IAM – Quand les “ID” sont prises au sérieux

Face à l’explosion des échanges numériques, la protection des données personnelles et l’authentification des identités deviennent de plus en plus complexes à gérer. Le point sur une problématique qu’aucune entreprise ou institution ne peut négliger à l’heure du cloud computing, de la mobilité et des réseaux sociaux.Face à l’explosion des échanges numériques, la protection des données personnelles et l’authentification des identités deviennent de plus en plus complexes à gérer. Le point sur une problématique qu’aucune entreprise ou institution ne peut négliger à l’heure du cloud computing, de la mobilité et des réseaux sociaux.

« L’entreprise “bunker”, c’est fini. Autrefois centrée sur elle-même, l’entreprise a aujourd’hui besoin pour se développer de s’ouvrir largement sur l’extérieur, à l’heure où le cloud computing, la mobilité et les réseaux sociaux élargissent considérablement leurs champs d’action et d’interaction », prévient Claire Leroy, chief editor du Groupe CXP, dans un éditorial dédié à la question, « L’identité numérique, levier de croissance pour l’entreprise ouverte ». Signe de modernité et d’adaptation à la mondialisation, cet épanouissement vers l’extérieur pose néanmoins de sérieux soucis aux DSI (directeur des systèmes d’information) et RSSI (responsable de la sécurité des systèmes d’information), garants de la sécurité des données dans l’entreprise.

Face à l’explosion des échanges numériques, la protection des données personnelles et l’authentification des identités deviennent de plus en plus complexes à gérer. Le point sur une problématique qu’aucune entreprise ou institution ne peut négliger à l’heure du cloud computing, de la mobilité et des réseaux sociaux.La centralisation des données dans un système d’information (SI) fermé rend leur protection facile à assurer. A l’inverse, leur ouverture constitue une menace permanente pour leur intégrité, ouvrant la porte à tous les dangers imaginables (intrusion, vol, falsification, détournement).

L’affaire Snowden, du nom de cet administrateur américain qui a dévoilé aux yeux du monde des milliers d’informations confidentielles patiemment collectées par la puissante NSA (National Security Agency), illustre parfaitement ces risques. Bien que travaillant pour un prestataire extérieur, et donc n’étant pas employé directement par la NSA, Edward Snowden faisait partie de ces rares élus à bénéficier d’un compte d’utilisateur privilégié. Résultat : il avait non seulement accès à la structure du réseau, mais aussi à des millions de données classées… « Secret Défense ».

Lecteur de cartes 2061 Bluetooth, de taille normale à contact, avec connexion Bluetooth et USB pour une utilisation mobile, de HID Global.

Lecteur de cartes 2061 Bluetooth, de taille normale à contact, avec connexion Bluetooth et USB pour une utilisation mobile, de HID Global.

« Certaines entreprises comptent plus d’une centaine d’administrateurs qui, souvent, en savent plus que leur direction générale, explique Axel Falck, responsable avant-vente de BalaBit IT Security, entreprise spécialisée dans le développement des solutions de contrôle des accès à privilège. C’est pourquoi il est indispensable de mettre en place des droits d’accès en fonction des profils, mais aussi d’assurer une parfaite traçabilité pour savoir qui a fait quoi et quand, en cas de malversation ou d’erreurs. » Président d’Ilex, éditeur de logiciels spécialisé dans l’IAM (Identity & Access Management), Laurent Gautier poursuit : « Il n’est guère plus recommandé de donner les mêmes droits d’accès à un salarié qui se trouve dans l’entreprise et lorsqu’il est en déplacement. » Les systèmes d’authentification – et donc, la gestion des identités numériques – gagneraient à mieux prendre en compte la situation géographique des utilisateurs (depuis l’étranger, un café Internet, dans le train, etc.) et le matériel utilisé (ordinateur, tablette, smartphone), qu’il soit personnel ou professionnel… Certains l’ont bien compris.

