Machine d'audit Conscience et rigueur.

Authentification sans mot de passe et périmètre d'identité

by Continuum GRC 0 Commentaires
Une touche métallique sur un circuit imprimé.

L'authentification sans mot de passe représente un atout majeur pour les organisations confrontées à la gestion des identités comme périmètre de sécurité. Bien que ni FedRAMP ni CMMC n'imposent explicitement de technologies sans mot de passe, ces deux référentiels définissent des exigences et des résultats que l'authentification sans mot de passe peut atteindre.

Pour les organisations opérant dans des environnements réglementés, notamment celles qui traitent des données gouvernementales ou des informations contrôlées non classifiées (CUI), l'authentification sans mot de passe n'est plus une tendance émergente. Elle s'impose rapidement comme la méthode la plus sûre pour répondre aux exigences de conformité actuelles.

 

Pourquoi nous abandonnons les mots de passe

Les mots de passe sont, à bien des égards, un vestige d'une époque révolue en matière de sécurité. Ils étaient conçus pour des menaces locales et ponctuelles. Aujourd'hui, les attaquants opèrent à grande échelle, automatisant les usurpations d'identité au sein des applications et des infrastructures.

Du point de vue de la conformité, il s'agit d'un problème majeur. Des cadres comme FedRAMP La norme CMMC exige des organisations qu'elles démontrent une authentification forte qui non seulement résiste aux attaques, mais s'intègre également à des protections multicouches, notamment la biométrie et la sécurité des appareils. Les systèmes basés sur un mot de passe peinent à répondre systématiquement à ces exigences, même lorsqu'ils sont associés à l'authentification multifacteur (MFA).

C’est pourquoi les organismes de réglementation et d’évaluation s’intéressent de plus en plus non pas à l’existence de l’authentification multifacteur, mais à la résistance intrinsèque des mécanismes d’authentification aux compromissions.

 

Une touche métallique sur un circuit imprimé.

Ce que l'authentification sans mot de passe résout réellement

L'authentification sans mot de passe est une approche qui ne nécessite ni de mémoriser ni de communiquer un secret partagé, tel qu'un mot de passe. Ces systèmes s'appuient plutôt sur une preuve d'identité cryptographique. 

La plupart des systèmes sans mot de passe reposent sur un ou plusieurs des éléments suivants :

  • Clés cryptographiques matérielles
  • Infrastructure à clés publiques (PKI)
  • Authentification biométrique
  • Identifiants liés à l'appareil
  • Authentification par défi-réponse

La différence fondamentale réside dans le fait que les identifiants ne sont jamais transmis ni réutilisés. L'authentification repose sur la cryptographie asymétrique, ce qui élimine des catégories entières d'attaques qui affectent les systèmes à mot de passe.

Du point de vue de la conformité, cela est important car cela correspond directement à la façon dont FedRAMP et CMMC définissent l'authentification sécurisée, même s'ils ne prescrivent pas la technologie de manière explicite.

 

Authentification sans mot de passe dans le contexte de FedRAMP

FedRAMP est basé sur NISTSP 800-53et l'authentification sans mot de passe prend en charge ces résultats dans plusieurs familles de contrôle, notamment celles qui régissent l'identité, le contrôle d'accès et les protections cryptographiques.

Ce que les évaluateurs examinent en pratique, c'est si une organisation peut démontrer que :

  • Les mécanismes d'authentification résistent aux attaques par hameçonnage et par rejeu.
  • Les identifiants sont protégés par cryptographie.
  • L'accès privilégié est strictement contrôlé.
  • La vérification d'identité est fiable et auditable.
  • Les événements d'authentification sont enregistrés et surveillés.

L'authentification sans mot de passe simplifie le respect de ces exigences en éliminant de nombreux risques inhérents aux mots de passe. Il n'y a pas de base de données de mots de passe à protéger ni de réutilisation possible entre systèmes.

C’est l’une des raisons pour lesquelles de nombreux fournisseurs de services cloud certifiés FedRAMP s’appuient désormais sur une authentification matérielle ou un accès par certificat pour l’accès administratif et développeur.

 

Authentification sans mot de passe et alignement sur le principe de confiance zéro

FedRAMP s'aligne de plus en plus sur les principes du modèle Zero Trust promus par la CISA et le NIST. Dans un modèle Zero Trust, les décisions d'accès reposent sur l'identité, la sécurité du dispositif et le contexte.

L'authentification sans mot de passe s'intègre naturellement à ce modèle car elle associe l'identité à un appareil spécifique et permet une vérification continue avec cet appareil. Elle ne repose pas sur les mécanismes de confiance du réseau et, de ce fait, peut limiter les déplacements latéraux vers d'autres systèmes… une tactique essentielle des APT.

