Authentification basée sur le niveau de risque : Intégrations pour de meilleures expériences digitales

Dans le monde digital, déterminer si une personne est bien qui elle prétend être peut être un exercice délicat. Un haut niveau de sécurité est essentiel pour protéger votre entreprise contre toute violation de données ou fuite de données personnelles, et vous ne pouvez simplement pas ouvrir en grand la porte d’accès à vos ressources en ligne sans vérifier qui sonne à la porte. Mais si votre processus d’authentification est trop laborieux, et causez la frustration de vos utilisateurs, ceci peut diminuer la productivité de vos employés, agacer des partenaires importants et faire fuir des clients à la recherche d’une meilleure expérience utilisateur.
 

Créer la meilleure expérience digitale possible tout en offrant un bon niveau de sécurité repose souvent sur une authentification basée sur le niveau de risque : Concrètement : une évaluation dynamique du risque associé à une interaction donnée sur la base d’une variété de facteurs, et l’ajustement du processus d’authentification en conséquence. L’authentification basée sur le niveau de risque peut offrir un juste équilibre entre une protection renforcée et une expérience utilisateur fluide, et les intégrations puissantes de Ping Identity permettent à votre entreprise de choisir les techniques d’authentification optimales adaptées à vos besoins opérationnels.

Avant de nous intéresser à la manière dont vous pouvez mettre en place une authentification sécurisée et conviviale avec des intégrations Ping spécifiques, commençons par une rapide présentation. L’authentification basée sur le risque est essentiellement un sous-ensemble de l’authentification multifacteur, un utilisateur devant fournir un facteur d’authentification supplémentaire lorsqu’une demande d’accès est considérée comme étant en dehors de paramètres de sécurité prédéfinis. Cette méthode évalue, en temps réel, le danger potentiel d’une opération donnée en fonction de facteurs tels que :

• Le statut actuel de l’authentification de l’utilisateur 

• Le risque associé à la ressource en question 

• Le contexte de la demande

En déterminant si les exigences de sécurité adéquates ont été respectées pour chaque transaction et en augmentant l’authentification lorsqu’elles ne l’ont pas été, vous ajoutez ainsi une couche de sécurité supplémentaire sans introduire de friction inutile dans le processus. Vous êtes en mesure de définir un niveau de risque acceptable pour vous afin de réduire la friction, selon la ressource qui est sollicitée. Aussi, si le risque est trop élevé, vous pouvez introduire une authentification plus forte.

Le renforcement de l’authentification multifacteur (MFA) basée sur le niveau de risque a lieu suite à un comportement ou un contexte atypique ou anormal. C’est seulement lorsque l’information contextuelle fournie via le premier facteur d’authentification indique une chose inattendue qu’un second facteur d’authentification est demandé avant d’autoriser l’accès.

L’authentification basée sur le niveau de risque inclut l’authentification contextuelle, l’utilisation de mécanismes logiques tels que la géolocalisation et les identifiants d’appareil afin de déterminer si un utilisateur doit utiliser un facteur supplémentaire. Cette authentification favorise la réduction de friction, telle que l’authentification sans mot de passe. Cette méthode a en effet démontré qu’elle contribuait à atteindre cet objectif d’un juste équilibre entre une sécurité renforcée et une formidable expérience utilisateur.

Et c’est ce que recherchent les utilisateurs. Vos employés veulent une expérience de connexion simple et homogène, tout en bénéficiant d’un accès sécurisé et rationalisé aux ressources pour leur permettre d’être plus productifs. Ce point est aujourd’hui particulièrement important quant à l’environnement de travail à distance, à une époque où un nombre croissant d’employés ont besoin d’un accès lorsqu’ils travaillent depuis chez eux ou depuis un autre lieu que leur entreprise. De même, vos clients exigent de plus en plus que vous leur fournissiez une expérience à la fois fluide et sécurisée :

• 67 % des clients déclarent qu’ils ont des attentes d'expérience client plus élevées que jamais

• 66 % des entreprises affirment que leurs clients exigent un renforcement de la sécurité et de la confidentialité

• 40 % des clients sont prêts à abandonner une marque après une mauvaise expérience

Alors comment faire pour définir si l’interaction d’un utilisateur est potentiellement risquée, et donc si un renforcement de l’authentification est nécessaire ? En règle générale, les signaux de risque proviennent de l’une de ces quatre catégories : la réputation de l’appareil, le comportement de l’utilisateur, le risque lié au réseau et les données de biométrie comportementale.

