IA-10 - Authentification adaptative (PcE-)
Énoncés :
Exiger que les personnes accédant au système utilisent [Affectation : techniques ou mécanismes d’authentification supplémentaires définis par l’organisation] pour certaines situations particulières, dont notamment [Affectation : circonstances ou situations définies par l’organisation].
Paramètres :Les adversaires peuvent compromettre les mécanismes d’authentification individuels employés par les organisations pour ensuite tenter d’usurper l’identité d’utilisatrices et utilisateurs légitimes. Pour résister à cette menace, les organisations peuvent utiliser des techniques et des mécanismes précis ou établir des protocoles visant à évaluer les comportements suspects. Par comportement suspect, on entend des personnes accédant à de l’information à laquelle elles n’accèdent généralement pas dans le cadre de leurs fonctions, rôles ou responsabilités; les personnes accédant à un plus gros volume d’information que celui auquel elles accèdent habituellement; ou les personnes tentant d’accéder à de l’information au moyen d’adresses réseau suspectes. En présence de conditions préétablies ou d’un élément déclencheur, les organisations peuvent exiger que certaines personnes fournissent de l’information d’authentification supplémentaire. Une autre application potentielle de l’authentification adaptative est le renforcement des mécanismes selon le nombre et le type de dossiers faisant l’objet de la demande d’accès. L’authentification adaptative ne constitue pas un remplacement aux mécanismes d’authentification multifacteur et ne devrait pas être utilisée à cette fin. Elle peut toutefois renforcer les mises en oeuvre de l’AMF.