Passer au contenu principal
Jeremy Ingram
7 juillet 2026

En 2025, j’ai assisté à plusieurs excellentes conférences, et quelques séances et conversations se démarquent :

  • IGEL Now & Next a inclus une table ronde sur la sécurité qui a renforcé la rapidité avec laquelle le paysage de la sécurité des points d’accès et des identités évolue.
  • MMS Music City a présenté plusieurs sessions marquantes qui ont souligné l’importance de la modernisation de la sécurité de Microsoft.
  • Workspace Ninjas comprenait des sessions sur la façon dont les environnements d’entreprise devraient aborder la gestion des points de terminaison, la sécurité et l’authentification moderne.

Les thèmes récurrents étaient la modernisation de la sécurité, les flux d’authentification, les droits Microsoft 365 inutilisés, la posture des terminaux, l’adoption du nuage et le déplacement continu des modèles de confiance hérités.

Collectivement, ces domaines peuvent aider les organisations à passer d’améliorations de sécurité réactives à une architecture où l’identité, la santé des appareils, la sensibilité des applications et les risques déterminent les décisions d’accès.

De nombreuses organisations ont déjà accès aux technologies nécessaires pour commencer à aborder ces risques via les droits existants de Microsoft 365 et Entra; Le défi est plus souvent l’adoption, l’architecture et la préparation opérationnelle. Par exemple, consultez le blogue de mon collègue Andre Nguyen qui explique comment intégrer Microsoft Defender, Intune et Entra pour permettre en temps réel l’évaluation des risques des dispositifs de terminaison, l’application de la conformité et la réponse automatisée aux menaces.

L’authentification est l’un des domaines où cette lacune apparaît le plus souvent, et voici des indicateurs clés montrant que le modèle d’authentification d’une organisation n’a pas encore complètement rattrapé le paysage actuel des menaces :

  • Des flux d’authentification à facteur unique existent toujours.
  • Les utilisateurs connaissent toujours et tapent régulièrement leurs mots de passe.
  • Les applications internes acceptent toujours le nom d’utilisateur et le mot de passe comme preuve d’identité suffisante.
  • Les VPN, VDI, sous-réseaux de confiance ou appareils gérés sont toujours considérés comme des raisons d’assouplir les exigences d’authentification.
  • La récupération du service d’assistance commence toujours par une réinitialisation du mot de passe.
  • L’authentification Zéro Confiance est encore décrite principalement comme un désagrément pour l’utilisateur plutôt qu’une exigence de l’architecture de sécurité.

Le signal : l’authentification à facteur unique existe toujours

Une indication claire qu’un environnement utilise un modèle de confiance plus ancien est sa dépendance continue à l’authentification à facteur unique.

Ce n’est pas toujours évident au premier abord. Une organisation a peut-être adopté des contrôles d’identité modernes à certains endroits, mais cela n’a pas complètement éliminé l’hypothèse qu’un mot de passe peut servir de preuve d’identité suffisante. Par exemple, si la réponse à l’une des questions suivantes est oui, l’organisation dispose toujours de flux d’authentification centrés sur le mot de passe :

  • Un utilisateur peut-il accéder à une application interne critique avec seulement un nom d’utilisateur et un mot de passe?
  • Une session VPN ou VDI peut-elle créer un accès large aux ressources internes après un événement d’authentification faible?
  • Un outil administratif, un serveur de saut, une console de gestion ou un flux de travail hérité peut-il encore être atteint sans authentification forte?
  • Le service d’assistance peut-il restaurer l’accès en réinitialisant un mot de passe et en renvoyant l’utilisateur par le même flux centré sur le mot de passe?
  • Un poste de travail partagé ou une application interne de ligne d’affaires peut-elle encore fonctionner en supposant qu’être « à l’intérieur du réseau » est suffisant?

