IT Security

Episode 3 : Authenticator Assurance Level 3

Issam BELFOUZ
June 20, 2025

Troisième et dernier épisode de notre série dédiée aux niveaux d’authentification du NIST, by Wilfrid Protat, Manager de la BU Digital Workplace chez Nextwave IT.

NIST Authenticator Assurance Level 3 AAL3

AAL3, c’est le plus haut niveau d’exigence d’authentification selon les standards du NIST. Chez Nextwave IT, on vous accompagne dans l’implémentation de stratégies de cybersécurité avancées, conformes à ces normes, en nous appuyant sur les meilleures solutions du marché, notamment avec Microsoft Entra.

Ce qu’impose l’AAL3 :

• Authentificateurs cryptographiques matériels multifacteurs uniquement → Clés FIDO2 hashtag#FIDO2, cartes à puce, ou encore Windows Hello For Business avec TPM matériel.

• Réauthentification obligatoire toutes les 12h, ou après 15 minutes d’inactivité.

Méthodes Microsoft Entra compatibles avec AAL3 recommandées (niveau maximal) :

• Certificats matériels (carte à puce, TPM, clé FIDO2).

• Windows Hello Entreprise avec TPM matériel.

• Plateformes macOS avec identifiants matériels intégrés.

Autres méthodes (moins robustes) :

• Mot de passe + Microsoft Entra (avec TPM matériel).

• Mot de passe + jeton OATH + certificat logiciel.

• Mot de passe + appareil Entra hybride + logiciel TPM.

Attention : ces combinaisons restent en-dessous des standards « matériel multifacteur » du NIST, mais peuvent servir dans des environnements intermédiaires.

Pourquoi c’est important ?

• Résistance renforcée à l’usurpation de vérificateur : l’authentificateur lie ses données à la session active.

• Protection avancée contre la compromission : la clé privée reste protégée dans un matériel sécurisé.

Nos conseils :

• Adoptez des authentificateurs matériels FIDO2 ou TPM pour répondre aux exigences AAL3.

• Standardisez Windows Hello for Business dans vos environnements Windows.

• Intégrez l’AAL3 à vos politiques d’accès conditionnel pour des scénarios ultra-sensibles.

Besoin d’un accompagnement pour monter en niveau et en compétences ? Prenez contactez avec nous.

Full IT support for just €49/user/month

Need more options? We’ve got other flexible plans that scale with your business.

CoverMe est la filiale cybersécurité dédiée aux PME de NextWave IT, avec une protection claire, abordable, assurée par plus de 42 experts certifiés, plus de 100 clients et une prise en compte garantie sous 4 heures.

Pensé pour les entreprises françaises qui ont besoin d’une vraie sécurité, sans le tarif des grandes entreprises.