virtu-desk
  • La virtualisation
    • Les éditeurs
      • Citrix
      • Liquidware
      • Microsoft
      • Systancia
      • VMware
    • Les solutions
      • Les applications
      • Le poste de travail
      • Les serveurs
    • La mobilité
      • CYOD & bureau mobile
      • Enjeux et défis pour les entre
      • Qu'en pensent les entreprises
      • La mobilité et la virtualisati
      • Pourquoi une tablette au trava
    • Le cloud
      • Cloud computing
      • Cloud & Poste de travail
      • Le Cloud Computing en video
    • Les principes
    • Le V.D.I
  • L'écosystème
    • L'environnement utilisateur
      • AppSense User Virtualization
      • Norskale
      • ProfileUnity
      • RES Workspace Manager
      • vWorkspace
    • La containerisation
      • Les produits
      • Les éditeurs
    • Divers
      • Systancia Identity
      • Citrix Provisioning Server
      • Flex-IO
    • Audit/Supervision
      • Stratusphere FIT
      • Stratusphere UX
  • La sécurité
    • Produits Systancia
      • Systancia Access
      • Systancia Cleanroom
      • Systancia Gate
    • Bitdefender GravityZone
    • Recover2Cloud
    • Veeam Availability Suite
    • Stormshield Endpoint Security
  • Convergence & VDI
    • Convergentes
      • BladeSystem Matrix
      • Flexpod
      • PureFlex
      • Vblock
      • Virtual Compute
      • vStart
    • Hyper-convergentes
      • Atlantis HyperScale
      • Cisco HyperFlex
      • DataCore
      • Dell-EMC VxRail
      • Dell XC Series
      • EMC ScaleIO
      • HP Converged System
      • HP StoreVirtual VSA
      • Lenovo Série HX
      • Microsoft S2D
      • NetApp HCI
      • Nutanix
      • Pivot3
      • Scale Computing
      • Simplivity
      • VCE VxRack
      • Virtual SAN
      • VMware EVO:RAIL
  • L'actualité IT
    • La virtualisation du poste
    • Les infrastructures convergées
    • La sécurité
    • Divers
    • Les archives
      • La virtualisation du poste
      • Les infrastructures convergées
      • La sécurité
      • Divers

Blog - Ecosystème

  • Lister les billets de la rubrique
    • VirtualBrowser – Solution d'isolation de navigation à distance (RBI)
    • L’authentification continue renforce la sécurité des accès aux ressources du SI…
    • Microsoft RDS : Quand les voyous s’emparent des plus anciens…
    • Les comptes à privilèges sont-ils menacés ?
    • Parce que nul n’est à l’abri des pirates…
    • Une protection active pour des postes de travail sécurisés
    • Meltdown et Spectre - Minimisez l'impact et évitez les problèmes de performance avec Stratusphere UX…
    • Comment améliorer la collaboration entre DSI et DRH
    • IPdiva Safe as a Service - Prendre le contrôle à distance au travers d'une solution PAM
    • Nouvelles fonctionnalités du produit Liquidware Stratusphere UX 6.0
    • Hpliance – Présentation générale et concepts
    • IPdiva Secure labellisée "France Cybersecurity"
    • Avencis SSOX 10 améliore l'expérience utilisateur en matière d'authentification forte
    • SmartBrowser – Un navigateur d’entreprise compatible avec toutes vos applications web
    • Avencis SSOX – Authentification et sécurisation des accès
    • Avencis Hpliance – Gestion des identités et des habilitations...
    • Boostez les performances de votre desktop avec Liquidware Labs, Citrix et Nutanix
    • Citrix Synergy 2015 - Interview vidéo avec Liquidware Labs
    • Une meilleure visibilité du poste avec Stratusphere de Liquidware Labs
    • Stratusphere UX 5.7 - Des tableaux de bord avec graphes « Sparkline »
    • Liquidware Labs offre une visibilité inégalée avec Stratusphere ™ 5.7
    • Liquidware Labs au VMworld® 2014 à Barcelone
    • Liquidware Labs et ses solutions de management
    • Architecture Stratusphere FIT et UX
    • Monitoring des postes de travail virtuels
    • FlexApp™ For ProfileUnity

Les catégories du blog

  • Résolution d'incidents
  • Virtualisation d'applications
  • Virtualisation de postes de travail
  • Virtualisation de serveurs
  • L'Ecosystème
  • Infrastructures (hyper) convergentes
  • Cloud & Big Data
  • Divers

Les tags du blog

AppliDis Citrix Cloud Convergence Divers EMC GPU Horizon View IPdiva Liquidware Labs Microsoft Nutanix SBC StratusphereUX Systancia sécurité VDI VMware VSAN XenApp
  • Accueil /
  • Tous les billets du blog /
  • L'Ecosystème /
  • L’authentification continue renforce la sécurité des accès aux ressources du SI…

L’authentification continue renforce la sécurité des accès aux ressources du SI…

Par | Le mercredi, 16 septembre 2020 | Commentaires (0) | L'Ecosystème

Comment peut-on garantir l'identité d’un l'utilisateur en temps réel, et plus particulièrement dans des contextes ultra-sensibles qui demandent des droits d'accès avec des privilèges élevés ?

