Vue d’ensemble de la stratégie sans mot de passe

Cet article décrit la stratégie sans mot de passe de Microsoft et la façon dont les fonctionnalités de sécurité Windows aident à l’implémenter.

Quatre étapes pour la liberté de mot de passe

Microsoft travaille dur pour créer un monde où les mots de passe ne sont plus nécessaires. Voici comment Microsoft envisage l’approche en quatre étapes pour mettre fin à l’ère des mots de passe pour les organisations :

Déployer une option de remplacement de mot de passe

Avant de vous éloigner des mots de passe, vous avez besoin de quelque chose pour les remplacer. les clés de sécurité Windows Hello Entreprise et FIDO2 offrent des informations d’identification à deux facteurs fortes et protégées par le matériel qui permettent l’authentification unique pour Microsoft Entra ID et Active Directory.
Déployer des clés de sécurité Windows Hello Entreprise ou FIDO2 est la première étape vers un environnement sans mot de passe. Les utilisateurs sont susceptibles d’utiliser ces fonctionnalités en raison de leur commodité, en particulier lorsqu’ils sont combinés avec la biométrie. Toutefois, certains flux de travail et applications peuvent toujours avoir besoin de mots de passe. Cette première étape consiste à implémenter une solution alternative aux mots de passe et à y habituer les utilisateurs.

Réduire la surface d’exposition du mot de passe visible par l’utilisateur

Avec une option de remplacement de mot de passe et des mots de passe coexistant dans l’environnement, l’étape suivante consiste à réduire la surface d’exposition du mot de passe. L’environnement et les workflows doivent cesser de demander des mots de passe. L’objectif de cette étape est d’atteindre un état dans lequel les utilisateurs savent qu’ils ont un mot de passe, mais ils ne l’utilisent jamais. Cet état permet de déconditionner les utilisateurs de fournir un mot de passe chaque fois qu’une invite de mot de passe s’affiche sur leur ordinateur. Ce comportement est la façon dont les mots de passe sont hameçonnés. Les utilisateurs qui utilisent rarement, voire du tout, leur mot de passe sont peu susceptibles de le fournir. Les invites de mot de passe ne sont plus la norme.

Passer à un déploiement sans mot de passe

Une fois que la surface de mot de passe visible par l’utilisateur est éliminée, votre organization peut commencer à faire passer les utilisateurs à un environnement sans mot de passe. À cette étape, les utilisateurs ne saisissent jamais, ne modifient ni ne connaissent leur mot de passe.
L’utilisateur se connecte à Windows à l’aide de clés de sécurité Windows Hello Entreprise ou FIDO2 et bénéficie de l’authentification unique auprès des ressources Microsoft Entra ID et Active Directory. Si l’utilisateur est forcé de s’authentifier, son authentification utilise des clés de sécurité Windows Hello Entreprise ou FIDO2.

Éliminer les mots de passe du répertoire d’identité

La dernière étape du parcours sans mot de passe est l’endroit où les mots de passe n’existent pas. À ce stade, les répertoires d’identité ne stockent aucune forme de mot de passe.

Préparer le parcours sans mot de passe

Le chemin vers l’sans mot de passe est un voyage. La durée du trajet varie pour chaque organization. Il est important que les décideurs informatiques comprennent les critères qui influencent la durée de ce parcours.

La réponse la plus intuitive est la taille du organization, mais qu’est-ce qui définit exactement la taille ? Nous pouvons examiner ces facteurs pour obtenir un résumé de la taille de l’organization :

Facteur de taille Détails
Nombre de ministères Le nombre de ministères au sein d’un organization varie. La plupart des organisations ont un ensemble commun de départements tels que la direction générale, les ressources humaines, la comptabilité, les ventes et le marketing. Les petites organisations peuvent ne pas segmenter explicitement leurs services, contrairement aux grandes. En outre, il peut y avoir des sous-parties et des sous-parties de ces sous-parties ainsi.

Vous devez connaître tous les services au sein de votre organization, et vous devez savoir quels services utilisent des ordinateurs et ceux qui ne le font pas. Ce n’est pas grave si un service n’utilise pas d’ordinateurs (probablement rare, mais acceptable). Cette situation signifie qu’il y a un département de moins avec lequel vous devez vous préoccuper. Néanmoins, assurez-vous que ce service figure dans votre liste et qu’il n’est pas applicable.

