter.

Cependant, Microsoft ne propose pas encore de prise en charge native des clés d’accès pour les connexions RDP, VDI ou AD sur site uniquement. Cela dit, grâce à quelques solutions de contournement, les organisations peuvent stocker les clés d’accès sur un jeton matériel, comme une YubiKey. Ce type de jeton peut prendre en charge simultanément la technologie PIV (cartes à puce) traditionnelle et la technologie FIDO2 (clés d’accès). Il existe également des solutions tierces pour ces scénarios, mais vous devrez évaluer leur impact sur votre niveau de sécurité global et votre conformité réglementaire.

Bonne nouvelle pour les utilisateurs de Google Workspace et de Google Cloud : ces services offrent désormais une prise en charge complète des clés d’accès.

Les systèmes de gestion d’identité populaires tels que Okta, Ping, Cisco Duo et RSA IDplus prennent également en charge la technologie FIDO2 et toutes les principales formes de clés d’accès.

Prise en charge des clés d’accès sur les appareils clients

Nous avons publié un article détaillé à ce sujet. Tous les systèmes d’exploitation modernes de Google, Apple et Microsoft prennent en charge les clés d’accès. Toutefois, si votre entreprise utilise Linux, vous aurez probablement besoin d’outils supplémentaires, et l’assistance générale est encore limitée.

De plus, bien que les principaux systèmes d’exploitation semblent prendre en charge l’ensemble des logiciels, la manière dont les clés d’accès sont stockées varie considérablement, ce qui peut entraîner des problèmes de compatibilité. Les combinaisons de plusieurs systèmes, par exemple un ordinateur Windows et un smartphone Android, sont les plus problématiques. Vous risquez de créer une clé d’accès sur un appareil et de vous apercevoir que vous ne pouvez pas l’utiliser sur un autre. Pour les entreprises disposant d’un parc d’appareils strictement administrés, il existe deux façons de résoudre ce problème. Par exemple, vous pouvez demander aux employés de générer un mot de passe distinct pour chaque appareil de l’entreprise qu’ils utilisent. La configuration initiale est donc un peu plus complexe : les employés devront suivre le même processus de création d’un mot de passe sur chaque appareil. Cependant, une fois cette étape réalisée, la connexion ne prend que très peu de temps. De plus, si un employé perd un appareil, il ne sera pas complètement privé de toutes ses données de travail.

Une autre option consiste à utiliser un gestionnaire de mots de passe approuvé par l’entreprise pour stocker et synchroniser les codes d’accès sur les appareils de tous les employés. Il s’agit également d’une nécessité pour les entreprises utilisant des ordinateurs Linux, car ce système d’exploitation ne permet pas de stocker les clés de passe de manière native. Attention : cette approche pourrait ajouter une certaine complexité aux audits de conformité réglementaire.

Si vous recherchez une solution qui ne pose pratiquement aucun problème de synchronisation et qui fonctionne sur plusieurs plateformes, les clés matérielles telles que la YubiKey sont la solution idéale. Le hic, c’est que cette solution peut s’avérer beaucoup plus coûteuse à mettre en place et à gérer.

Prise en charge des clés d’accès dans les applications d’entreprise

Le scénario idéal pour intégrer les clés d’accès à vos applications professionnelles consiste à faire en sorte que toutes vos applications utilisent l’authentification unique (SSO). Il vous suffit alors de mettre en œuvre la prise en charge des clés d’accès dans votre solution d’authentification unique d’entreprise, comme Entra ID ou Okta. Cependant, si certaines de vos applications d’entreprise critiques ne prennent pas en charge l’authentification unique, ou si cette prise en charge ne fait pas partie de votre contrat (ce qui est malheureusement souvent le cas), vous devrez attribuer des clés d’accès individuelles à chaque utilisateur pour qu’il puisse se connecter à chaque système séparément. Les jetons matériels peuvent stocker entre 25 et 100 clés d’accès, ce qui signifie que votre principal coût supplémentaire sera lié à l’administration.