Une fois authentifiée, rien ne garantit que c'est toujours la même personne qui est derrière l'écran, la souris ou le clavier. Mais avant de rentrer dans le vif du sujet, un petit rappel sur les différents principes d’authentification et les niveaux qui la composent.

Authentification statique et ponctuelle

Le principe de l’authentification statique et ponctuel est simple. Le schéma ci-dessous en illustre un exemple.

Authentification statique

  1. L’utilisateur s’authentifie avec un mot de passe (un secret partagé... L’utilisateur sait quelque chose que je sais aussi), et il me communique cette information. Donc, je sais que c’est lui et je lui fais confiance.
  2. Le problème, c’est comment savoir après si c’est toujours lui qui est derrière l’écran. 
  3. Et plus on avance dans le temps, plus la confiance s’éloigne.
  4. On peut éventuellement lui redemander de s’authentifier, donc on lui refait confiance
  5. Mais de la même manière, au fur et à mesure que le temps passe, on perd de nouveau cette confiance.

 

Le fait de perdre cette confiance en l’utilisateur va augmenter les facteurs de risques, qui diffèrent selon les contextes :

  • Pour le télétravail : Comment éviter des manipulations d’un tiers lorsque l’utilisateur n’est pas devant son poste ?
  • Pour la mobilité : Comment garantir la sécurité si le poste d’un utilisateur déjà authentifié se fait voler ?
  • Pour un infogérant : Comment s’assurer que c’est bien l’expert qui connait mon système d’information qui se connecte à mes ressources et non pas un de ses collègues ?
  • Au bureau : Pour des cas plus extrêmes, c’est très rare mais ça s’est déjà produit : Comment savoir si un collaborateur ne sous-traite pas son travail à une organisation externe ? C’est un cas concret qui s’est passé il y a déjà pas mal de temps pour un développeur qui a sous-traité son travail à une société externe.
  • En astreinte : Comment s’assurer que c’est bien mon administrateur qui se connecte à mon système ?

 

Les risques sont donc multiples, ça peut aller du vol de données, aux risques de modifications, dans des contextes de malveillance. On essaie d’usurper l’identité de quelqu’un pour faire des actions. Ou encore rapport à des problèmes de négligence, je m’absente alors que mon poste est encore connecté et pas verrouillé et un de mes collèges l’utilise sans vérifier qu’il n’est pas connecté avec sa propre identité.

 

L’authentification continue : le dernier niveau…

Il existe plusieurs niveaux d’authentification.

L’authentification basic 

Elle est basée sur un secret partagé. On demande à l’utilisateur ce qu’il sait : un mot de passe, un code PIN, un mécanisme de questions/réponses, et on vérifie qu’on a bien connaissance de ces mêmes informations.

L’authentification forte

On rajoute à l’authentification basic des contraintes :

  • Qui il est : On va contrôler par exemple ses empreintes digitales, vocales ou encore faciales.
  • Qu’est-ce qu’il possède : on va lui demander par exemple une carte à puce, un token de connexion, une carte RFID… pour renforcer son authentification.

L’authentification adaptative

On rajoute en plus à l’authentification des conditions de connexion :

  • Quand peut-il se connecter : dans quels créneaux horaires, combien de temps…
  • D’où il se connecte : Depuis un réseau connu, de quel endroit… On adapte l’authentification en fonction du contexte de connexion de l’utilisateur.

L’authentification continue

C’est le dernier niveau d’authentification. En plus des trois niveaux ci-dessus, on vérifie ce qu'il fait et comment il le fait. On va donc contrôler les actions de l'utilisateur et construire une empreinte biométrique comportementale qu’on pourra ensuite comparer à d’autres pour s’assurer que c’est la bonne personne derrière l’écran.

 

Des algorithmes IA au service de l’authentification continue

Pour atteindre ce niveau d’authentification, il faut s’appuyer sur des algorithmes d’intelligence artificielle. L’objectif de ces algorithmes est d’analyser le comportement des utilisateurs pour les catégoriser et les classer de manière à pouvoir les distinguer les uns des autres et approuver ou non leur légitimité.

Démarches / Étapes

Pour y parvenir, il faut construire une empreinte biométrique comportementale, en analysant les habitudes de travail de l’utilisateur : Ses mécaniques de déplacement de souris, de frappes claviers, etc., pour ensuite la comparer en temps réel avec d’autres empreintes stockées dans le système afin de s’assurer que c’est toujours la bonne personne qui est derrière l’écran.

