Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.
Panne ou compromission du service d’authentification ? Comment maintenir le bon fonctionnement de votre entreprise ?
Les services d’authentification utilisateur avec MFA ont un impact sur de nombreux systèmes en œuvre dans les entreprises aujourd’hui. Mais que se passe-t-il lorsque ce service d’authentification est en panne ou qu’il n’est plus considéré comme fiable ? En anticipant les pièges et les défis de l’authentification, votre entreprise ne sera pas prise au dépourvu si le pire se produit !
Les récents problèmes de SMS d’authentification de Twitter sont un parfait exemple du fait que cette problématique est loin d’être uniquement théorique. Des messages SMS à deux facteurs inexistants ou envoyés avec retard ont empêché les utilisateurs et les clients légitimes de se connecter à leurs comptes. Il n’était pas toujours évident de se rendre compte que le service était en panne, car les messages retardés semblaient indiquer que le service fonctionnait mais dans un état dégradé, ce qui ajoutait à la confusion générale.
L’impact sur les helpdesks
Les pannes des services d’authentification sont souvent éphémères, mais lorsqu’elles se produisent, elles causent des ravages dans les centres de services informatiques. Une partie du problème pour helpdesk réside dans le fait que les outils sur lesquels ils s’appuient pour résoudre les problèmes peuvent justement être inaccessibles en raison de la panne. Le volume important de courriels et d’appels par les utilisateurs concernés par la panne ne faisant que complexifier sa résolution.
Malgré tous ses efforts, le helpdesk ne peut pas faire grand-chose d’autre que d’enregistrer les tickets et de vérifier leur statut. La perturbation qu’entraîne la panne d’un service d’authentification, même minime, a des répercussions importantes et est difficile à gérer.
Atténuer les dégâts des services d’authentification dévoyés
Les services d’authentification jouent un rôle aussi essentiel dans une organisation, comment donc atténuer la portée des dommages lors d’une panne ? Il existe différentes options, et selon la situation, certaines peuvent être plus adaptées que d’autres.
- Désactiver entièrement la MFA ;
- Remplacer la solution MFA existante ;
- Passer rapidement d’une solution MFA à l’autre selon vos besoins ;
L’option que vous choisirez dépendra du problème à résoudre, ces solutions ne s’excluant pas l’une l’autre. La planification proactive d’une panne d’authentification MFA – sur le plan technique comme par le biais de procédures et de formations – permettra à votre organisation de faire face à la plupart des situations, ce qui vous fera gagner du temps et de l’argent.
Désactiver complètement la MFA
Le recours à la désactivation de la MFA peut sembler nécessaire dans des situations désespérées. En effet, si la MFA est désactivée, votre organisation risque de se retrouver à ne pas respecter certaines règles de conformité et/ou les exigences en matière d’assurance de cyber responsabilité. Elle pourrait également être compromise. Un acteur malveillant qui suivrait la panne, en particulier dans le cas d’un service d’authentification standard, pourrait voir dans la suppression de la MFA comme la faille qu’il attendait pour se servir d’un mot de passe faible précédemment compromis et s’implanter par ce biais dans votre organisation avant que le double facteur ne soit réactivé.
Cette réponse doit être considérée comme une option de dernier recours, uniquement pour continuer les activités de l’entreprise si les autres options ne sont pas envisageables.
Le remplacement de la MFA existante
En fonction de la durée de la panne, il peut être possible de remplacer la MFA existante par un nouveau service. Mais, comme toute personne qui aurait déjà mis en place des services MFA le sait, il n’est pas toujours facile d’effectuer ce changement. Il faut non seulement tenir compte du coût, mais aussi de la réinscription des appareils des utilisateurs et de la configuration du service lui-même. La réinscription des dispositifs des utilisateurs est obligatoire et nécessite beaucoup de temps et de disponibilité de la part du helpdesk afin de réinscrire tous les utilisateurs dans le système.
En outre, tous les systèmes ne seront pas forcément compatibles avec le nouveau service d’authentification. Une organisation peut se retrouver avec des systèmes qui fonctionnaient avec la MFA précédente, mais pas avec la nouvelle.
Une MFA multiple avec utilisation sélective
La meilleure option est d’avoir recours à plusieurs solutions MFA avec une architecture flexible qui permet de basculer entre les différents services MFA si nécessaire. Un système robuste possèderait ainsi des solutions de repli fournies par différents services d’authentification.
Par exemple, si votre service d’authentification standard échoue (l’application d’authentification par exemple), vous pouvez vous rabattre sur des codes SMS à deux facteurs via un service comme Twilio. Ainsi, même si un service est en panne, aucune réinscription n’est nécessaire, et les utilisateurs peuvent se remettre au travail rapidement.
Services d’authentification flexibles avec Specops
Les services d’authentification lorsqu’ils dysfonctionnent peuvent causer des dommages, des frustrations et des coûts réels que les organisations n’auraient pas à supporter avec une planification adéquate. Le recours à plusieurs services MFA avec une utilisation flexible permet à une organisation de s’adapter rapidement à une panne inattendue.
Specops Software propose un système d’authentification robuste pour que le helpdesk soit toujours en mesure de vérifier l’identité des appelants, même avec plus de 15 services d’authentification pris en charge pour la MFA. Le même système d’authentification est utilisé dans la solution de réinitialisation des mots de passe en libre-service afin que les utilisateurs puissent toujours gérer ou réinitialiser leur mot de passe, même si le service d’authentification principal est en panne. Grâce aux multiples options d’authentification pour le helpdesk et la réinitialisation des mots de passe, Specops permet à votre entreprise de continuer à fonctionner même lorsqu’un service d’authentification est indisponible.
Pour obtenir la liste complète des services d’authentification compatibles avec le helpdesk et les réinitialisations de mot de passe en libre-service, consultez la section Présentation des services d’identité.
(Dernière mise à jour le 23/03/2023)