Le Guide complet sur l’authentification basée sur le niveau de risque

L’authentification basée sur le niveau de risque, également appelée RBA, a lieu lorsqu’un système d’authentification évalue le risque associé à chaque profil individuel essayant d’accéder au réseau (ou à une application). Il analyse la possibilité qu’un compte soit compromis ou qu’il y ait un autre type de faille de données à chaque tentative de connexion, en s’appuyant non seulement sur qui essaye de se connecter, mais aussi sur d’autres informations relatives aux circonstances de cette tentative de connexion (des précisions figurent ci-dessous).

En fin de compte, les entreprises font ceci chaque jour dans une certaine mesure, mais elles ne franchissent peut-être pas le pas supplémentaire pour se protéger. Pour les organisations qui veulent être certaines d’avoir de stricts contrôles de sécurité à chaque étape de la procédure d’accès, le moment est sans doute venu d’envisager l’adoption de l’authentification basée sur le niveau de risque, pour s’assurer que leurs clients sont bien ceux qu’ils prétendent être.

Mais, par où commencer ? Ce guide complet sur l’authentification basée sur le niveau de risque abordera :

• L’authentification basée sur le niveau de risque, c’est quoi ?

• La différence entre la RBA et l’authentification classique

• Comment fonctionne l’authentification basée sur le niveau de risque ?

• Avantages et inconvénients de l’authentification basée sur le niveau de risque

• Est-ce le moment d’investir dans l’authentification basée sur le niveau de risque ?

L’authentification basée sur le niveau de risque est une forme d’intelligence de l’identité qui se concentre sur qui se connecte, son profil d’identité et tout ce qui porte sur cette tentative de connexion pouvant être suspicieux et susceptible d’être le signe d’une faille de données potentielle.

En s’appuyant sur cette analyse, le système peut inviter une personne qui se connecte à fournir plus d’identifiants d’authentification comme l’authentification multi-facteurs (MFA), en particulier dans les cas où le système reconnaît son identité mais pas les autres attributs associés avec la connexion, ce qui vous protège tous deux pendant le processus.

Par exemple, si un employé qui se connecte régulièrement au système de RH depuis New York essaye soudainement de se connecter depuis Paris, cela peut être le signe que ses identifiants ont été compromis. En fonction des politiques qui sont en place, il peut être demandé à l’utilisateur à haut risque de fournir une forme supplémentaire d’authentification, de se ré-authentifier, de réinitialiser son mot de passe ou se voir accorder un accès réduit à l’application.

L’authentification basée sur le niveau de risque peut aussi identifier les moments où le risque est faible et l’utilisateur se situe dans des standards normaux en termes de comportement et de contexte. Dans ces circonstances, le système peut réduire les étapes requises pour obtenir l’accès, ce qui permet à l’employé ou au client de se connecter plus facilement et plus rapidement.

Exemples d’authentification basée sur le niveau de risque :

Il existe plusieurs scénarios différents dans lesquels la RBA reconnaitrait une menace potentielle. Intentionnellement ou non intentionnellement (de nombreuses failles de données se produisent accidentellement et le 2021 Data Breach Investigations Report de Verizon a constaté que 17 % des menaces proviennent de membres internes), vous pouvez comparer la RBA à un videur qui vérifie à deux reprises la liste d’invités, y compris lorsqu’il reconnaît les personnes qui font la queue.

• Région géographique : Si l’identité est reconnue mais que la connexion est réalisée depuis un endroit où elle n’a pas lieu habituellement, ou que des tentatives de connexion ont lieu depuis deux endroits qu’il est impossible de rejoindre en un temps donné.

• Moment de la journée : Si l’identité est reconnue mais que la connexion a lieu à un moment de la journée qui est inhabituel pour celle-ci.

• Terminal non reconnu : Si l’identité est reconnue mais que la connexion est réalisée depuis un terminal sur lequel cette identité ne se connecte habituellement pas.

• Réputation de l’adresse IP : Si l’adresse IP de l’utilisateur est associée à des activités frauduleuse ou malveillantes

• Anomalie au niveau de l’accès privilégié : lorsqu’un utilisateur a accès à un système ou une appli spécifique mais qu’il ne l’a encore jamais utilisé ou qu’il l’utilise rarement

Toutes les entreprises devraient avoir un système d’authentification de base, et certains seront plus complexes que d’autres. Mais si vous vous demandez ce qui distingue la RBA des méthodes classiques d’authentification, alors des différences importantes sont à noter.