Empreinte biométrique comportementale

L’empreinte biométrique comportementale d’un utilisateur est unique et représente une partie de son identité. Elle intègre les aspects les plus discriminants de son comportement, comme par exemple sa manière d’utiliser sa souris, de la déplacer, de cliquer, l’amplitude des mouvements qu’il fait, et c’est ce qui va permettre de le différencier d’une autre personne.

Challenges des algorithmes IA pour l’authentification continue

Le challenge pour réussir à modéliser cette empreinte, c’est d’être en capacité de pouvoir la générer efficacement pour garantir son unicité et sa discrimination au travers d’algorithmes d’apprentissage comportementaux, capables de garantir un taux de précision élevé pour bien classifier l’ensemble des empreintes biométriques.

 

L'authentification continue par Systancia

Systancia a développé Systancia Cleanroom Authograph, une solution d’authentification continue des utilisateurs à privilège qui se base sur la biométrie comportementale et l’IA pour authentifier de manière permanente l’utilisateur sur son poste de travail.

Chaque utilisateur a une manière bien particulière d’utiliser le clavier et la souris. La solution compare ses empreintes calculées au fur et à mesure de ses actions (mouvements de souris et frappes de clavier) avec une empreinte de référence associée à l’utilisateur légitime. Cette comparaison fournit un indice de confiance (ou de suspicion) qui force l’application de règles sur la base de la valeur de cet indice. Il peut s’agir d’une demande de ré-authentification en cas de doute modéré, d’un blocage de session, ou encore d’une alerte au superviseur en cas d’indice de suspicion d’usurpation d’identité plus élevé.

 

 

Les avantages pour les organisations

Les entreprises font de plus en plus appel à du télétravail, à des collaborateurs en astreinte, à des prestataires qui interviennent sur leur Système d’information dans les bureaux ou depuis des plateaux d’infogérance ou d’externalisation. Dans ces contextes d'accès distants, les objectifs sont bien évidemment d'éliminer les risques liés à l’utilisation de mots de passe, mais pas que...

Éviter les usurpations d’identité

La menace d’usurpation d’identité est plus importante dans ces contextes, par simple remplacement de la personne dans son poste de travail. Avec ces technologies, les entreprises peuvent exiger l’authentification continue dans leurs contrats avec des fournisseurs et des partenaires, et ainsi mieux s’assurer que c’est une personne connue, identifiée, certifiée, qui accède à ces actifs informatiques les plus critiques.

Améliorer à la fois la sécurité du SI et le confort de l’utilisateur

Souvent, la sécurité du SI se fait au détriment de l’expérience utilisateur : l’authentification continue permet d’améliorer à la fois la sécurité du SI et le confort de l’utilisateur : l’analyse de l’activité de l’administrateur est transparente et ne le perturbe pas dans ses actions, par ex. en lui demandant de se ré-authentifier régulièrement.

Réagir beaucoup plus rapidement et plus efficacement en agissant avant que la menace se concrétise

Cela permet aux organisations de réagir beaucoup plus rapidement et plus efficacement parce qu’elles ont les moyens d’intervenir potentiellement avant que la menace se concrétise : l’IA permet de détecter les signaux faibles mais constitutifs d’une menace.

Il n’y a pas de protection des données sans protection de l’accès aux données

Il n’y a pas de protection des données sans protection de l’accès aux données (la protection des données n’est pas qu’une question de chiffrement et de confidentialité : c’est d’abord une question d’accès). Or, l’accès procède d’abord par l’authentification de l’utilisateur. S’assurer que c’est le « bon » utilisateur qui accède aux données est le point de départ des conformités réglementaires (LPM, ANSSI, RGPD, NIS, etc.).

Systancia Cleanroom authograph

Articles similaires

Cleanroom Hawkeye – Franchir les limites du PAM…

Systancia et Bertin IT lancent Cleanroom Hawkeye, une solution unique qui vise à satisfaire les plus hauts niveaux d’exigence de l’ANSSI en matière d’administration sécurisée. …

Les comptes à privilèges sont-ils menacés ?

Les comptes à privilèges ont toujours été présents dans les entreprises et c’est bien parce qu’ils sont aussi indispensables que destructeurs, qu’ils représentent aujourd’hui une cible de ch…

71 votes. Moyenne 5.00 sur 5.

Vous devez être connecté pour poster un commentaire

                                www.virtu-desk.fr                                                      « Les technologies de virtualisation de l'environnement utilisateur »

            A propos

  • Mentions légales
  • CGU

 

         Contacts

  • Me contacter
  • Modération

   

               Me suivre

Twitter        Viadéo       Linked

Twitter 2    Vimeo    Linked in

 

           Abonnnement aux flux RSS

   Site         Blog         Agenda     Forum

Rss   Rss    Rss   Rss

 Copyright 04-2014 - Francis MILLOT

 

 

 

 

 

 

 

  • Mentions légales
  • Conditions générales d'utilisation