1. La réputation de l’appareil La réputation de l’appareil est exactement ce que l’on imagine : il s’agit de déterminer le risque que présente l’appareil utilisé lors du processus d’authentification en regardant son historique et ses facteurs, notamment si l’appareil a été impliqué dans une quelconque activité frauduleuse avérée. Les consortiums faisant appel au financement participatif associent les utilisateurs aux appareils afin de détecter des réseaux de fraude et d’identifier des acteurs malveillants solitaires qui attaquent plusieurs comptes, puis ils conçoivent des règles basées sur ces profils.

Source : TransUnion

2. Le comportement de l’utilisateur Des identifiants volés ou compromis constituent une menace énorme pour la sécurité et la confidentialité. Étant donné qu’un utilisateur se déplace latéralement sur le réseau, vous pouvez déterminer les menaces en établissant un point de référence du comportement de l’utilisateur et en ajoutant un risque en temps réel pour les cas où un utilisateur dévie de ce comportement.

 

3. Le risque lié au réseau Outre l’utilisateur et l’appareil, le réseau utilisé pour avoir accès constitue un troisième point de vulnérabilité potentiel. Une technique de réduction du risque consiste à déterminer tout comportement risqué au niveau des entrées du réseau, établir le niveau de risque en fonction du type de trafic, puis l’associer à un utilisateur pour évaluer le niveau de risque. De cette façon, vous aurez une meilleure compréhension de ce à quoi ressemble un trafic « normal ». Vous pourrez ensuite ainsi le contrôler afin de voir si un renforcement de l’authentification est nécessaire.

 

4. Les données de biométrie comportementale Cette approche innovante de l’authentification basée sur le niveau de risque compare les mouvements physiques d’un utilisateur (rythme de frappe, habitudes de clavier, force appliquée en appuyant sur les touches, mouvements de la souris, etc.) à son profil standard pour déterminer le niveau de risque. Elle fonctionne sur les appareils mobiles également, en contrôlant les facteurs tels que le fait de savoir si un utilisateur tient l’appareil sous le même angle, appuie sur l’écran avec la même pression et balaie l’écran de la même manière.

Ping s’est associée à un certain nombre de fournisseurs de solutions pour intégrer les signaux de risque au processus d’authentification, aussi bien pour les cas d’utilisation des employés que des clients. En envoyant un appel d’API depuis PingFederate à la solution, nous pouvons comparer les données de l’appareil, du comportement ou de la biométrie de l’utilisateur actuel à celles de référence et déterminer ce que la stratégie doit faire : autoriser, renforcer l’authentification, refuser la demande ou toute autre action.

Développé conjointement aux solutions de risque LexisNexis (anciennement ThreatMetrix), ce kit d’intégration permet d’effectuer une évaluation simple et facile à configurer pour chaque authentification. Les administrateurs peuvent définir les stratégies pour déterminer le niveau de risque de l’utilisateur et de l’appareil, en décidant en quelques millisecondes si vous avez besoin de renforcer l’authentification avec un deuxième facteur tel que PingID.

Le réseau d’identités numériques est conçu à partir de renseignements rassemblés de manière participative regroupant plus de 30 milliards de transactions mondiales chaque année, y compris les connexions, les paiements et les créations de nouveaux comptes. Il vous permet de distinguer en quelques millisecondes un client de confiance d’une cybermenace, tout en exploitant une analyse multicouches complètement invisible pour l’utilisateur.

En savoir plus et télécharger le kit d’intégration du réseau des identités numériques.