Votre nombre de services doit être complet et précis, ainsi que connaître les parties prenantes des services qui vous ont mis sur la voie de la liberté de mot de passe. De façon réaliste, beaucoup d’entre nous perdent de vue notre organigramme et la façon dont il augmente ou diminue au fil du temps. C’est pourquoi vous devez les inventorier tous. N’oubliez pas non plus d’inclure des services externes tels que des fournisseurs ou des partenaires fédérés. Si votre organization passe sans mot de passe, mais que vos partenaires continuent d’utiliser des mots de passe pour accéder aux ressources de votre entreprise, vous devez le savoir et les inclure dans votre stratégie sans mot de passe.
Hiérarchie d’organisation ou de service La hiérarchie de l’organisation et du service est les couches de gestion au sein des services ou de l’organization dans son ensemble. La façon dont l’appareil est utilisé, les applications et la façon dont elles sont utilisées diffèrent probablement entre chaque service, mais également au sein de la structure du service. Pour déterminer la stratégie sans mot de passe correcte, vous devez connaître ces différences entre vos organization. Un responsable exécutif est susceptible d’utiliser son appareil différemment par rapport à un membre de la direction intermédiaire dans le service des ventes. Ces deux cas d’utilisateur sont probablement différents de la façon dont un contributeur individuel du service clientèle utilise son appareil.
Nombre et type d’applications et de services La plupart des organisations ont de nombreuses applications et ont rarement une liste centralisée précise. Les applications et les services sont les éléments les plus critiques de votre évaluation sans mot de passe. Les applications et les services demandent beaucoup d’efforts pour passer à un autre type d’authentification. La modification des stratégies et des procédures peut être une tâche ardue. Envisagez le compromis entre la mise à jour de vos procédures d’exploitation et stratégies de sécurité standard par rapport à la modification de 100 lignes (ou plus) de code d’authentification dans le chemin critique de votre application CRM développée en interne.

La capture du nombre d’applications utilisées est plus facile une fois que vous avez les services, leur hiérarchie et leurs parties prenantes. Dans cette approche, vous devez disposer d’une liste organisée de services et de la hiérarchie dans chacun d’eux. Vous pouvez désormais associer les applications utilisées par tous les niveaux au sein de chaque service. Vous souhaitez également indiquer si l’application est développée en interne ou disponible dans le commerce. Dans ce dernier cas, documentez le fabricant et la version. N’oubliez pas non plus les applications ou services web lors de l’inventaire des applications.
Nombre de personnages professionnels Les personnages de travail sont l’endroit où les trois efforts précédents convergent. Vous connaissez les services, les niveaux organisationnels au sein de chaque service, le nombre d’applications utilisées par chacun, respectivement, et le type d’application. À partir de ces informations, vous souhaitez créer un personnage professionnel.

Un personnage de travail classe une catégorie d’utilisateur, de titre ou de rôle (contributeur individuel, responsable, responsable intermédiaire, etc.) au sein d’un service spécifique à une collection d’applications utilisées. Il y a une forte probabilité que vous ayez de nombreux personnages professionnels. Ces personnages de travail deviendront des unités de travail, et vous y faites référence dans la documentation et dans les réunions. Vous devez leur donner un nom.

Donnez à vos personnages des noms faciles et intuitifs comme Amanda - Comptabilité, Mark - Marketing ou Sue - Ventes. Si les niveaux de organization sont communs à tous les ministères, choisissez un prénom qui représente les niveaux communs d’un service. Par exemple, Amanda peut être le prénom d’une personne contributeur dans un service donné, tandis que le prénom Sue peut représenter une personne de la direction intermédiaire dans un service donné. En outre, vous pouvez utiliser des suffixes (par exemple , I, II, Senior, etc.) pour définir davantage la structure départementale d’un personnage donné.