C’est important parce que les attaquants n’ont besoin que d’une seule porte utile qui accepte toujours un secret réutilisable. Si un mot de passe suffit encore pour accéder à quelque chose d’important, il peut être manipulé, deviné, pulvérisé, réutilisé, récolté dans un autre système ou récupéré par ingénierie sociale.

Plutôt que de résoudre tous les problèmes de mots de passe d’un coup, la première étape vers la modernisation de l’authentification est de rendre visibles les flux d’authentification à facteur unique restants.

Le fait que les utilisateurs connaissent leurs mots de passe est un symptôme

Il existe un test simple pour indiquer la maturité sans mot de passe : les utilisateurs connaissent-ils encore leurs mots de passe?

Si les utilisateurs tapent régulièrement des mots de passe, ces mots restent exposés au phishing, à la réutilisation, à la navigation d’épaule, à la capture du navigateur, aux invites malveillantes, aux faux portails et à l’ingénierie sociale. Même des mots de passe forts et des gestionnaires de mots de passe ne résolvent pas complètement le problème si les flux de travail critiques acceptent encore des secrets réutilisables.

Une stratégie sans mot de passe doit être comprise comme plus qu’une simple commodité de connexion, car elle réduit le nombre d’instances où un secret réutilisable est présenté, accepté, mis en cache, réinitialisé ou sur lequel on s’y fie.

Le même principe s’applique aux processus de soutien. Si la récupération du compte commence toujours par une réinitialisation du mot de passe, l’organisation n’a pas retiré le mot de passe du centre du modèle d’authentification. Une organisation peut avoir ajouté la MFA autour d’un mot de passe, mais le mot de passe reste l’ancre de récupération.

C’est risqué parce que les flux de travail de récupération sont des cibles à forte valeur. Si un attaquant parvient à convaincre un ingénieur de support de réinitialiser un mot de passe, de contourner un contrôle d’enregistrement ou de rétablir l’accès grâce à une vérification faible, la force de l’expérience de connexion normale peut ne pas avoir d’importance.

Pour ces raisons, l’objectif est de réduire la fréquence à laquelle les utilisateurs ont besoin de mots de passe, où les mots de passe sont acceptés et quels mots de passe peuvent se débloquer. L’authentification moderne devrait rendre les mots de passe moins visibles pour les utilisateurs et moins précieux pour les attaquants. Cela commence par identifier les endroits où les utilisateurs tapent encore des mots de passe parce que l’environnement les oblige à le faire.

Le réseau interne de confiance n’est pas une méthode d’authentification

Le réseau interne de confiance demeure l’un des obstacles les plus persistants à la modernisation de l’authentification. La plupart des environnements informatiques étaient traditionnellement conçus autour du principe que l’accès à partir de l’intérieur du réseau différait substantiellement de l’accès à l’extérieur du réseau. Cette hypothèse a influencé la conception des applications, la politique d’accès à distance, les flux de travail administratifs et les procédures de support. L’accès externe était contesté, tandis que l’accès interne était digne de confiance.

Dans la réalité actuelle, la localisation du réseau n’est pas une méthode d’authentification. Un sous-réseau d’entreprise, une session VPN, un appareil géré, une session VDI, etc., peuvent tous être des signaux utiles, mais aucun de ceux-ci ne devrait suffire à eux seuls. Le contexte réseau devrait guider les décisions d’accès, pas remplacer les décisions d’authentification. Traiter les sous-réseaux de confiance, la connectivité VPN, l’accès VDI ou les appareils gérés comme critères pour assouplir les exigences d’authentification expose des vulnérabilités que les attaquants peuvent exploiter.

L’authentification moderne devrait évaluer l’utilisateur, l’appareil, l’application, la session, l’emplacement, le risque et la force d’authentification requise. Le réseau interne ne devrait pas être un critère pour l’exemption d’AME; c’est plutôt l’un des premiers endroits où chercher la dette de modernisation de l’authentification.

L’authentification zéro confiance n’est pas l’inconvénient; Un mauvais design est

Un autre obstacle courant à la modernisation de l’authentification est la perception que le Zéro Confiance crée des frictions inutiles pour les utilisateurs.

