Comment permettre aux utilisateurs de réinitialiser leur deuxième facteur de manière autonome en cas d’impossibilité de l’utiliser (vol ou perte de l’appareil servant à récupérer le code OTP, par exemple) ?
La gestion de ce type de situation est actuellement laissée à l’appréciation de chaque établissement, car les procédures de réinitialisation dépendent fortement de leur organisation interne et de leur PSSI.
Une approche possible consiste à
A - Activer les codes de secours
- Activer la méthode bypass et inviter les utilisateurs à générer un ou plusieurs (à paramétrable) codes de secours qui leur permettront de réinitialiser leurs facteurs d'authentification
→ l'inconvénient principal, c'est que l'utilisateur peut ne pas avoir généré son code de secours ou ne l'aura pas avec lui le jour où il en a besoin
B - Activer la méthode mail
- les utilisateurs pourront recevoir un code OTP par mail
→ avantage : pratique pour l'utilisateur final
→ inconvénient : dépendant d'un mail perso. Si l'utilisateur se fait usurper son mail perso, le 2nd facteur est compromis
C - FranceConnect (délégation tiers de confiance)
- autoriser les utilisateurs à accéder au manager via un son compte FranceConnect
- on peut rehausser le niveau en n'acceptant que les authentifications FranceConnect avec mfa
→ Limite : tous les utilisateurs n'ont pas de compte FranceConnect (mineur, étudiant étranger...)
D - Authentification NFC (carte multi-service étudiant / professionnel)
- activer l'authentification NFC pour tout utilisateur ayant activé la MFA
- l'utilisateur peut s'authentifier en badgeant avec sa carte multiservice sur l'application mobile Esup Auth
→ l'utilisateur doit être muni d'un dispositif avec lecteur NFC