Niveaux d’assurance d’Authenticator
L’institut NIST (National Institute of Standards and Technology) développe les exigences techniques pour les agences fédérales américaines qui implémentent des solutions d’identité. NIST SP 800-63B contient les directives techniques pour l’implémentation de l’authentification numérique, à l’aide d’un framework de niveaux d’assurance d’authentificateur (AALs). Les niveaux AAL caractérisent la force de l’authentification d’une identité numérique. Vous pouvez également en apprendre plus sur la gestion du cycle de vie de l’authentificateur, y compris la révocation.
La norme comprend des exigences AAL pour les catégories suivantes :
Types d’authentificateurs autorisés
Niveau de vérification FIPS 140 (Federal Information Processing Standards 140). Les exigences FIPS 140 sont satisfaites par FIPS 140-2 et ses révisions plus récentes.
Réauthentification
Contrôles de sécurité
Résistance à l’intercepteur
Résistance à l’emprunt d’identité du vérificateur (résistance à l’hameçonnage)
Résistance aux compromissions du vérificateur
Résistance à la réexécution
Intention d’authentification
Stratégie de rétention des enregistrements
Contrôles de la confidentialité
Niveaux AAL NIST dans votre environnement
En général, le niveau AAL1 n’est pas recommandé, car il accepte les solutions par mot de passe seulement, l’authentification la plus facile à compromettre. Pour plus d’informations, consultez le billet de blog Votre mot de pa$$e n’a pas d’importance.
Bien que le NIST n’exige pas de résistance à l’emprunt d’identité de vérificateur (hameçonnage d’informations d’identification) jusqu’au niveau AAL3, nous vous recommandons de traiter cette menace à tous les niveaux. Vous pouvez sélectionner des authentificateurs qui fournissent une résistance à l’emprunt d’identité du vérificateur, par exemple, en exigeant que les appareils soient reliés à Microsoft Entra ID ou à Microsoft Entra ID hybride. Si vous utilisez Office 365, vous pouvez vous servir d’Office 365 – Protection avancée contre les menaces, et de ses stratégies anti-hameçonnage.
À mesure que vous évaluez le niveau AAL NIST nécessaire pour votre organisation, déterminez si l’ensemble de celle-ci doit respecter les normes NIST. S’il existe des groupes d’utilisateurs et des ressources spécifiques qui peuvent être séparés, vous pouvez appliquer des configurations NIST AAL à ces groupes d’utilisateurs et ressources.
Conseil
Nous vous recommandons de respecter au moins le niveau AAL2. Respectez le niveau AAL3 si nécessaire pour des raisons professionnelles, des normes industrielles ou des exigences de conformité.
Contrôles de sécurité, contrôles de confidentialité, stratégie de conservation des enregistrements
Azure et Azure Government ont obtenu du Joint Authorization Board une autorisation d’exploitation provisoire (P-ATO) de niveau Impact élevé NIST SP 800-53. Cette accréditation FedRAMP autorise Azure et Azure Government à traiter des données hautement sensibles.
Important
Les certifications Azure et Azure Government satisfont aux exigences en matière de contrôles de sécurité et de conformité, ainsi que de stratégie de rétention des enregistrements des niveaux AAL1, AAL2 et AAL3.
L’audit FedRAMP d’Azure et d’Azure Government incluait le système de gestion de la sécurité des informations pour l’infrastructure, le développement, les opérations, la gestion et la prise en charge des services concernés. Une fois qu’une autorisation P-ATO est accordée, un fournisseur de services cloud doit obtenir une autorisation d’exploitation (ATO) de l’organisme gouvernemental avec lequel il travaille. Pour un organisme public ou les organisations travaillant avec celui-ci peuvent utiliser l’autorisation P-ATO d’Azure dans son propre processus d’autorisation de sécurité, et s’appuyer sur cette autorisation comme base pour l’émission d’une autorisation ATO de l’organisme qui répond également aux exigences FedRAMP.
Azure prend en charge plusieurs services au niveau FedRAMP High Impact. FedRAMP High dans le cloud public Azure répond aux besoins de nombreux clients du secteur public des États-Unis. Cependant, les organismes ayant des exigences plus strictes peuvent utiliser Azure Government. Les mesures de protection d’Azure Government incluent un filtrage accru du personnel. Dans Azure Government, Microsoft répertorie les services publics Azure disponibles, jusqu’à la limite FedRAMP High et les services pour l’année en cours.
De plus, Microsoft s’engage à protéger et à gérer les données des clients avec des stratégies de conservation des enregistrements clairement énoncées. Microsoft offre un portefeuille de conformité conséquent. Pour en savoir plus, consultez Offres de conformité Microsoft.
Étapes suivantes
En savoir plus sur les niveaux AAL
Principes fondamentaux de l’authentification
Types d'authentificateurs NIST
Atteindre NIST AAL1 avec Microsoft Entra ID