Par exemple, ouvrir une messagerie chez Yahoo! ne prend que quelques secondes, mais mieux vaut s’armer de patience pour s’y connecter depuis une adresse IP différente de l’initiale (depuis un autre ordinateur)… En plus du mot de passe, l’utilisateur est invité à recopier un cryptogramme, puis à répondre à la fameuse question secrète. « Cet exemple ne fait que rappeler qu’un bon système est un système multicouche », insiste Laurent Gautier. Parmi les autres solutions en vogue, le mot de passe à usage unique envoyé sur un téléphone mobile. « Il y a encore quatre ou cinq ans, cette solution n’était pas très fiable, car certains SMS n’arrivaient jamais à leur destinataire, mais ce n’est plus le cas », précise Frédéric Thauvin, consultant avant-vente chez HID Global, fournisseur de solutions d’identité sécurisée. Appréciée pour sa simplicité et ses coûts relativement faibles, cette solution fait des émules. Mais certains secteurs, comme celui de la banque ou de la santé, vont même plus loin en ayant recours à des « token » (ou identificateurs).

Citation d'Axel Falck« Depuis que le personnel soignant utilise un outil de SSO [Single Sign-On, ou fédération d’identité, ndlr], l’oubli de mot de passe a été divisé par trois et aucune carte d’accès n’a été perdue ou oubliée, précise le directeur du service informatique de l’hôpital de Millau, Eric Baraer. Développée par Imprivata, cette solution, opérationnelle depuis 2012, a changé la vie des services. Avant, il n’était pas rare de retrouver des mots de passe inscrits sur des Post-It ou qu’un membre du personnel utilise la session d’un autre collègue. » Grâce à ce système, le personnel n’a plus de mot de passe ni de login à retenir, seulement un code pin à 4 chiffres, et les droits d’accès aux différentes applications (prescription médicale, simple consultation des dossiers…) sont gérés automatiquement en fonction des profils.

 

Des contraintes réglementaires à suivre
Autre exemple, toujours dans le milieu de la santé, celui de l’agence eSanté Luxembourg. En septembre 2010, dans la lignée du plan national e-santé, cette agence voyait le jour. L’objectif est d’assurer une meilleure utilisation des informations dans les secteurs de la santé et médico-social à travers la mise en place d’une plate-forme de partage et d’échange de données et une stratégie nationale d’interopérabilité des systèmes d’information, destinés à permettre aux différents acteurs d’interagir. « Il aura fallu moins de dix-huit mois pour mettre en place cette plate-forme développée conjointement par Ilex (solution Meibo) et le MiPih [structure publique de coopération interhospitalière, ndlr], opérationnelle depuis décembre 2013 », précise Hervé Barge, directeur général de l’agence e-santé.

Le Shell Contrôle Box (TM), de BalaBit IT Security, dédié à la surveillance des comptes à privilèges, apporte une prévention contre les actions à risque en temps réel en intégrant les principales solutions de gestion de mots de passe.

Le Shell Contrôle Box (TM), de BalaBit IT Security, dédié à la surveillance des comptes à privilèges, apporte une prévention contre les actions à risque en temps réel en intégrant les principales solutions de gestion de mots de passe.

« La relation numérique est omniprésente dans nos vies quotidiennes et ce phénomène n’ira qu’en s’amplifiant. Mais certains de ces services ne peuvent et ne pourront se développer que si le niveau de sécurité des identités est jugé suffisant par les utilisateurs », prévient Jean-Rémy Gratadour, délégué général de l’Acsel, l’association de l’économie numérique. D’où le choix adopté par l’agence eSanté Luxembourg vis-à-vis des patients qui pourront consulter leur dossier de santé personnel (DSP) via un portail Web : « Pour y avoir accès, ils s’identifieront avec une carte LuxTrust ou un “One Time Password” (OTP). Le portail sera protégé en confidentialité et les accès aux données seront tracés. Un “dossier de soins partagé” sera systématiquement créé pour toute personne qui possède un matricule de sécurité sociale luxembourgeoise. L’ouverture du DSP sera, en revanche, faite par le patient lui-même. Dès cette ouverture “activée”, un professionnel de santé pourra envoyer des données de santé à son DSP. Le patient décidera alors quel professionnel de santé y aura accès et pourra à tout moment choisir de fermer celui-ci », détaille Didier Barzin, responsable du pôle sécurité de l’agence eSanté.

« Bien entendu, chaque décision structurante doit être en phase avec la stratégie de l’entreprise et les contraintes réglementaires en vigueur [particulièrement fortes dans la finance, l’administration et la santé, ndlr] », rappelle Gaël Courtaillac, consultant chez Lexsi, cabinet de conseil indépendant en stratégie SSI et cybersécurité, qui ajoute que « la complexité d’un projet IAM provient de sa transversalité et sollicite de nombreux acteurs de l’entreprise » : classiquement la DSI, les ressources humaines (directement concernées par les identités et accès) et les directions métiers (concernées par les demandes d’accès). « Ceci afin que toutes les décisions soient cohérentes et prises de façon consensuelle », prévient-il.