Les systèmes professionnels populaires qui prennent entièrement en charge les clés d’accès incluent Adobe Creative Cloud, AWS, GitHub, Google Workspace, HubSpot, Office 365, Salesforce et Zoho. Certains systèmes SAP prennent également en charge les clés d’accès.

Préparation des employés

Le déploiement des clés d’accès permet à votre équipe d’être opérationnelle rapidement, quel que soit le scénario. Il ne faut pas que vos employés se creusent la tête pour tenter de comprendre le fonctionnement d’une nouvelle interface. L’objectif est que tout le monde se sente à l’aise pour utiliser des clés d’accès sur chaque appareil. Voici les points essentiels que vos employés doivent comprendre.

• Pourquoi les clés d’accès sont plus efficaces que les mots de passe (elles sont beaucoup plus sûres, permettent une connexion plus rapide et n’ont pas besoin d’être changées)
• Comment fonctionne la biométrie avec des clés d’accès (les données biométriques ne quittent jamais l’appareil et ne sont pas stockées ni traitées par l’employeur)
• Comment obtenir leur toute première clé d’accès (par exemple, Microsoft dispose d’une fonctionnalité de mot de passe d’accès temporaire, et les systèmes IAM tiers envoient souvent un lien d’intégration ; le processus doit cependant être minutieusement documenté)
• Que faire si l’appareil ne reconnaît pas la clé d’accès
• Que faire en cas de perte de l’appareil (se connecter à partir d’un autre appareil disposant de sa propre clé d’accès ou utiliser un mot de passe à usage unique, éventuellement remis dans une enveloppe scellée prévue à cet effet)
• Comment se connecter aux systèmes professionnels à partir d’autres ordinateurs (si les stratégies de l’entreprise le permettent)
• À quoi peut ressembler une tentative de phishing impliquant une clé d’accès

Les clés d’accès ne sont pas la solution miracle

Le passage aux clés d’accès ne signifie pas que votre équipe de cybersécurité peut simplement rayer les menaces liées à l’identité de sa liste de risques. Bien sûr, cette mesure complique la tâche des pirates informatiques, mais ceux-ci peuvent toujours s’y prendre autrement :

• Cibler les systèmes qui ne sont pas passés aux clés d’accès
• Viser les systèmes qui utilisent encore des méthodes d’identifiant de secours, comme les mots de passe et les mots de passe à usage unique
• Voler les jetons d’authentification des appareils infectés par des voleurs d’informations
• Utiliser des techniques spéciales pour contourner les protections par clé d’accès

Bien qu’il soit impossible de voler la clé d’accès elle-même, les pirates peuvent configurer une infrastructure Web factice pour inciter une victime à s’authentifier et à valider une session malveillante sur un service d’entreprise.

Un exemple récent de ce type d’attaque AiTM a été signalé aux États-Unis. Dans cette affaire, la victime a été attirée vers une fausse page d’authentification d’un service d’entreprise, où les pirates informatiques ont d’abord obtenu son nom d’utilisateur et son mot de passe par une attaque de phishing, puis ont validé la session en lui faisant scanner un code QR. Dans cet incident, les stratégies de sécurité étaient correctement configurées, donc le scan de ce code QR n’a pas permis d’authentifier correctement l’utilisateur. Toutefois, étant donné qu’un tel mécanisme avec clés d’accès avait été mis en place, les pirates comptaient sur une faille de configuration, et espéraient que la proximité physique entre le terminal d’authentification et celui contenant la clé ne serait pas contrôlée.

Pour finir, il est à noter que le passage aux clés d’accès requiert une configuration détaillée de la stratégie. Il s’agit à la fois des stratégies d’authentification (comme la désactivation des mots de passe lorsqu’une clé d’accès est disponible ou l’interdiction des jetons physiques provenant de fournisseurs inconnus) et des stratégies de surveillance (comme l’enregistrement des enregistrements de clés d’accès ou des scénarios multi-appareils provenant d’emplacements suspects).