Cette inquiétude est compréhensible, car des politiques d’authentification mal conçues peuvent créer des frictions; par exemple, les utilisateurs peuvent être trop souvent sollicités ou confrontés de manière incohérente. Mais ce n’est pas un argument contre l’authentification Zéro Confiance; c’est plutôt un argument contre une mauvaise conception.

L’authentification zéro confiance ne devrait pas signifier mettre chaque utilisateur au défi à chaque instant pour chaque application. Au lieu de cela, l’utilisateur, l’appareil, l’application, la session, l’emplacement, le comportement de connexion et la méthode d’authentification devraient tous contribuer à la décision d’accès. Le but est de mieux faire confiance aux décisions, pas d’avoir plus d’incitations.

Un modèle d’authentification bien conçu devrait souvent sembler moins perturbateur qu’un modèle hérité. C’est particulièrement important dans des environnements où les contrôles de sécurité sont souvent jugés selon l’expérience utilisateur. Si Zero Trust est introduit comme une série d’invites déconnectées, les utilisateurs le perçoivent comme un obstacle.

La modernisation devrait réduire cette incohérence. La meilleure stratégie d’authentification applique le bon défi au bon moment, en utilisant la bonne méthode, pour la bonne ressource.

La MFA est la base, pas la destination

Si l’authentification à facteur unique existe encore dans un environnement, la MFA est la première correction évidente; cependant, la MFA devrait être considérée comme la référence, et non l’état final.

La MFA est souvent traitée comme un contrôle de sécurité unique, mais toutes les méthodes d’authentification ne sont pas également sécurisées. Les SMS, appels vocaux, codes d’accès à usage unique, notifications push, approbations basées sur applications, Windows Hello for Business, clés de sécurité FIDO2, authentification basée sur certificats et clés d’accès offrent chacun différents niveaux de protection contre les attaques d’identité modernes.

Certaines méthodes réduisent le risque par rapport aux mots de passe seuls, mais peuvent tout de même être manipulées ou modifiées socialement. Certaines méthodes améliorent l’expérience utilisateur, mais peuvent ne pas convenir à tous les scénarios privilégiés. Certaines méthodes offrent une protection renforcée puisqu’elles reposent sur l’authentification cryptographique et résistent à la rediffusion et aux attaques adversaires du milieu.

Un meilleur modèle de modernisation de l’authentification impose la force d’authentification requise pour le flux d’accès; c’est-à-dire que la solution n’est pas simplement « MFA partout », mais nécessite plutôt la bonne méthode d’authentification pour le bon flux d’accès. C’est le changement que les organisations doivent faire. Par exemple :

  • Le MFA comble l’écart à facteur unique.
  • Le mode sans mot de passe réduit la dépendance opérationnelle aux mots de passe.
  • L’authentification résistante au phishing protège les voies d’accès où les identifiants volés, les codes copiés ou les connexions par procuration ne devraient pas suffire.

Par où commencer : Trouvez les flux où les mots de passe sont encore suffisants

La première étape de la modernisation de l’authentification est la visibilité : identifier les flux d’authentification où un mot de passe est encore suffisant, où une MFA faible est toujours acceptée, ou où les hypothèses réseau fiables assouplissent encore les exigences de sécurité.

L’objectif est de réduire le nombre d’endroits importants où un mot de passe est suffisant. Commencez par un ensemble simple de questions telles que :

  • Les utilisateurs peuvent-ils accéder à des applications internes avec seulement un nom d’utilisateur et un mot de passe?
  • Le VPN, le VDI ou l’accès publié aux applications peuvent-ils créer une large portée interne après un événement d’authentification faible?
  • Les administrateurs peuvent-ils accéder à des outils privilégiés, des consoles de gestion, des plateformes de sécurité ou des systèmes d’identité sans authentification résistante au phishing?
  • Les utilisateurs peuvent-ils s’enregistrer ou changer de méthode d’authentification sans preuve forte d’identité?
  • La récupération du service d’assistance commence-t-elle toujours avec une réinitialisation du mot de passe?
  • Les sous-réseaux de confiance, les appareils d’entreprise ou les sessions de bureau virtuels sont-ils utilisés pour justifier le contournement d’une authentification plus forte?
  • Est-ce que les utilisateurs tapent encore leurs mots de passe tous les jours?

