Annonce de l’authentification multifacteur obligatoire pour la connexion à Azure

Article original : Announcing mandatory multi-factor authentication for Azure sign-in | Microsoft Azure Blog

Découvrez comment l’authentification multifacteur (MFA) peut protéger vos données et votre identité et préparez-vous à la prochaine exigence MFA d’Azure. 

Les cyberattaques étant de plus en plus fréquentes, sophistiquées et destructrices, la protection de vos actifs numériques n’a jamais été aussi cruciale. Dans le cadre de l’investissement de 20 milliards de dollars de Microsoft dans la sécurité  au cours des cinq prochaines années et de notre engagement à renforcer la sécurité de nos services en 2024, nous introduisons l’authentification multifacteur (MFA) obligatoire pour toutes les connexions Azure.

La nécessité d’une sécurité renforcée

L’un des piliers de la  Secure Future Initiative (SFI) de Microsoft est consacré à la protection des identités et des secrets. Nous souhaitons réduire le risque d’accès non autorisé en mettant en œuvre et en appliquant les meilleures normes du marché dans toutes les infrastructures d’identité et de secrets, ainsi que dans l’authentification et l’autorisation des utilisateurs et des applications. Dans le cadre de cette priorité importante, nous prenons les mesures suivantes :

• Protégez la signature de l’infrastructure d’identité et les clés de la plateforme avec une rotation rapide et automatique avec stockage et protection du matériel (par exemple, module de sécurité matériel (HSM) et calcul confidentiel).
• Renforcez les normes d’identité et favorisez leur adoption grâce à l’utilisation de SDK standards dans 100 % des applications.
• Assurez-vous que 100 % des comptes utilisateurs sont protégés grâce à une authentification multifacteur gérée de manière sécurisée et résistante au phishing.
• Assurez-vous que 100 % des applications sont protégées par des informations d’identification gérées par le système (par exemple, une identité gérée et des certificats gérés).
• Assurez-vous que 100 % des jetons d’identité sont protégés avec une validation durable et avec état.
• Adoptez un partitionnement plus précis des clés de signature d’identité et des clés de plateforme.
• Assurez-vous que les systèmes d’identité et d’infrastructure à clés publiques (PKI) sont prêts pour un monde de cryptographie post-quantique.

L’une de nos principales mesures consiste à garantir la protection des comptes Azure grâce à une authentification multifacteur gérée de manière sécurisée et résistante au phishing. Comme le  montre une étude récente de Microsoft , l’authentification multifacteur (MFA) peut bloquer plus de 99,2 % des attaques de compromission de compte, ce qui en fait l’une des mesures de sécurité les plus efficaces disponibles. L’annonce d’aujourd’hui nous rapproche tous d’un avenir plus sûr.

En mai 2024 , nous avons évoqué la mise en œuvre de l’application automatique de l’authentification multifacteur par défaut sur plus d’un million de locataires Microsoft Entra ID au sein de Microsoft, y compris les locataires de développement, de test, de démonstration et de production. Nous étendons cette bonne pratique d’application de l’authentification multifacteur à nos clients en la rendant obligatoire pour accéder à Azure. Ce faisant, nous réduirons non seulement le risque de compromission de compte et de violation de données pour nos clients, mais nous aiderons également les organisations à se conformer à plusieurs normes et réglementations de sécurité, telles que la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS), la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA), le règlement général sur la protection des données (RGPD) et le National Institute of Standards and Technology (NIST).

Préparation à l’authentification multifacteur Azure obligatoire

L’authentification multifacteur (MFA) obligatoire pour tous les utilisateurs Azure sera déployée par phases à partir du 2e ^semestre de l’année civile 2024 afin de donner à nos clients le temps de planifier leur mise en œuvre : 

• Phase 1 : à partir d’octobre, l’authentification multifacteur sera requise pour se connecter au  portail Azure ,  au centre d’administration Microsoft Entra et  au centre d’administration Intune . Cette mise en œuvre sera progressivement déployée sur tous les locataires du monde entier. Cette phase n’aura pas d’impact sur les autres clients Azure tels que l’interface de ligne de commande Azure, Azure PowerShell, l’application mobile Azure et les outils d’infrastructure en tant que code (IaC). 
• Phase 2 : à partir de début 2025, l’application progressive de l’authentification multifacteur lors de la connexion pour  Azure CLI ,  Azure PowerShell ,  l’application mobile Azure et  les outils Infrastructure as Code  (IaC) commencera.

À compter d’aujourd’hui, Microsoft enverra un préavis de 60 jours à tous les administrateurs mondiaux d’Entra par e-mail et via  les notifications d’intégrité du service Azure  pour les informer de la date de début de l’application et des actions requises. Des notifications supplémentaires seront envoyées via le portail Azure, le centre d’administration Entra et le  centre de messages M365 .

Pour les clients qui ont besoin de temps supplémentaire pour se préparer à l’authentification multifacteur Azure obligatoire, Microsoft examinera les délais prolongés pour les clients disposant d’environnements complexes ou d’obstacles techniques.

Comment utiliser Microsoft Entra pour une MFA flexible

Les organisations disposent de plusieurs moyens pour permettre à leurs utilisateurs d’utiliser l’authentification multifacteur via Microsoft Entra :

• Microsoft Authenticator permet aux utilisateurs d’approuver les connexions à partir d’une application mobile à l’aide de notifications push, de données biométriques ou de codes d’accès à usage unique. Augmentez ou remplacez les mots de passe par une vérification en deux étapes et renforcez la sécurité de vos comptes depuis votre appareil mobile.
• Les clés de sécurité FIDO2 permettent d’accéder en se connectant sans nom d’utilisateur ni mot de passe à l’aide d’une clé USB externe, d’une communication en champ proche (NFC) ou d’une autre clé de sécurité externe prenant en charge les normes Fast Identity Online (FIDO) à la place d’un mot de passe.
• L’authentification par certificat applique une MFA résistante au phishing à l’aide de la vérification de l’identité personnelle (PIV) et de la carte d’accès commune (CAC). Authentifiez-vous à l’aide de certificats X.509 sur des cartes à puce ou des appareils directement par rapport à Microsoft Entra ID pour la connexion au navigateur et à l’application.
• Les clés d’accès permettent une authentification résistante au phishing à l’aide de Microsoft Authenticator.
• Enfin, et c’est la version la moins sécurisée du MFA, vous pouvez également utiliser une approbation par SMS ou vocale comme décrit dans  cette documentation .

Les solutions d’authentification multifacteur externes et les fournisseurs d’identité fédérés continueront d’être pris en charge et répondront aux exigences MFA s’ils sont configurés pour envoyer une réclamation MFA.

Aller de l’avant

Chez Microsoft, votre sécurité est notre priorité absolue. En appliquant l’authentification multifacteur pour les connexions Azure, nous souhaitons vous offrir la meilleure protection contre les cybermenaces. Nous apprécions votre coopération et votre engagement à améliorer la sécurité de vos ressources Azure.

Notre objectif est d’offrir une expérience fluide aux clients légitimes tout en garantissant la mise en place de mesures de sécurité robustes. Nous encourageons tous les clients à commencer à planifier leur conformité dès que possible afin d’éviter toute interruption d’activité. 

Commencez dès aujourd’hui ! Pour plus de détails sur la mise en œuvre, les comptes concernés et les prochaines étapes pour vous, veuillez vous référer à  cette documentation .