Au final, créez une convention de nommage qui n’exige pas que vos parties prenantes et partenaires lisent une longue liste de tables ou un anneau de décodeur secret. Essayez également, si possible, de conserver les références en tant que noms de personnes. Après tout, vous parlez d’une personne qui fait partie de ce service et qui utilise ce logiciel spécifique.
Structure informatique de l’organisation Les structures du service informatique peuvent varier davantage que les organization. Certains services informatiques sont centralisés, tandis que d’autres sont décentralisés. En outre, la voie vers la liberté des mots de passe vous fera probablement interagir avec l’équipe d’authentification client, l’équipe de déploiement, l’équipe de sécurité, l’équipe PKI, l’équipe d’identité, l’équipe cloud, etc. La plupart de ces équipes sont votre partenaire dans votre parcours vers la liberté des mots de passe. Assurez-vous qu’il existe une partie prenante sans mot de passe dans chacune de ces équipes, et que l’effort est compris et financé.

Évaluer votre organization

À présent, vous pouvez comprendre pourquoi il s’agit d’un voyage et non d’une tâche rapide. Vous devez examiner les surfaces de mot de passe visibles par l’utilisateur pour chacun de vos personnages professionnels. Une fois que vous avez identifié les surfaces de mot de passe, vous devez les atténuer. La résolution de certaines surfaces de mot de passe est simple, ce qui signifie qu’une solution existe déjà dans l’environnement et qu’il s’agit uniquement d’y déplacer les utilisateurs. La résolution de certaines surfaces de mots de passe peut exister, mais ne sont pas déployées dans votre environnement. Cette résolution aboutit à un projet qui doit être planifié, testé, puis déployé. Ce projet est susceptible d’englober plusieurs services informatiques avec plusieurs personnes, et potentiellement un ou plusieurs systèmes distribués. Ces types de projets prennent du temps et nécessitent des cycles dédiés. Ce même sentiment est vrai avec le développement de logiciels en interne. Même avec des méthodologies de développement agiles, il est essentiel de modifier la façon dont une personne s’authentifie auprès d’une application. Sans la planification et les tests appropriés, cela risque d’affecter gravement la productivité.

La durée d’exécution du parcours sans mot de passe varie en fonction de l’alignement de l’organisation sur une stratégie sans mot de passe. L’accord de haut en bas selon lequel un environnement sans mot de passe est l’objectif de l’organization facilite les conversations. Des conversations plus faciles signifient moins de temps passé à convaincre les gens et plus de temps passé à atteindre l’objectif. Un accord de haut en bas, en tant que priorité dans les rangs des autres projets informatiques en cours, permet à tout le monde de comprendre comment hiérarchiser les projets existants. L’accord sur les priorités devrait réduire et réduire au minimum les escalades au niveau du gestionnaire et de la direction. Après ces discussions organisationnelles, des techniques de gestion de projet modernes sont utilisées pour poursuivre l’effort sans mot de passe. Le organization alloue les ressources en fonction de la priorité (après avoir convenu de la stratégie). Ces ressources :

  • Travailler par le biais des personnages de travail
  • Organiser et déployer les tests d’acceptation des utilisateurs
  • Évaluer les résultats des tests d’acceptation utilisateur pour les surfaces de mot de passe visibles par l’utilisateur
  • Collaborer avec les parties prenantes pour créer des solutions qui atténuent les surfaces de mot de passe visibles par l’utilisateur
  • Ajouter la solution au backlog du projet et classer par ordre de priorité par rapport à d’autres projets
  • Déployer la solution
  • Effectuer des tests d’acceptation de l’utilisateur pour confirmer que la solution atténue la surface du mot de passe visible par l’utilisateur
  • Répétez le test en fonction des besoins

Le parcours de votre organization vers la liberté de mot de passe peut prendre un certain temps. Le comptage du nombre de personnes professionnelles et du nombre de demandes est un bon indicateur de l’investissement. Espérons que votre organization augmente, ce qui signifie que la liste des personnages et la liste des applications sont peu susceptibles de se réduire. Si le travail pour passer sans mot de passe aujourd’hui est n, il est probable que pour passer sans mot de passe demain est n x 2 ou plus, n x n. Ne laissez pas la taille ou la durée du projet être une distraction. À mesure que vous progressez dans chaque personnage de travail, les actions et les tâches deviennent plus familières pour vous et vos parties prenantes. Étendez le projet à des phases réalistes et conséquentes, choisissez les personnages de travail appropriés et vous verrez bientôt des parties de votre organization passer à un état sans mot de passe.

Quelles sont les meilleures instructions pour lancer le parcours vers la liberté de mot de passe ? Vous souhaitez montrer à votre direction une preuve de concept dès que possible. Idéalement, vous souhaitez l’afficher à chaque étape de votre parcours sans mot de passe. En gardant votre stratégie sans mot de passe au premier plan et en affichant des progrès cohérents, tout le monde reste concentré.

Personnage de travail

Vous commencez par vos personnages professionnels. Ils faisaient partie de votre processus de préparation. Ils ont un nom de personnage, tel qu’Amanda - Comptabilité II, ou toute autre convention d’affectation de noms que votre organization définie. Ce personnage de travail comprend une liste de toutes les applications qu’Amanda utilise pour effectuer les tâches qui lui sont assignées au service de la comptabilité. Pour commencer, vous devez choisir un personnage professionnel. Il s’agit du personnage de travail ciblé que vous autorisez pour terminer le parcours.

Astuce

Évitez d’utiliser des personnages professionnels de votre service informatique. Cette méthode est probablement la pire façon de démarrer le parcours sans mot de passe. Les rôles informatiques sont très difficiles et prennent beaucoup de temps. Les travailleurs informatiques ont généralement plusieurs informations d’identification, exécutent une multitude de scripts et d’applications personnalisées, et sont les pires contrevenants à l’utilisation du mot de passe. Il est préférable d’enregistrer ces personnages de travail pour le milieu ou la fin de votre voyage.

Passez en revue votre collection de personnages professionnels. Au début de votre parcours sans mot de passe, identifiez les personnages avec le moins d’applications. Ces personnages de travail peuvent représenter un service entier ou deux. Ces rôles sont les personnages de travail parfaits pour votre preuve de concept (POC) ou pilote.

La plupart des organisations hébergent leur preuve de concept dans un laboratoire de test ou un environnement. Si vous effectuez ce test avec une stratégie sans mot de passe, cela peut être plus difficile et prendre plus de temps. Pour effectuer un test dans un labo, vous devez d’abord dupliquer l’environnement du personnage ciblé. Ce processus peut prendre quelques jours ou plusieurs semaines, selon la complexité du personnage de travail ciblé.

Vous souhaitez trouver un équilibre entre les tests en laboratoire et fournir rapidement des résultats à la gestion. Continuer à montrer la progression de votre parcours vers la liberté de mot de passe est toujours une bonne chose. S’il existe des façons de tester en production avec un risque faible ou sans risque, cela peut être avantageux pour votre chronologie.

Le parcours vers la liberté de mot de passe consiste à prendre chaque personnage de travail à travers chaque étape du processus. Au début, nous encourageons à travailler avec un personnage à la fois pour nous assurer que les membres de l’équipe et les parties prenantes sont familiarisés avec le processus. Une fois à l’aise avec le processus, vous pouvez couvrir autant de personnages de travail en parallèle que les ressources le permettent. Le processus ressemble à ceci :

Déployer une option de remplacement sans mot de passe

  • Identifier les utilisateurs de test représentant le personnage de travail ciblé
  • Déployer Windows Hello Entreprise pour tester les utilisateurs
  • Vérifier que les mots de passe et les Windows Hello Entreprise fonctionnent

Réduire la surface du mot de passe visible par l’utilisateur

  • Examiner le flux de travail utilisateur de test pour l’utilisation du mot de passe
  • Identifier l’utilisation des mots de passe et planifier, développer et déployer des atténuations de mot de passe
  • Répéter jusqu’à ce que toute l’utilisation du mot de passe utilisateur soit atténuée
  • Supprimer les fonctionnalités de mot de passe de Windows
  • Vérifiez qu’aucun des workflows n’a besoin de mots de passe

Passer à un scénario sans mot de passe

  • Campagne de sensibilisation et éducation des utilisateurs
  • Inclure les utilisateurs restants qui correspondent au personnage professionnel
  • Vérifiez qu’aucun des utilisateurs des personnages professionnels n’a besoin de mots de passe
  • Configurer des comptes d’utilisateur pour empêcher l’authentification par mot de passe

Après avoir réussi à déplacer un personnage professionnel vers la liberté de mot de passe, vous pouvez hiérarchiser les personnages de travail restants et répéter le processus.

Étapes suivantes