Single Sign On : confort ou sécurité ?

Olivier Morel
Directeur avant-vente chez Ilex

Le lancement d’un projet d’authentification unique (ou SSO pour Single Sign On) au sein d’une organisation est souvent lié à l’insatisfaction des utilisateurs du système d’information, qui en ont assez de devoir retenir pléthore de couples identifiants / mots de passe pour se connecter aux applications, souvent très nombreuses, qu’ils utilisent quotidiennement.
En l’absence d’une solution chargée de mémoriser ces identifiants/mots de passe et de les « jouer » sur les applications à la place des utilisateurs, ces derniers passent traditionnellement par quelques raccourcis peu conformes à ce qu’on appellerait courageusement ici une politique de sécurité : utilisation de mots de passe faibles (peu de caractères, simples à mémoriser, souvent connus de tout l’entourage, etc.), mémorisation sur des supports résistant à la dématérialisation (syndrome du Post-it), communication des mots de passe à des collègues « de confiance » lors des périodes d’absence, etc.
Accessoirement, pour le RSSI, l’absence d’une telle solution a également des répercussions : stratégies de sécurité et politiques de mots de passe incohérentes (quand elles existent) et propres à chaque application, niveaux de sécurité différents (quand il y en a), traçabilité compliquée (vive les logs…), etc.
Enfin, les coûts pour l’entreprise sont bien réels. D’éminents analystes du marché de la sécurité estiment que les opérations de réinitialisation de mots de passe par le support interne coûtent aux grandes entreprises plusieurs dizaines d’euros par utilisateur et par an.

Les conditions d’une « bonne » solution. Un système de SSO résout-il tous les problèmes ? Pas s’il s’agit d’une solution qui ne fait que du SSO… La « bonne » solution de Single Sign On doit aussi apporter un certain confort au RSSI, c’est-à-dire des mécanismes de sécurité renforcés : au niveau de l’authentification, bien sûr, mais aussi des règles de contrôle d’accès aux applications et de la traçabilité globale, sur les applications protégées comme sur les opérations effectuées par les utilisateurs (authentifications, autorisations, délégations).

Un mécanisme d’authentification à plusieurs niveaux. Puisqu’une fois qu’on a « montré patte blanche », le SSO ouvre toutes les autres portes, il est fondamental de s’assurer du bon niveau de sécurité de l’authentification primaire. La solution choisie doit proposer plusieurs mécanismes, à un, deux, ou trois facteurs (« ce que je sais », « ce que j’ai », « ce que je suis »), en fonction du niveau de criticité des applications et des usages des utilisateurs du SI. L’authentification doit par ailleurs pouvoir être réalisée sur les postes de travail, terminaux légers, smartphones, tablettes, mais également sur les portails Web accédés depuis l’intérieur ou l’extérieur de l’entreprise, ou au niveau des infrastructures de virtualisation.

Un contrôle d’accès plus granulaire. Une fois l’utilisateur authentifié sur la solution de SSO, on doit pouvoir le laisser passer, ou non, selon des critères divers et variés tels qu’un niveau d’authentification primaire (à un, deux ou trois facteurs), un créneau horaire, une origine IP/DNS, un profil utilisateur, un type de terminal (PC, smartphone, tablette, etc.).

Un Single Sign On indépendant des technologies. L’authentification doit pouvoir être réalisée sur tout type d’application, qu’elle soit Web, client lourd, virtualisée, mobile, interne ou externe (chez un partenaire, en mode Saas ou cloud), maîtrisée ou non maîtrisée… En somme, on doit être en mesure de couvrir à la fois des opérations de Web Access Management, d’Enterprise SSO et de fédération d’identités.

Au final, la « bonne » solution apporte aussi du confort aux utilisateurs, en réalisant l’authentification sur les applications à leur place. Et même aux financiers de l’entreprise, qui voient réduire considérablement les coûts d’administration et de renouvellement des mots de passe. En conclusion, et en réponse au titre de cette tribune, on peut sereinement répondre « les deux » !