La MFA pour les institutions financières africaines : répondre aux exigences de conformité sur site

Les institutions financières à travers l'Afrique font face à une surveillance accrue, les régulateurs et les assureurs exigeant une authentification plus robuste. Pour celles qui s'appuient sur Active Directory, le défi consiste à mettre en œuvre une authentification multifacteur (MFA) sur site capable de sécuriser leur infrastructure existante. UserLock ajoute la MFA et des contrôles d'accès directement sur Active Directory sur site, sans modifier l'architecture, sans complexité supplémentaire. Cet article explique pourquoi les institutions financières basées sur AD à travers le continent se tournent vers UserLock pour répondre aux exigences de conformité et réduire les risques liés aux identifiants.

La prochaine décennie s'annonce comme l'une des plus difficiles que les banques africaines aient jamais connues. Sur l'ensemble du continent, la cybercriminalité est en forte hausse, encouragée par le sous-investissement passé en matière de cybersécurité. Les banques peinent à contenir les menaces, contraintes par leurs ressources, des pénuries chroniques de compétences et l'absence de normes et de réglementations cohérentes.

Mais le changement est en marche. Une réunion tenue en 2025 par l'Alliance pour l'inclusion financière (AFI), une organisation créée pour orienter la politique bancaire dans les pays en développement, a défini une nouvelle approche de la cybersécurité : relever les standards grâce à une réglementation plus stricte, établir des partenariats avec des banques de premier plan d'autres régions du monde et faire de la cybersécurité une priorité politique.

Le message est clair : à l'avenir, les banques doivent s'attendre à des exigences de conformité plus strictes et à une plus grande importance accordée à la résilience en matière de cybersécurité et à la souveraineté des données. Parallèlement, les faiblesses les plus importantes de toutes, la dépendance excessive à des systèmes anciens peu sécurisés, devront enfin faire l'objet d'une attention sérieuse.

Si l'adoption du cloud est en progression, une grande proportion de banques et d'institutions financières dans le monde s'appuient encore sur des réseaux sur site utilisant Active Directory pour l'IAM. Les banques africaines ne font pas exception.

L'inertie explique en partie cette situation. Les réseaux Windows étaient autrefois déployés sur site par défaut : une topologie qui a perduré. Dans d'autres cas, les institutions financières ont de bonnes raisons de conserver AD comme système IAM principal, plutôt que d'adopter des alternatives cloud telles qu'Entra ID (anciennement Azure AD).

Pourquoi les banques restent-elles attachées à AD ? La réponse tient à un ensemble complexe de raisons qui n'ont rien à voir avec un simple manque d'évolution. Dans de nombreux cas d'usage, l'utilisation d'AD comme référentiel d'identité central présente encore des avantages importants :

• Applications cœur de métier : les réseaux sur site sont nécessaires pour prendre en charge les applications legacy incompatibles avec les plateformes cloud. Bon nombre de ces applications sont hautement spécialisées et les redévelopper pour le cloud n'est pas envisageable.

• Coût : les budgets sont limités et les réseaux AD ont déjà été financés. La migration vers le cloud engendrerait des coûts supplémentaires et nécessiterait des compétences nouvelles difficiles à acquérir dans de nombreux pays.

• Connectivité : les systèmes cloud supposent l'existence d'infrastructures d'hébergement locales et une bonne connectivité, ce qui implique un accès uniforme aux infrastructures.

• Indépendance : dans un nombre croissant de pays africains, la réglementation bancaire exige que les banques gèrent leurs applications cœur de métier en interne. Dans certains cas, il en va de même pour les données, ce qui souligne la nécessité d'une indépendance institutionnelle, d'une résilience face aux perturbations du cloud et d'une souveraineté des données.

Cela oblige les banques à faire fonctionner et à sécuriser deux types de réseaux entièrement différents : un réseau sur site plus ancien, utilisé pour héberger les applications internes indispensables à leur fonctionnement, et un réseau cloud plus récent, désormais incontournable pour l'hébergement des services web publics.

Contrairement aux plateformes cloud, qui disposent de contrôles intégrés, la sécurisation des réseaux périmètriques construits autour d'AD repose entièrement sur les équipes internes. Ce qui peut compliquer les choses : AD a été conçu dans les années 1990 et manque de nombreux contrôles de sécurité devenus indispensables depuis. Pour les banques africaines, cela génère de nombreux défis en matière de sécurité :

• Limites des objets de stratégie de groupe (GPO) : les GPO d'AD constituent un contrôle statique et n'appliquent pas de sécurité conditionnelle. Par exemple, limiter les connexions simultanées, définir des plages horaires d'accès au réseau ou appliquer des politiques aux connexions distantes à risque élevé.

  Ils sont également dépourvus de fonction d'audit ; les administrateurs ne peuvent pas savoir combien de postes respectent le niveau de sécurité souhaité.

• Complexité de gestion : avec le temps, les GPO s'accumulent et créent un enchevêtrement de politiques contradictoires qui nuisent aux performances. Les administrateurs peuvent se retrouver à passer plus de temps à gérer les GPO qu'à sécuriser les utilisateurs.

• Lacunes en matière d'authentification multifacteur (MFA) : AD ne prend pas en charge la MFA nativement, et l'ajout d'une authentification moderne oblige les organisations à se procurer et à configurer un produit distinct. Les produits Microsoft prévus à cet effet ajoutent de la complexité et des coûts. L'absence de la MFA native dans AD constitue un problème réglementaire particulièrement épineux dans les pays africains où ce contrôle est obligatoire pour des raisons de conformité.

• Indépendance et souveraineté : les activités bancaires exigent souvent que les organisations gèrent elles-mêmes leurs données et leur sécurité IAM. Dans ces cas d'usage, les systèmes cloud tels qu'Entra ID et Azure ne sont pas envisageables.

Pour de nombreuses banques africaines, ces problèmes constituent un enjeu récurrent qui ne peut être résolu que par le biais de plateformes tierces telles que UserLock.

Parmi les problèmes que des clients du secteur bancaire africain ont résolus en déployant UserLock, on peut citer :

• Une banque privée rencontrait des difficultés dans la gestion des GPO et souffrait de l'absence de la MFA et de contrôle de session dans son environnement AD. La limitation des sessions simultanées constituait également une préoccupation.

• Un établissement de crédit avait besoin de la MFA pour satisfaire aux exigences de conformité PCI.

• Un ministère des Finances souhaitait sécuriser son réseau AD avec la MFA pour répondre aux normes de sécurité modernes tout en conservant son IAM sur site.

UserLock répond à ces défis en comblant l'écart entre les limitations d'AD en matière d'IAM et de sécurité et les exigences de sécurité modernes, sans obliger les organisations à migrer vers le cloud.

Conçu comme une surcouche directe sur AD, UserLock ajoute des fonctionnalités de sécurité d'accès modernes telles que le contrôle des sessions simultanées, des contrôles réseau contextuels et une MFA complète. Point essentiel, les organisations bénéficient d'une visibilité en temps réel sur la façon dont leurs utilisateurs interagissent avec AD à tout moment.