Episode 1 : évaluation des méthodes d’authentification NIST.
Évaluation des méthodes d’authentification NIST by Wilfrid Protat, Manager de la BU Digital Workplace chez nous !
AAL1 : À la porte de votre royaume. 🏰
Le NIST (National Institute of Standards and Technology) définit les exigences techniques pour les agences fédérales américaines en matière de solutions d’identité. Ces exigences peuvent également servir à évaluer la posture de sécurité de votre propre royaume numérique, c’est-à-dire votre système d’information SI.
Aujourd’hui, intéressons nous à la porte d’entrée de ce royaume : les méthodes d’authentification Microsoft Entra ID et leur alignement avec les préconisations du NIST.
Focus sur AAAL1 (Authenticator Assurance Level 1) :
• Authentificateurs permis : tout authentificateur à facteur unique ou multifactoriel approuvé par le NIST.
• Ré-authentification : non requise.
Points communs à tous les niveaux AAL :
• Modules cryptographiques validés FIPS 140 Niveau 1.
• Résistance aux attaques man-in-the-middle.
Méthodes compatibles (exemples) :
• Mot de passe (secret mémorisé)
• SMS (non recommandé)
• Application Microsoft Authenticator
• Certificat logiciel à facteur unique
• Windows Hello Entreprise (TPM logiciel)
• Clés de sécurité FIDO2
• Carte à puce / TPM / clé matérielle
Recommandation : dès ce niveau, privilégiez des authentificateurs résistants au hameçonnage, au minimum AAL2.
Prochain épisode sur le second niveau à venir !
