Tâches et recommandations HealthInsight
HealthInsight offre les tâches de sécurité suivantes pour améliorer la sécurité d'une org.
|
Tâche de sécurité |
Pourquoi est-ce recommandé ? |
Impact sur la sécurité |
Impact sur l'utilisateur final |
|---|---|---|---|
| Limiter le nombre de rôles de super administrateur | Pour garantir que les administrateurs de l'org ne disposent pas de permissions affectées au-delà de celles nécessaires. La plupart des organisations n'ont besoin que de quelques super administrateurs. | Critique | Aucun |
| Permettre à Okta ThreatInsight de bloquer les adresses IP suspectes | Pour détecter les adresses IP suspectes des attaques basées sur les informations d'identification. | Critique | Faible |
| Désactiver les facteurs MFA dont la sécurité est plus faible dans les stratégies d'inscription de facteur | Améliorer la résistance aux attaques par hameçonnage et de l'intercepteur. | Élevé | Élevé |
| Activer Okta Verify (avec Push si disponible) pour MFA | Fournir aux utilisateurs finaux un facteur solide et sécurisé pour se connecter à leur organisation. | Élevé | Élevé |
| Appliquer une durée de vie de session limitée pour toutes les politiques | Pour réduire le risque d'accès par un tiers malveillant aux applications d'un utilisateur final (lorsque la session de l'utilisateur final est active). | Élevé | Modéré |
| Activer la création de rapports sur les activités suspectes | Pour donner aux utilisateurs finaux la possibilité de signaler une activité non reconnue provenant d'un e-mail d'activité de compte. | Élevé | Faible |
| Activer les e-mails de notification de nouvelle authentification | Pour informer, par e-mail, les utilisateurs finaux de toute activité non reconnue à partir d'un appareil ou d'un navigateur nouveau ou inconnu. | Élevé | Faible |
| Activer les notifications d'inscription de facteur | Pour informer, par e-mail, les utilisateurs finaux de toute activité d'inscription d'une nouvelle MFA sur leur compte. | Élevé | Faible |
| Activer les notifications de réinitialisation de facteur | Pour informer, par e-mail, les utilisateurs finaux en cas de réinitialisation des facteurs MFA pour leur compte. | Élevé | Faible |
| Notification de modification de mot de passe pour les utilisateurs finaux | Pour informer, par e-mail, les utilisateurs finaux en cas de modification du mot de passe de leur compte. | Élevé | Faible |
| Utiliser l'authentification SAML ou OIDC pour accéder aux applications | Pour tirer parti des protocoles d'authentification SAML et OIDC, qui réduisent la dépendance à l'égard de l'authentification par mot de passe. | Élevé | Aucun |
| Modifier la fréquence d'authentification | Pour réduire la durée d'expiration de la session, demandez aux utilisateurs finaux de se réauthentifier plus fréquemment. |
Modéré |
Modéré |
| Évaluer un score de risque pour chaque demande |
Pour inviter les utilisateurs ayant un score de risque moyen ou élevé à utiliser la MFA chaque fois qu'ils se connectent. |
Modéré |
Modéré |
| Mettre des zones réseau sur liste de rejet pour rejeter l'accès à votre locataire Okta | Pour rejeter l'accès des adresses IP ou emplacements suspects connus à votre locataire Okta. | Modéré | Faible |
| Activer les paramètres de politique de mots de passe fort | Pour appliquer des politiques de mot de passe strictes permettant de définir des paramètres tels que le verrouillage du mot de passe, l'historique des mots de passe, l'ancienneté minimum et un nombre minimum de caractères. | Faible | Modéré |
| Configurer un facteur obligatoire pour les stratégies d'inscription MFA | Pour garantir que les utilisateurs finaux affectés à une stratégie donnée sont inscrits à l'authentification multifacteur. | Faible | Élevé |
|
Exigences pour la MFA |
Pour s'assurer que les exigences pour la MFA ne sont pas en conflit avec la fonctionnalité Détection du comportement, et que la règle de politique MFA n'est pas contournée malencontreusement. |
Modéré |
Aucun |
|
Pour activer l'authentification multifacteur (MFA) obligatoire pour tous les administrateurs qui accèdent à l'Okta Admin Console. |
|
|
Avertissement
HealthInsight et toute recommandation relative à vos pratiques en matière de sécurité ne constituent en aucun cas des conseils d'ordre juridique, sécuritaire ou commercial. Les fonctionnalités HealthInsight sont communiquées à titre d'information uniquement ; elles ne reflètent pas nécessairement les derniers développements du marché et juridiques, ni toutes les problématiques commerciales et juridiques pertinentes. Vous avez la responsabilité de vous renseigner auprès de votre propre avocat ou tout autre conseiller professionnel afin d'obtenir des conseils sur les plans juridique, sécuritaire et commercial et ne devez pas vous baser sur HealthInsight. Okta ne peut en aucun cas être tenu pour responsable de toute perte ou tout dommage résultant de la mise en œuvre des recommandations indiquées dans HealthInsight, sauf indication explicitement contraire dans le contrat-cadre d'abonnement (Master Subscription Agreement) signé (ou tout autre accord du même type sur le même sujet), entre vous et Okta.