TroutTrout
Back to Blog
AuthenticationRemote Access

MFA pour l'accès distant : VPN, RDP et portails cloud

Trout Team8 min read

Un mot de passe VPN volé. Un port RDP exposé. Un portail cloud avec une authentification à un seul facteur. Ce sont les trois points d'entrée les plus courants des compromissions d'accès distant. L'authentification multifacteur (MFA) ferme ces trois portes en exigeant un second facteur de vérification qu'un attaquant ne peut pas voler à distance. Comprendre comment bien déployer la MFA sur chaque chemin, et là où elle ne suffit pas, peut nettement améliorer votre posture de sécurité.

Comprendre le besoin de MFA pour l'accès distant

Les technologies d'accès distant ont transformé le fonctionnement des entreprises, en offrant souplesse et efficacité. Elles introduisent aussi de nouvelles vulnérabilités. Un accès non autorisé via des identifiants compromis peut conduire à des compromissions dévastatrices. La MFA ajoute une couche de sécurité, en exigeant deux facteurs de vérification ou plus pour obtenir l'accès, ce qui réduit les risques liés à l'authentification par mot de passe seul.

La CISA indique clairement que la MFA résistante à l'hameçonnage est la référence absolue et que toute MFA vaut bien mieux que pas de MFA, car elle bloque les attaques par rejeu d'identifiants qui sont à l'origine de la plupart des intrusions (CISA, Multifactor Authentication). La raison compte pour les technologies opérationnelles (OT) : dans les environnements industriels, un seul identifiant réutilisé peut servir de pont entre une boîte mail bureautique et un poste de travail de système de contrôle.

Le rôle de la MFA dans la réduction des risques

  • Empêcher les accès non autorisés : en exigeant plusieurs formes d'identification, la MFA réduit fortement le risque d'accès non autorisé via des mots de passe volés ou compromis.
  • Renforcer la conformité : des référentiels comme NIST SP 800-171 et CMMC imposent une authentification forte. Le contrôle 3.5.3 de NIST SP 800-171 exige la MFA pour l'accès local et réseau aux comptes à privilèges, ainsi que pour l'accès réseau aux comptes sans privilèges (NIST SP 800-171 Rev. 2).
  • Réduire l'hameçonnage et le vol d'identifiants : la MFA peut déjouer l'hameçonnage et les autres vols d'identifiants en ajoutant une étape de vérification que les attaquants ne peuvent pas reproduire facilement à distance, surtout lorsque le facteur résiste à l'hameçonnage.

Le problème du RDP en OT

Le RDP mérite sa propre section, car c'est l'un des points d'entrée les plus exploités vers les réseaux industriels. Lorsqu'un port RDP est accessible depuis Internet, les attaquants le trouvent en quelques heures par balayage automatisé, puis forcent ou rejouent des identifiants volés. Les rapports de menace classent régulièrement le RDP exposé parmi les vecteurs d'accès initial les plus courants des rançongiciels, et les recommandations de la CISA sur la sécurisation de l'accès distant désignent l'exposition directe du RDP comme une pratique à éliminer (CISA, Guide to Securing Remote Access Software).

Les enjeux sont plus élevés en OT qu'en IT. NIST SP 800-82, le guide de référence pour la sécurité OT, insiste sur le fait que l'accès distant aux environnements de systèmes de contrôle doit être strictement encadré, transitant par un intermédiaire durci, et jamais exposé directement à des réseaux non fiables (NIST SP 800-82 Rev. 3). Un attaquant qui atteint un poste d'ingénierie via un port RDP ouvert n'est plus qu'à une étape d'une interface homme-machine (IHM) ou d'un automate programmable, où les conséquences sont physiques et pas seulement une perte de données.

Bonnes pratiques pour la sécurité du RDP

  • Éliminer l'exposition RDP entrante : aucun hôte de système de contrôle ne doit accepter le RDP directement depuis Internet, ni même depuis le réseau bureautique sans intermédiation. Supprimez le chemin entrant entièrement plutôt que de compter sur un mot de passe pour le défendre.
  • Utiliser l'authentification au niveau réseau (NLA) avec TLS : la NLA impose l'authentification avant l'établissement d'une session, et le TLS protège le canal. Les deux doivent être négociés par défaut.
  • Faire transiter le RDP par une passerelle sensible à l'identité : au lieu d'ouvrir des ports, routez le RDP à travers une passerelle qui authentifie l'utilisateur, applique la MFA, impose le moindre privilège et enregistre la session de façon centralisée.
  • Ajouter la MFA par-dessus : même une connexion intermédiée devrait exiger un second facteur, idéalement résistant à l'hameçonnage, avant d'accorder une session.
  • Corriger et surveiller : maintenez les services RDP à jour et examinez les journaux de session pour détecter les anomalies.

Mettre en œuvre la MFA pour les VPN

Les VPN sont une méthode courante pour sécuriser l'accès distant aux réseaux d'entreprise. Sans MFA, ils deviennent une cible. Avec la MFA, ils sont plus solides mais ne constituent pas une réponse complète.