Les mots de passe sont mal adaptés à ce rôle car ils n'offrent aucun signal de confiance intrinsèque, hormis la possession d'une suite de caractères. L'authentification sans mot de passe, en revanche, offre une garantie d'identité forte et vérifiable, qui peut être évaluée en temps réel.

 

Comment Passwordless prend en charge les exigences CMMC

Le CMMC est, à certains égards, plus direct que le FedRAMP, notamment aux niveaux 2 et 3, où les organisations doivent démontrer des contrôles robustes pour se protéger contre les menaces internationales de premier plan. Plusieurs pratiques du CMMC sont directement liées à l'authentification sans mot de passe, notamment les exigences en matière d'authentification multifactorielle, de protections cryptographiques, de résistance aux attaques par rejeu et de garantie d'identité forte.

Pour les organisations qui poursuivent CMMC niveau 2 ou préparation au niveau 3L'authentification sans mot de passe contribue à répondre aux attentes concernant :

  • Répond aux exigences d'authentification multifacteurs sans dépendances faibles : L'authentification sans mot de passe répond intrinsèquement aux exigences MFA du CMMC en combinant la possession avec une vérification biométrique ou par code PIN. Ces facteurs étant liés cryptographiquement et indissociables, ils offrent une sécurité renforcée par rapport aux implémentations traditionnelles de mot de passe et de code. 
  • Élimine les vecteurs d'attaque par mot de passe pris en charge par CMMC : L'authentification sans mot de passe élimine les causes les plus fréquentes de compromission d'accès, notamment l'hameçonnage, la réutilisation d'identifiants, les attaques par force brute et la divulgation de bases de données de mots de passe. Elle contribue directement à l'objectif du CMMC, qui est de réduire les accès non autorisés par l'utilisation d'identifiants volés ou devinés. 
  • Offre une résistance native aux attaques de phishing et de rejeu : L'authentification sans mot de passe, reposant sur un système de défi-réponse cryptographique plutôt que sur des secrets partagés, empêche les attaquants de réutiliser les identifiants volés ou de reproduire les tentatives d'authentification. Ceci est conforme aux exigences CMMC en matière de protection des mécanismes d'authentification et de prévention des attaques par rejeu. 
  • Améliore la garantie d'identité pour l'accès aux informations non classifiées contrôlées : Le CMMC met l'accent sur une vérification d'identité rigoureuse pour les utilisateurs accédant aux informations non classifiées contrôlées. L'authentification sans mot de passe associe l'identité à un utilisateur et un appareil spécifiques, réduisant ainsi l'ambiguïté et garantissant que les décisions d'accès reposent sur des identifiants vérifiables et hautement sécurisés. 
  • Prend en charge le principe du moindre privilège et l'application du contrôle d'accès basé sur les rôles : L'authentification sans mot de passe s'intègre parfaitement au contrôle d'accès basé sur les rôles et aux politiques d'accès conditionnel, ce qui facilite l'application des principes du moindre privilège requis par le CMMC sans avoir recours à des contrôles compensatoires ou à une surveillance manuelle. 
  • Réduit les risques de menaces internes et d'utilisation abusive des identifiants : L'authentification sans mot de passe, grâce à l'impossibilité de copier ou de partager les clés privées, limite considérablement la capacité des utilisateurs internes à abuser des identifiants ou à partager l'accès. Ceci est conforme à l'objectif du CMMC, qui est de protéger les systèmes contre les menaces externes et internes.

 

Argumentaire stratégique en faveur de l'authentification sans mot de passe

FedRAMP et CMMC s'orientent tous deux vers une assurance d'identité renforcée, une surveillance continue et des architectures conformes au principe de confiance zéro. L'authentification sans mot de passe s'inscrit naturellement dans cette évolution.

Nous fournissons un soutien en matière de gestion des risques et de conformité pour chaque cadre réglementaire et de conformité majeur du marché, notamment :

Et bien plus encore. Nous sommes la seule solution de gestion des risques et de conformité autorisée par FedRAMP et StateRAMP au monde.

Continuum GRC est une cybersécurité proactive® et le seul FedRAMP et Autorisé par l'ÉtatRAMP Plateforme mondiale d'audit de cybersécurité. Appelez le 1-888-896-6207 pour discuter des besoins de votre organisation en matière de cybersécurité et découvrir comment nous pouvons vous aider à protéger vos systèmes et à garantir votre conformité.

Continuum GRC

Site Web: