Pourquoi nous recommandons de protéger Office 365 avec une solution 2FA conviviale et polyvalente

L’implémentation d’une solution d’authentification à deux facteurs (2FA) pour l’identification des utilisateurs dans Office 365 constitue une étape importante d’une migration sécurisée vers le cloud. « Il y a également beaucoup d’avantages à opter pour une solution 2FA conviviale et polyvalente, » explique Johan Nylén, concepteur de solutions partenaires chez Nexus Group, société spécialisée dans les identités et la sécurité.

Les organisations sont de plus en plus nombreuses à migrer leurs applications vers le cloud. Une des applications cloud les plus populaires est Microsoft Office 365.

« Les organisations clientes d’Office 365 exploitent fréquemment des ressources critiques et des informations confidentielles nécessitant d’être protégées des accès non autorisés. La législation ainsi que les réglementations locales et internationales sur la protection des données doivent également être respectées. C’est pourquoi l’utilisation des seuls mots de passe pour l’identification des utilisateurs n’est pas une solution sûre, » précise Nylén.

Exploitation des identités Active Directory

Il existe un large choix de solution 2FA, et vous devez considérer plusieurs facteurs avec de retenir celle qui conviendra le mieux à votre organisation.

Nylén : « En premier lieu, votre solution ne doit pas vous obliger à gérer ou à synchroniser des mots de passe dans le cloud, car cela représente un vrai risque pour la sécurité, en plus de compliquer la tâche des administrateurs. »

Votre solution 2FA doit également vous permettre d’exploiter les identités issues de votre Active Directory en local, ce qui vous simplifiera la vie.


Webinaire: Comment fonctionne 2FA dans Office 365


Login via une appli mobile conviviale

Nylén : « Mais, et peut-être surtout, votre solution doit faciliter la vie de vos utilisateurs. Ce qui n’est pas le cas de nombre de solutions 2FA, dont les procédures sont lourdes et contraignantes pour les utilisateurs. »

Pour être conviviale, une solution 2FA doit prendre en charge le login via une appli mobile.

Nylén : « Cette méthode n’est pas adaptée à toutes les situations ou à tous les utilisateurs, et votre solution 2FA doit aussi permettre d’utiliser d’autres moyens d’identification, tels que des cartes PKI. Mais dans la plupart des cas, une appli mobile reste la méthode la plus prisée. »

L’appli mobile doit bien entendu être elle-même conviviale. Pour cela, elle doit offrir les fonctionnalités suivantes : une interface utilisateur claire et intuitive, les notifications de type « push » pour les demandes d’identification, la prise en charge du login avec Touch ID et autres lecteurs d’empreintes, et le support de Face ID.

Prise en charge de nouveaux moyens d’identification

Nylén : « Mais la méthode de login via une appli mobile, toute conviviale et sécurisée soit-elle, ne restera sans doute pas éternellement la plus populaire. La technologie évolue rapidement, et vous devez vous assurer que votre solution 2FA saura évoluer elle aussi, et prendre en charge les nouveaux moyens d’identification qui seront développés, ainsi que vos besoins futurs. »

Benjamin Zeuner, responsable produit d’Hybrid Access Gateway, la plateforme de login de Nexus, acquiesce. Il souligne également qu’un autre facteur très important pour rendre une solution 2FA conviviale est d’en faire votre unique solution.

Une solution 2FA unique pour toutes les ressources électroniques

Zeuner : « Certaines organisations n’y pensent pas tout de suite : elles disposent d’une appli 2FA idéale pour Office 365, mais celle-ci fonctionne uniquement pour Office 365. Elles se dotent donc d’une autre solution pour l’une de leurs applications en local, puis d’une autre pour le service des ventes, et d’une autre encore pour un autre service. Devoir jongler entre différentes solutions n’est pas du goût des utilisateurs – et bien sûr c’est aussi plus compliqué à administrer. »

Il est donc recommandé de choisir une solution 2FA qui pourra être exploitée pour de nombreux types de ressources électroniques, indépendamment de leurs fournisseurs – et que les applications soient déployées en local ou dans le cloud.

Prise en charge de tous types d’utilisateurs

Nylén : « Pour vous faciliter la vie, votre solution devra également prendre en charge tous types d’utilisateurs, que ceux-ci appartiennent ou non à l’organisation. »

Cela peut s’avérer compliqué, car la plupart des solutions 2FA ne prennent pas en charge les identités externes telles que BankID, Telia et SITHS en Suède.

Nylén : « Mais cela reste une fonctionnalité importante, d’autant que l’utilisation d’identités externes va sans doute s’étendre de façon significative dans les pays où cette utilisation est aujourd’hui encore marginale. Cette probabilité est renforcée par l’entrée en vigueur, en 2018, de la réglementation européenne eIDAS. »

En attendant, nous ne pouvons que recommander de choisir une solution qui vous permettra également de produire vos propres identités électroniques pour les utilisateurs externes.

Une identification unique pour l’accès à toutes les ressources

Zeuner : « Le fait est que vos utilisateurs n’ont pas à se soucier de savoir si vous avez une plateforme de login pour le personnel en interne et une autre pour les personnes extérieures : cela, c’est votre problème. »

Selon Lloyd Rodrigues, responsable technique pour les produits Nexus, les utilisateurs ignorent souvent si la solution prend en charge ou non l’identification unique (SSO, pour single sign-on).

« Au lieu de s’identifier une première fois pour accéder à Office 365, puis une deuxième fois pour accéder à votre système de gestion de projet, puis une troisième fois pour un autre système, avec SSO les utilisateurs ne s’identifient qu’une seule fois pour accéder à toutes les ressources électroniques que votre solution vous permet de protéger. Et bien sûr ils adorent cela, » ajoute Rodrigues.

Idéalement, votre solution 2FA offrira un portail regroupant l’ensemble des applications en local, des systèmes et des services cloud auxquels chaque utilisateur peut accéder.

Intégration à votre système de gestion des identités

Un dernier critère à prendre en compte dans le choix d’une solution 2FA réellement conviviale et polyvalente est sa capacité à s’intégrer à votre système de gestion des identités.

Nylén : « Cela permet de faciliter et de sécuriser très simplement l’enregistrement de nouveaux utilisateurs, la suppression de droits d’accès, le changement de codes PIN, etc., que vous utilisiez des applis mobiles, des cartes PKI ou d’autres méthodes d’authentification 2FA. »

Au cours de sa carrière, Nylén a travaillé sur de nombreuses solutions 2FA différentes ; aujourd’hui, il consacre l’essentiel de son temps à promouvoir la solution 2FA de Nexus auprès des organisations et des partenaires.

Documentation technique en ligne

Nylén : « C’est un plaisir de travailler avec une solution qui répond à tous les critères d’une solution 2FA réellement conviviale et polyvalente. C’est également très appréciable d’avoir en ligne (sur Nexus Documentation) toute la documentation nécessaire pour implémenter la solution et intégrer de nouvelles applications. Cela facilite la vie de tous. »

La solution Nexus 2FA – comprenant la plateforme de login Nexus Hybrid Access Gateway et l’appli mobile Nexus Personal Mobile – fait partie de la solution Nexus Smart ID.

Rodrigues : « La solution Smart ID comprend, parmi de nombreuses autres fonctionnalités, la gestion des identités. Grâce à elle, vos utilisateurs peuvent s’identifier visuellement, ouvrir des sessions, accéder à des locaux, signer des

documents électroniques, effectuer des paiements ou encore des impressions sécurisées – le tout à l’aide d’une identité Smart ID unique. »

Rejoindre notre webinaire sur la façon d'implémenter 2FA dans Office 365