Un avionneur proactif renforce sa sécurité sur site avec la MFA Windows et Token2
- Deutsche Aircraft GmbH
- Aérospatiale
- Allemagne
)
)
)
)
Deutsche Aircraft GmbH est un avionneur allemand qui tire son esprit pionnier de la grande tradition de l’industrie de l’aérospatiale, et qui propose aujourd’hui des solutions innovantes. Deutsche Aircraft s’appuie sur ses équipes d’ingénieurs et d’experts talentueux et passionnés pour développer l’avion de ligne régional le plus sophistiqué du marché, le D328eco. Détentrice du certificat de type et partenaire de services auprès des opérateurs existants du D328 (turbopropulseur et jet) dans le monde entier, l’entreprise occupe une position unique pour venir compléter la flotte existante avec cet appareil de nouvelle génération.
« … l’intégration des utilisateurs finaux se fait facilement, ce qui réduit les perturbations qui surviennent généralement lorsqu’on migre vers un nouveau système de sécurité. »
Mathias Reitinger - Responsable d’équipe, infrastructure IT et support
La problématique
Par le passé, Deutsche Aircraft avait déployé l’authentification multifacteur pour sécuriser l’accès aux comptes Microsoft 365 à l’aide de l’application Microsoft Authenticator. Aujourd’hui, l’entreprise cherche à étendre la MFA à l’ensemble des accès à son vaste réseau Windows sur site.
Même s’il opère dans le secteur de l’aérospatiale, le constructeur n’est actuellement pas soumis à une réglementation qui lui impose la MFA. Néanmoins, sa société mère, basée aux États-Unis, a l’obligation de se conformer aux recommandations de bonnes pratiques du référentiel de cybersécurité NIST. Cette contrainte a fini de la persuader de déployer la MFA sur l’ensemble du réseau sur site de Deutsche Aircraft.
Dans cette optique, Mathias Reitinger, responsable d’équipe, infrastructure IT et support, a cherché dans un premier temps à résoudre un problème courant : mettre en œuvre la MFA pour un réseau sur site sans ajouter de composants à l’infrastructure ni générer de complexité. Il souhaitait également garder la maîtrise des coûts et éviter d’entraver la productivité des collaborateurs.
M. Reitinger savait que ce déploiement à l’ensemble des utilisateurs allait bouleverser la culture de la sécurité au sein de l’entreprise. C’est pourquoi il s’est mis en quête d’une solution aussi simple à mettre en œuvre que possible.
Autre priorité : la solution de MFA devait offrir aux administrateurs une flexibilité maximale pour adapter l’authentification aux différents profils d’utilisateurs. Pour M. Reitinger, il était essentiel que le gain de sécurité apporté par la MFA ne s’accompagne pas d’effets négatifs sur la productivité des équipes, qui pourraient alors chercher à contourner le dispositif de sécurité.
Enfin, il fallait que la solution choisie prenne en charge les utilisateurs distants dans un large éventail de scénarios de connexion, dont la MFA pour accès distant via VPN ainsi que la MFA hors ligne. Ce dernier aspect était important, car même lorsque les utilisateurs ne sont pas en capacité d’accéder à Internet, les données contenues sur leur ordinateur restent sensibles et doivent être protégées par autre chose qu’un simple identifiant Windows vulnérable en cas de perte physique.
La solution
En prévision d’une augmentation des effectifs dans un avenir proche, la plateforme de MFA choisie par l’entreprise devait être capable d’accompagner cette croissance.
Dans ce contexte, M. Reitinger souhaitait appliquer différentes méthodes de MFA à différents types d’utilisateurs. L’équipe IT a bien compris que UserLock était la solution idéale pour ce cas d’usage. Elle a donc choisi de déployer la MFA UserLock pour les utilisateurs standard de Windows avec des clés Token2, en lui adossant Authlite et des jetons YubiKey pour sécuriser l’accès des utilisateurs privilégiés de l’équipe d’administration.
Le responsable IT a choisi de déployer UserLock pour l’ensemble des utilisateurs parce qu’il a estimé qu’Authlite gérait mal les scénarios hors ligne, les utilisateurs se retrouvant bloqués sans accès au domaine ou au VPN. À l’inverse, si YubiKey offre un niveau de sécurité très élevé, son implémentation au-delà des quelques utilisateurs administrateurs se serait avérée trop coûteuse.
« Nous avons choisi UserLock parce qu’il répondait à l’ensemble de nos besoins à ce moment-là, et nous l’apprécions toujours autant. Nous possédons actuellement 750 licences UserLock, que nous venons de renouveler pour trois ans. »
M. Reitinger - Responsable d’équipe, infrastructure IT et support
Les avantages
L’entreprise considère que la mise en œuvre de la MFA n’est qu’un début. Elle recherche des moyens de consolider et de simplifier la protection des accès.
Le regard déjà tourné vers l’avenir, le service IT explore les possibilités de rationaliser l’authentification, toujours dans l’optique de renforcer la sécurité sans impacter l’expérience utilisateur.
Selon Mathias Reitinger, cet inconvénient revient souvent lorsqu’on applique la MFA à l’ensemble des effectifs d’une entreprise. Il imagine une transition future vers un environnement plus simple, associant la MFA UserLock à des jetons FIDO.
M. Reitinger apprécie la qualité de l’expérience utilisateur et la facilité d’intégration des utilisateurs finaux, qui revêtent une importance capitale lorsqu’il s’agit de mettre en œuvre un nouveau déploiement MFA ou de gérer une plateforme existante.
« La capacité de UserLock à s’intégrer à notre environnement Active Directory sur site existant rend sa gestion extrêmement fluide. L’intégration des utilisateurs finaux se fait facilement, ce qui réduit les perturbations qui surviennent généralement lorsqu’on migre vers un nouveau système de sécurité. »
M. Reitinger - Responsable d’équipe, infrastructure IT et support