Étapes pour intégrer la MFA aux VPN

  1. Évaluer la configuration VPN actuelle : comprenez votre architecture VPN existante et sa compatibilité avec les solutions de MFA.
  2. Choisir la bonne solution de MFA : sélectionnez une solution de MFA qui s'intègre à votre passerelle VPN. Privilégiez les facteurs résistants à l'hameçonnage plutôt que le SMS ou les codes à usage unique lorsque c'est possible.
  3. Déployer et tester : déployez la MFA par étapes, en commençant par un groupe pilote pour résoudre les problèmes avant le déploiement général.
  4. Former les utilisateurs : proposez une formation pour que les utilisateurs comprennent l'importance de la MFA et sachent l'utiliser.

Les limites du VPN avec MFA

Le VPN avec MFA authentifie l'utilisateur à la porte d'entrée, puis accorde souvent une large portée réseau une fois à l'intérieur. C'est cet accès à plat qui pose problème : un terminal compromis, un détournement de session ou un jeton volé peuvent transformer une seule session VPN authentifiée en déplacement latéral dans tout l'environnement. Les recommandations de NIST sur l'architecture Zero Trust formulent directement la solution : authentifier chaque requête, accorder l'accès par ressource plutôt que par réseau, et présumer que le réseau est déjà hostile (NIST SP 800-207, Zero Trust Architecture). En pratique, cela signifie passer d'un VPN qui expose un segment réseau à un modèle où chaque connexion est intermédiée, limitée à une seule ressource et vérifiée en continu. Pour l'OT, c'est la différence entre un prestataire qui atteint une seule IHM pour une seule fenêtre de maintenance et ce même prestataire capable de balayer tout le réseau de l'usine.

La MFA pour les portails cloud

Les portails cloud servent de plus en plus à accéder à des services et des données. La MFA aide à sécuriser ces points d'accès contre les intrusions non autorisées.

Mettre en œuvre la MFA dans les environnements cloud

  • Exploiter les fonctions de MFA intégrées : de nombreux fournisseurs cloud proposent une MFA intégrée. Activez-la partout et désactivez les chemins d'authentification hérités qui la contournent.
  • Intégrer un fournisseur d'identité : utilisez un fournisseur d'identité prenant en charge la MFA pour appliquer une authentification cohérente et résistante à l'hameçonnage sur plusieurs services cloud.
  • Surveiller et examiner les journaux d'accès : examinez régulièrement les journaux d'accès pour détecter une activité suspecte pouvant indiquer un compte compromis.

Le lien avec la conformité

Les contrôles ci-dessus ne relèvent pas seulement de la bonne hygiène : ce sont des exigences explicites. NIST SP 800-171 place la MFA au cœur de sa famille Identification et Authentification (IA), en exigeant la MFA pour les comptes à privilèges et pour l'accès réseau aux systèmes qui traitent des informations non classifiées contrôlées. Le CMMC hérite directement de ces contrôles IA : un environnement OT qui intermédie le RDP, applique la MFA et limite l'accès par ressource construit aussi ses preuves de conformité. Les recommandations de la CISA sur l'accès distant et la MFA, ainsi que la direction propre à l'OT de NIST SP 800-82, complètent le tableau : éliminer l'exposition directe, intermédier via l'identité et vérifier en continu.

Défis et solutions du déploiement de la MFA

La MFA est puissante, mais son déploiement comporte des frictions. Connaître les difficultés courantes facilite le déploiement.

Répondre aux défis courants du déploiement de la MFA

  • Résistance des utilisateurs : certains trouvent la MFA contraignante. Répondez-y en choisissant des options conviviales et résistantes à l'hameçonnage et en proposant une formation claire.
  • Compatibilité technique : vérifiez que la solution de MFA retenue fonctionne avec les systèmes existants, y compris les actifs OT hérités qui ne peuvent pas exécuter d'agent et doivent être protégés au niveau du réseau.
  • Coûts : la MFA a un coût, mais le coût d'une compromission est bien plus élevé. Considérez la MFA comme un investissement dans la résilience.

Conclusion

Déployez la MFA sur chaque chemin d'accès distant : VPN, RDP et portails cloud. Pour le RDP, la priorité est d'éliminer entièrement l'exposition entrante et d'intermédier l'accès via une passerelle sensible à l'identité avec NLA et TLS, puis d'ajouter la MFA par-dessus. Pour les VPN, choisissez un facteur de MFA résistant à l'hameçonnage, testez avant le déploiement général, et reconnaissez que le VPN avec MFA vous laisse encore un accès réseau à plat tant que vous n'évoluez pas vers une intermédiation par ressource. Pour les portails cloud, activez la MFA intégrée du fournisseur ou intégrez votre fournisseur d'identité. Le bénéfice de conformité est immédiat : NIST SP 800-171 et CMMC imposent tous deux la MFA pour l'accès distant aux données contrôlées. Le bénéfice de sécurité est plus grand encore : un mot de passe volé seul ne peut plus atteindre votre réseau, et en OT, cela peut faire la différence entre un incident maîtrisé et un incident physique.