Vous êtes ici :
Gérer les stratégies de session pour une application connectée : Contrôle d'expiration de session
Ce contrôle définit la durée maximale pendant laquelle une session d'application peut rester inactive avant l'expiration du jeton d'accès et la réauthentification ou l'utilisation d'un jeton d'actualisation par l'utilisateur ou le système.
Nom du contrôle
Applications connectées : Gérer les stratégies de session pour une application connectée : Expiration de la session
Configuration recommandée
Valeur d'expiration : sélectionnez « 1 heure ».
Vue d'ensemble du contrôle
Ce contrôle définit la durée maximale pendant laquelle une session d'application peut rester inactive avant l'expiration du jeton d'accès et la réauthentification ou l'utilisation d'un jeton d'actualisation par l'utilisateur ou le système.
Risque de sécurité s'il n'est pas configuré
Les valeurs d'expiration longues ou illimitées laissent des sessions actives sur des appareils ou des serveurs, ce qui augmente considérablement la période de possibilité pour un utilisateur non autorisé de pirater un poste de travail sans surveillance ou un appareil mobile compromis.
Scénarios de menace
Un employé laisse sa tablette dans une zone publique ou une session est interceptée via une attaque basée sur le navigateur, ce qui permet à un adversaire de continuer à accéder à des données confidentielles pendant des heures ou des jours parce que la session n'a jamais expiré.
Plage de score CVSS estimée
Critique (9,0 à 10,0).
Considérations relatives à l'impact sur le risque
Une durée de vie de session excessive facilite l'exposition prolongée aux données non autorisées et complique la réponse aux incidents, car un jeton volé reste une clé « live » de l'environnement pendant une longue période.
Risque plus élevé quand
« Forcer la déconnexion à l'expiration de la session » est désactivé ou lorsque l'application est utilisée sur des appareils partagés, publics ou non gérés où la sécurité physique n'est pas garantie.
Risque faible quand
L'application est associée à des exigences de MFA à assurance élevée et à des stratégies de connexion IP restreintes qui empêchent le déplacement d'une session piratée vers un autre réseau.
Considérations relatives à l'entreprise et à l'intégration
La définition d'un délai d'expiration d'une heure peut impacter l'expérience utilisateur en entraînant des interruptions de session plus fréquentes, ce qui oblige les développeurs à s'assurer que l'application peut gérer de façon transparente les actualisations de jeton en arrière-plan sans mettre l'utilisateur en bocal.
Remédiation recommandée
Accédez aux stratégies OAuth de l'application connectée, accédez à la liste déroulante Valeur d'expiration, puis sélectionnez « 1 heure » pour appliquer une résiliation de session plus stricte.
Guide d'examen sanitaire de sécurité
L'examen de l'intégrité de la sécurité identifie une expiration de session d'une heure comme référence pour la « Persistance du moindre privilège ». Par conséquent, l'accès est souvent revalidé pour maintenir un dispositif de sécurité élevée.