Avant tout, l’authentification classique demande un seule procédure d’authentification pour tous les utilisateurs, toutes les interactions, toutes les transactions, etc. Cela a généralement lieu avec un nom d’utilisateur, un mot de passe, en appliquant parfois la MFA. Comme nous le savons trop bien, les mots de passe peuvent facilement être volés ou compromis, en particulier si aucun autre système d’authentification n’a été mis en place.

La différence avec l’authentification basée sur le niveau de risque, c’est le contexte. Chaque utilisateur et chaque connexion sont examinés en fonction de leur contexte spécifique, y compris les données géographiques, l’heure, le terminal, la posture et l’accès, comme indiqué ci-dessus. En s’appuyant sur l’évaluation générale du niveau de risque, le processus d’authentification est alors modifié pour atteindre un niveau suffisant de certitude sur l’identité de l’utilisateur, plutôt que d’appliquer les mêmes critères d’authentification pour tous.

La RBA utilise l’intelligence en temps réel pour avoir une vue globale du contexte qui se cache derrière chaque connexion. Elle tient compte du profil de l’identité qui demande l’accès, et détermine le niveau de risque de ce profil en examinant les autres circonstances qui entourent l’identité (certaines d’entre elles sont mentionnées ci-dessus) et l’action qu’il cherche à réaliser. En fonction de ce que le système définit sur le profil, il indique une authentification supplémentaire.

Les meilleurs systèmes d’authentification basés sur les niveaux de risque utilisent l’apprentissage automatisé, pour établir une base de référence du comportement typique d’un groupe d’utilisateurs particulier et détecter des anomalies comportementales lorsqu’elles ont lieu, en temps réel, tout en les classant par niveaux de risques différents. L’administrateur ou l’équipe de sécurité peuvent attribuer des actions spécifiques à chaque catégorie de risque.

Un exemple de RBA est le « geofencing », à savoir quand une entreprise met en place une barrière virtuelle autour de la (des) région(s) géographique(s) dans lesquelles leurs utilisateurs et leurs employés devraient se connecter, par exemple le siège social de l’entreprise. Lorsqu’un utilisateur essaye de se connecter depuis un autre endroit, ceci est automatiquement signalé par le biais de la solution d’authentification reposant sur les risques, qui répond en conséquence en présentant une authentification supplémentaire, notamment :

• Un code pin temporaire envoyé par SMS ou par email (mot de passe unique)

• Authentification multi-facteurs

• Une adresse électronique alternative

• La réponse à une question de sécurité ou un code/une réponse de sécurité

• Un élément biométrique, comme la reconnaissance faciale ou une empreinte digitale

L’authentification basée sur les risques est un pas en avant pour n’importe quelle entreprise souhaitant garantir la protection de ses clients et de ses employés tout en trouvant un juste milieu entre les niveaux de sécurité et de commodité. Mais, comme pour n’importe quelle grande décision, il est important de comprendre si des inconvénients sont à prévoir. Si l’authentification basée sur le niveau de risque ne présente que des atouts pour votre entreprise, il peut y avoir des avantages et des inconvénients lorsqu’il s’agit de passer à l’étape suivante :

Avantages de l’authentification reposant sur le niveau de risque :

• Réduit les risques et renforce la sécurité

• Des politiques flexibles basées sur l’évaluation des risques pour trouver un équilibre entre sécurité et commodité

• Une alternative assez facile à d’autres mesures de sécurité

• Rentable si l’on considère les économies potentielles sur le long terme lorsque la RBA empêche une faille de données

Inconvénients d’une authentification basée sur le niveau de risque :

• Les administrateurs doivent découvrir un nouveau système plus compliqué qu’une politique d’authentification standard à tous les niveaux

• Peut être difficile à mettre en œuvre

• Difficile d’accorder sa confiance à un nouveau système de sécurité

• Choisir la bonne solution et les bonnes politiques d’authentification basée sur le niveau de risque

Mettre en œuvre la RBA peut apporter d’énormes avantages. Pourtant, les organisations attendent bien trop souvent d’être confrontées à une faille pour y penser sérieusement.

Investir dans une solution d’authentification basée sur le niveau de risque est une évidence pour n’importe quel chef d’entreprise ou décideur informatique souhaitant optimiser la sécurité tout en améliorant plus en général l’expérience utilisateur des employés et des clients. La première étape est d’obtenir des réponses à vos questions et inquiétudes, pour que vous vous sentiez plus à l’aise pour procéder au changement. Pour en savoir plus sur la gestion basée sur le niveau de risque, découvrez PingOne Risk.