Actualités Conditions de travail Conditions de travail Informatique

Double authentification sur Bnum

Pourquoi et comment ?

Un renforcement de la sécurité numérique face à la hausse des cyberattaques

Dans un contexte marqué par une hausse des cyberattaques, les administrations publiques, dont le ministère de l’Agriculture, renforcent leurs dispositifs de sécurité.

M Patrice Mourlot, Adjoint au département ETNA nous explique pourquoi la double authentification (2FA) devient incontournable, et comment elle sera déployée pour l’accès à Bnum (Bureau numérique).

Pourquoi la double authentification ?

La 2FA est une méthode d’authentification qui exige deux preuves d’identité distinctes avant d’accorder l’accès à un service.

Exemples double authentification : Carte AURI, Resana, banque, SNCF…

Objectif :

– Limiter les risques de piratage ou d’usurpation et tout particulièrement les tentatives d’hameçonnage/phishing

– S’adapter aux standards de sécurité en vigueur dans d’autres administrations.

Accès à BNUM, comment ça marche ?

Administration centrale et services déconcentrés :

Sans VPN ou RIE : la double identification doit être activée de la façon suivante :

  1. Installer une application TOPT sur son téléphone professionnel, ou à défaut personnel (Google Authenticator ou FreeOTP suggérés par le MAASA)
  2. Puis lors de l’accès à BNUM
    • Saisir Login + mot de passe (comme actuellement).
    • Ouvrir l’application OTP sur le téléphone
    • Saisir le code généré par l’application OTP dans le téléphone

Si l’utilisateur coche « se souvenir de moi », le code ne sera plus demander pendant 30j

Avec VPN ou RIE : l’accès est déjà  sécurisé et la double authentification n’est pas nécessaire

Attention : La mise en place de ce dispositif doit être faite avant le 15 février !

L’Alliance du Trèfle demande ce qui est prévu les personnels qui ne pourraient pas faire la démarche avant la date limite, notamment les agents en arrêt maladie

Ces agents seront accompagnés à leur retour pour leur permettre de mettre en place la double authentification

Dans l’enseignement agricole

Une étude est en cours sur la mise en place d’un réseau sécurisé (VPN) pour tous les personnels des établissements.

Dans l’attente, deux solutions sont envisagées pour adapter la 2FA aux contraintes spécifiques des agents de l’enseignement agricole :

  1. Utilisation d’une application TOPT, comme pour l’AC
  2. Installation d’une application « Keepass » directement installée sur l’ordinateur qui générera aussi un code (mode d’emploi en cours d’élaboration)

Les personnels auront aussi plus de temps qu’en AC pour installé les applications et bénéficieront d’appui pour le faire

Les contraintes spécifiques de l’enseignement devront être prises en compte dans le déploiement de ces dispositifs

  1. Matériel non personnel : les ordinateurs appartiennent aux régions
  2. Validation régionale : toute application installée sur les postes de travail doit être approuvée par la région
  3. Ordinateurs parfois mutualisés

Des expérimentations et tests seront mis en place pour adapter les solutions aux différents cas de figure

Des webinaires seront organisés pour informer et former les utilisateurs.

L’Alliance du Trèfle souligne la réticence de certains agents à installer une application sur leur téléphone personnel (par principe et/ou pour une question de place disponible) et demande la raison pour laquelle la seconde alternative envisagée pour l’enseignement agricole n’est pas proposée aux services du MAASA

L’administration indique que « Keepass » est moins sécurisé. Elle est toutefois proposée dans l’EA car peu disposent de VPN ou de RIE

En cas de refus d’utilisation du téléphone personnel, l’agent n’aurait pas moyen d’accéder à BNUM

L’application n’a aucun lien avec les données du téléphone, elle est uniquement conçue pour générer un code

L’Alliance du Trèfle appelle la vigilance de l’administration sur le risque que ce dispositif ne constitue un frein au vote lors des élections professionnelles.

En effet, la double authentification va s’ajouter aux différents systèmes de validation qui seront déjà déployés pour accéder au système de vote
Surtout, il est essentiel que le déploiement pour l’enseignement agricole évite la fin d’année, pour éviter toute interférence et toutes difficultés d’accès aux messageries par lesquelles seront transmis les informations et moyens de vote.
Le déploiement devra donc éviter à la fois la fin d’année et les vacances scolaires

L’administration veillera à éviter ces périodes

Contactez votre référent numérique

La double authentification est une évolution nécessaire pour protéger les données sensibles.

Bien que son déploiement soulève des défis, notamment pour l’EA, des solutions sont à l’étude pour concilier sécurité et accessibilité.