À présent, en plus de la protection des authentifications initiales avec le score de risque contextuel de TransUnion, une entreprise peut affiner les autorisations grâce à la nouvelle intégration avec PingAccess. Protégez votre porte d’entrée avec une stratégie (l’intégration de PingFederate) et renforcez votre stratégie au niveau du porte-monnaie (l’intégration de PingAccess).

L’avantage de cette approche est que vous pouvez appliquer la stratégie de risque spécialement pour les biens les plus précieux de votre entreprise. Renforcez l’authentification au moyen d’un deuxième facteur uniquement si le niveau de risque est élevé et la ressource de grande valeur. Par exemple, lorsqu’un utilisateur, qui est un employé, accède au logiciel de comptabilité, ou lorsqu’un client transfère de l’argent ou accède à des dossiers médicaux.

Informez-vous et téléchargez le kit d’intégration TransUnion.

Preempt surveille et enregistre en continu le comportement de tous les utilisateurs, comptes de service et appareils dans le but d’identifier et d’éviter toute activité risquée et toute menace potentielle. Cette solution inclut la détection et la prévention d’identifiants compromis, de pirates informatiques imitant des appareils ou des comptes de service, des rançongiciels, des attaques de mouvement latéral, des acteurs internes malveillants et bien d’autres menaces.

L’intégration entre Preempt et Ping permet à une entreprise de disposer d’un point de référence pour le comportement d’un utilisateur et d’inciter à l’authentification via un deuxième facteur chaque fois qu’un utilisateur s’écarte de ce point de référence. Même au milieu d’une session, Preempt peut déterminer si le mouvement latéral d’un utilisateur est anormal et déclenche un deuxième facteur de PingID.

Informez-vous et téléchargez le kit d’intégration Preempt Intelligence.

La plateforme Cortex XDR de Palo Alto Networks collecte les signaux de réseau puis les analyse à l’aide de l’apprentissage automatique et de l’intelligence artificielle pour déterminer dans quelle mesure le trafic de ce réseau présente un risque. En compilant des données de toutes ses sources de réseau, Cortex XDR dispose d’un incroyable lac de données pour évaluer le degré d’anomalie ou de risque du trafic du réseau.

Afin de rendre ces données encore plus performantes, Cortex XDR peut également rechercher des journaux PingFederate pour associer les données d’authentification de l’utilisateur au lac de données à des fins d’analyse. Cette association entre le comportement d’authentification de l’utilisateur et le trafic du réseau offre des informations bien plus détaillées quant au niveau de risque. Les intégrations entre NGFW de Palo Alto Networks et GlobalProtect et PingIn pour la MFA viennent compléter le tableau en renforçant l’authentification lorsque Cortex XDR indique un niveau de risque élevé.

Informez-vous sur Cortex XDR ou les intégrations ici.

Ping Identity et BehavioSec s’intègrent afin de fournir une solution d’authentification basée sur le niveau de risque en fonction des données biométriques comportementales. PingFederate capture les signaux biométriques comportementaux puis envoie ces informations à BehavioSec afin de les comparer aux données de référence de l’utilisateur. Si le schéma diffère des données de référence, la stratégie PingFederate peut refuser l’authentification ou la renforcer avec PingID.

Pour en savoir plus, téléchargez le kit d’intégration ici.

La solution AXN Manage de ID DataWab permet de regrouper des scores de risque associés à plusieurs fournisseurs, y compris LexisNexis. Une entreprise peut ainsi évaluer le niveau de risque selon ses besoins spécifiques sans avoir à s’engager auprès d’un seul et unique fournisseur. Le kit d’intégration de Ping permet à une entreprise de définir en toute facilité une stratégie pour lire ces scores de risque regroupés et fournir une authentification optimale basée sur le niveau de risque.

Pour en savoir plus, téléchargez le kit d’intégration ici.

L’authentification basée sur le niveau de risque est la clé de l’équilibre entre une sécurité renforcée et une expérience utilisateur fluide. Grâce à une approche en couches de l’authentification, vous êtes en mesure de créer les expériences numériques à la hauteur des attentes de vos utilisateurs.