 

Plus de 2 entreprises sur 3 ont développé des IAMUn véritable levier de croissance
« Nous avons la chance d’être à un moment où les systèmes d’information se recentralisent en mode cloud, par exemple. Ce sont de gros investissements, mais c’est aussi l’occasion unique d’intégrer la gouvernance des risques et la traçabilité des données dans le développement des entreprises », insiste Jean-Noël de Galzain, PDG de Wallix et porte-parole d’Hexatrust, un club regroupant douze entreprises françaises spécialisées dans la sécurité des systèmes informatiques. « A l’horizon 2020, les services européens liés à l’identité numérique pourraient représenter, en rythme annuel, 8 % ou plus du PIB de l’Europe des Vingt-huit, grâce notamment à la création de nouveaux services administratifs, commerciaux… et à la fluidification des échanges », note Guy de Felcourt, en charge des questions liées aux identités numériques au sein de l’association Forum Atena. L’Estonie est l’un des pays à avoir été le plus loin sur le sujet en réussissant à fédérer 700 entreprises publiques et privées autour d’une « carte d’identité électronique » commune. A la fois permis de conduire et pièce d’identité, cette carte permet de s’inscrire à l’université ou de régler des achats… Grâce à elle, chaque Estonien a gagné trois jours par an dans ses démarches administratives ou commerciales.

De plus en plus de sites bancaires (ici celui du Crédit agricole) demandent de composer le mot de passe, non par l’intermédiaire du pavé numérique, mais en cliquant sur des chiffres sur une grille aléatoire.

De plus en plus de sites bancaires (ici celui du Crédit agricole) demandent de composer le mot de passe, non par l’intermédiaire du pavé numérique, mais en cliquant sur des chiffres sur une grille aléatoire.

« L’identité numérique devient le nouveau périmètre des organisations. Les entreprises intègrent cette nouvelle donne pour satisfaire leurs clients, augmenter la productivité de leurs utilisateurs internes et dynamiser leur activité. L’IAM prend ainsi une nouvelle dimension, passant d’un statut “d’outil sécuritaire” à celui de levier de croissance et où l’utilisateur et son environnement deviennent centraux », explique Jean-François Pruvot, directeur général de CA Technologies France, fournisseur de solutions de gestion des systèmes Une étude, que ce groupe a commandée en début d’année au cabinet d’analyste Quocirca, montre que les organisations françaises ont clairement pris conscience de la nécessité d’ouvrir leurs applications à des utilisateurs externes pour interagir directement avec eux (80 % des entreprises françaises – 7 % de moins que la moyenne européenne). Cependant, elles ne sont que 37 % à avoir ouvert effectivement leurs applications à leurs clients ou partenaires (plus de 20 % au-dessous de la moyenne européenne établie à 58 %). Et cela, alors que 92 % de ces mêmes entreprises considèrent l’IAM comme « très » ou « assez » importante dans la mise en œuvre d’une politique de gestion des accès.

Ces résultats, apparemment contradictoires, s’expliquent pour plusieurs raisons : la multiplicité des sources d’identité à traiter, les différents protocoles et standards technologiques et la nécessité d’instaurer une gestion fine des droits à chaque type d’utilisateurs. Autre paradoxe pointé du doigt par Philippe Humeau, directeur général de NBS System – et il s’agit bien là d’un autre paradoxe ! –, si la confiance des utilisateurs de services numériques est faible, ce sont souvent les mêmes qui pestent contre ces multiples systèmes d’authentification qui leur font perdre du temps. « A l’instar des e-commerçants, beaucoup d’opérateurs sont pris en tenaille entre le besoin de sécuriser au maximum l’accès aux comptes de leurs utilisateurs et celui de faciliter la navigation sur leurs sites afin de ne pas perdre de clients »

 

Cet article est extrait du n°6 d’Alliancy, le mag – Découvrir l’intégralité du magazine

Photos : Vege/Fotolia – HID Global – BalaBit IT Security – DR

 

Lire la suite :

L'accès à la totalité de l'article est reservé aux abonnés.

Vous n’êtes pas abonné ?

Bénéficiez de notre offre spéciale d’abonnement !