Pour certains flux d’authentification, la première étape peut être l’application de la MFA. Pour d’autres, il peut s’agir de moderniser une application interne afin qu’elle puisse participer à l’accès conditionnel. Certains utilisateurs pourraient être de bons candidats pour Windows Hello for Business. Certains scénarios peuvent nécessiter des clés de sécurité FIDO2. Certains flux d’intégration et de récupération peuvent nécessiter un laissez-passer d’accès temporaire. Certaines applications sensibles et rôles privilégiés peuvent nécessiter une authentification résistante à l’hameçonnage appliquée via des forces d’authentification.

La décision de la solution vient après que le flux d’accès soit compris. La modernisation devrait commencer par les voies d’accès qui présentent le plus grand risque, et une fois ces flux d’accès compris, les organisations pourront commencer à les associer aux méthodes d’authentification modernes appropriées. Exemples :

  • Accès privilégié.
  • Applications internes contenant des données sensibles.
  • Des flux VPN et VDI qui offrent un accès large.
  • Processus de récupération du service d’assistance.
  • Enregistrement des informations de sécurité.
  • Outils administratifs.
  • Scénarios de stations de travail partagées.
  • Des applications héritées qui contournent les contrôles d’identité modernes.

La route à venir

Le paysage des menaces a considérablement évolué, et plusieurs des capacités nécessaires à la réponse sont déjà disponibles grâce aux droits existants de Microsoft 365 et Microsoft Entra.

Certains des signes les plus clairs qu’un environnement est prêt à être modernisé sont faciles à repérer : les mots de passe débloquent toujours des ressources critiques, les emplacements réseau de confiance réduisent toujours les exigences d’authentification, ou les utilisateurs s’appuient toujours sur les mots de passe comme méthode principale de connexion.

L’étape suivante n’est pas d’éliminer les mots de passe du jour au lendemain, mais d’identifier où ils restent le maillon faible et de les remplacer par des méthodes d’authentification qui correspondent au rôle, à l’appareil, à l’application et au profil de risque de chaque utilisateur.

Dans le prochain article de cette série, nous examinerons les méthodes d’authentification Microsoft Entra qui rendent cette transition possible, incluant le Temporary Access Pass, Microsoft Authenticator, Windows Hello for Business, les clés de sécurité FIDO2, les clés d’accès, l’authentification basée sur des certificats, la MFA externe et l’accès conditionnel.

Si vous prévoyez moderniser l’authentification ou adopter un environnement résistant aux mots de passe, Ferroque Systems peut vous aider. Nos consultants possèdent des décennies d’expérience dans la conception, la mise en œuvre et la sécurisation des environnements d’identité Microsoft et EUC pour des organisations d’entreprise, commerciales et gouvernementales. Que vous évaluiez l’authentification sans mot de passe, renforciez l’accès conditionnel ou élaboriez une stratégie plus large de confiance zéro, nous pouvons vous aider à choisir la bonne approche pour votre environnement.

  • Jeremy Ingram

    Jeremy déploie les produits Citrix et NetScaler depuis 2008. Architecte chevronné couvrant les technologies et les industries, Jeremy a une passion pour le déploiement des produits Citrix, qu’il croit fermement être les éléments les plus impressionnants qui fonctionnent aujourd’hui dans les environnements d’entreprise.

Redéfinissez votre approche de la technologie et de l’innovation

Prenez rendez-vous pour découvrir comment des solutions personnalisées conçues pour votre succès peuvent générer des résultats exceptionnels, avec Ferroque comme allié stratégique.