1. L’authentification sans mot de passe,
la meilleure façon de se protéger !
Alannah Epaulard & Arnaud Jumelet
27 octobre 2022 - PARIS
Identity Days 2022

2. Alannah Epaulard
Technical Specialist
Microsoft France
• Actualités
• Panorama des menaces
• Renforcer la protection des comptes
• Adoption et recommandations
• Conclusion
AGENDA DE LA CONFÉRENCE
27 octobre 2022 - PARIS
Identity Days 2022
Arnaud Jumelet
National Security Officer
Microsoft France
aka.ms/arjum

3. Actualités
Identity Days 2022
27 octobre 2022 - PARIS

4. Actualité
Identity Days 2022
27 octobre 2022 - PARIS

5. Identity Days 2022
27 octobre 2022 - PARIS
Chronologie du passwordless

6. Panorama des menaces
Identity Days 2022
27 octobre 2022 - PARIS

7. Rapport Microsoft sur les menaces
(juillet 2021 à juin 2022)
Identity Days 2022
Source: Microsoft Digital Defense Report

8. Contournement du MFA avec phishing adaptatif et en temps réel
Authentication Token
EvilGinx
Server
User Credentials
Login Page
TLS
TLS
Redirect User
The attacker can then
import the cookie into
their own browser to
access SaaS Application
User
Attacker
https://aka.ms/memo-22-09
Identity Days 2022

9. Panorama de la menace France
Identity Days 2022
Rapport d’activité 2021 de Cybermalveillance.gouv.fr
Pour télécharger le rapport d’activité détaillé :
https://www.cybermalveillance.gouv.fr/medias/2022/03/cybermalveillance-rapport-
activite-2021.pdf
La facilité d’utilisation de ces messageries en ligne et la possibilité
d’y accéder depuis de multiples appareils (ordinateur, téléphone,
tablette), sans réelle limite de capacité de stockage, ont vu les
utilisateurs les transformer en entrepôt numérique pour y conserver
leurs documents administratifs, voire des copies de carte bancaire
ou même leurs différents mots de passe.

10. Renforcer la protection des
comptes
Identity Days 2022
27 octobre 2022 - PARIS

11. Entreprises
Identity Days 2022
• Windows Hello for Business
• Application Authenticator
• Clé FIDO2
• Certificats
• Temporary Access Pass
• Passkeys via DPK (en réflexion)
27 octobre 2022 - PARIS
Grand public
• Application Authenticator
• Clé FIDO2 / Windows Hello
• Passkeys (bientôt)
Fournir des alternatives
Création
Authent.
Récup.
FIDO2 for RDP (Preview)

12. Adoption & recommandations
Identity Days 2022
27 octobre 2022 - PARIS

13. Identity Days 2022
27 octobre 2022 - PARIS
Entreprises
Seuls 26 % des utilisateurs et 33 % des
administrateurs utilisant Microsoft Azure
Active Directory ont mis en place de
l’authentification multifacteur - juin 2022.
Source: Azure Active Directory -
Microsoft Digital Defense Report
Adoption de l’authentification multifacteur
Grand public
2,6 % des comptes actifs Twitter ont un
second facteur d’authentification activé en
moyen entre juillet et décembre 2021.
Source: Account Security - Twitter Transparency Center

14. Identity Days 2022
27 octobre 2022 - PARIS
Entreprises
Collaborateurs
Adoption
Grand public
Sensibilisation / méconnaissance
Sponsors
Sensibilisation / Acceptation
Technologies
Temps limité pour la cyber hygiène
Services compatibles
Nécessite parfois un ordinateur
Alternatives réduites
Adaptation des processus
Dette technologique

15. Identity Days 2022
27 octobre 2022 - PARIS
Solutions – Stratégie entreprises
Eliminer les mots
de passe des
répertoires
Aller vers un
déploiement sans
mot de passe
Réduire la surface
d’exposition du
mot de passe
Développer une
offre de
remplacement de
mot de passe
Collaborateurs
Sponsors
Sensibilisation / Acceptation
Technologies
Adaptation des processus
Dette technologique

16. Identity Days 2022
27 octobre 2022 - PARIS
Obtenir des recommandations
https://Aka.ms/passwordlessWizard

17. Identity Days 2022
27 octobre 2022 - PARIS
Contrôler les méthodes d’authentification

18. Identity Days 2022
27 octobre 2022 - PARIS
Suivre le déploiement de l’authentification multifacteur
Authentication Methods Activity Blade

19. Identity Days 2022
27 octobre 2022 - PARIS
Témoignages B2B et B2C
Accenture (de 2019 à juillet 2022) Selon Yahoo! JAPON l’authentification sans
mot de passe permet de réduire le temps
de connexion par 2,6 - Juin 2022
1. Fournir une alternative aux mots de
passe
2. Désactivation des mots de passe
3. Création de compte sans mot de passe
1. La compatibilité prend du temps
2. Cartographier les applications est un défi
3. Il est utile de mettre au point une stratégie pour les
"singularités"
4. Être compatible avec plusieurs appareils
5. La communication est importante / Un changement de
culture
Users enabled for Windows Hello for
Business
Of Windows device sign-ins
occur with a passwordless
method
Active passwordless applications
Azure AD authentications per day
Registered employees using the
Microsoft Authenticator App for
passwordless sign-in

20. 27 octobre 2022 - PARIS
Reprenez le contrôle de vos identités numériques
• Compte bancaire
• E-mails
• Réseaux sociaux
• Pour les autres sites
• Avoir un mot de passe différent généré
aléatoirement par site, le tout stocké dans un
logiciel dédié, un coffre-fort de mot de passe,
qui s’ouvre avec mot de passe fort ou bien une
phrase de passe

21. Identity Days 2022
27 octobre 2022 - PARIS
On-boarding Dette
technologique
Contrainte Récupération
Entreprises Grand public
Solutions et limites actuelles
Liste non exhaustive

22. Identity Days 2022
27 octobre 2022 - PARIS
A retenir sur le Passwordless
• Première étape vers le Zero trust
• Au-delà du passwordless ? Accès conditionnel
• Renforcement de la sécurité des appareils
• Passkeys, expérience complète en 2023
• Faire la démarche soi même
Entreprises Grand public
Sensibiliser
Deux mondes, deux vitesses

23. Merci à tous nos partenaires !
27 octobre 2022 - PARIS
@IdentityDays #identitydays2022