La sécurité de l’entreprise repose, en très grande partie, sur l’accès aux applications et à l’infrastructure, et donc, à la gestion des identifiants. Et ceci ne va pas aller en diminuant avec le développement du cloud et des applications sur les tablettes et les smartphones !
Chaque entreprise doit donc avoir une politique d’identification mûrement réfléchie, sa sécurité en dépend. Aujourd’hui, des systèmes de sécurisation permettent même d’effacer, à distance, les données des mobiles perdus, égarés, où dont les propriétaires ont quitté l’entreprise. Voyons ensemble quelles procédures mettre en place en matière de gestion d’identité et de sécurité informatique.
Gérer des applications multiples en passant par une authentification unique
Un problème récurrent en matière de sécurité informatique, c’est la sécurité des mots de passe. Mais lorsque les utilisateurs ont accès à un nombre important d’applications, ils ont tendance à utiliser des mots de passe moins sécuritaire, pour parvenir à s’en souvenir.
Pour éviter ce souci et faciliter l’accès aux utilisateurs, il est pertinent de mettre en place une autorité chargée d’authentifier une seule fois les utilisateurs, et ce de manière sécurisée.
Pour parvenir à ce résultat, plusieurs normes peuvent être utilisées. Il est ainsi possible d’utiliser un mot de passe à utilisation unique (OTP), une authentification par certificat ou une authentification réalisée à partir d’éléments contextuels. Et bien sûr, il est possible de combiner ensemble plusieurs de ces méthodes.
Gérer les identités en fonction des risques
Les mécanismes de sécurité nécessaires pour sécuriser de manière complète les applications mobiles sont souvent rébarbatifs, voire dissuasifs pour les utilisateurs. Pour concilier sécurité avec confort d’utilisation, la solution optimale consiste à choisir les solutions adaptées en fonction du risque.
Concrètement, puisque avec les mobiles, il est possible d’analyser les données contextuelles de l’utilisateur (son terminal, ses applications, son heure de connexion au service, sa géolocalisation,…), il s’agit de déterminer un niveau de risque en fonction de son identité.
Les services financiers ont été les premiers à adopter des solutions d’authentification basées sur l’évaluation du risque. Ces technologies sont peu à peu adoptées par d’autres secteurs d’activité, dès qu’il s’agit d’améliorer la sécurité sans toucher au confort des utilisateurs. C’est la raison pour laquelle vous pouvez être contacté par les services de sécurité de votre banque si vous effectuez des achats à des lieux diamétralement opposés et à quelques heures d’intervalle par exemple.
Gérer les identités sur les smartphones
Les smartphones ont quitté la sphère privée, ils deviennent de vrais outils professionnels. Mais leur utilisation professionnelle pose, elle aussi, de vrais problèmes de sécurité. D’abord, il s’agit de séparer données et applications personnelles et professionnelles. Ensuite, de gérer la sécurité des applications et des données.
Heureusement, les fabricants de smartphones s’intéressent de plus en plus à la sécurité. Il existe déjà des systèmes de sécurité en surcouche, comme Samsung Knox. Ils devraient permettre à l’avenir aux utilisateurs de s’identifier sur d’autres systèmes et d’effectuer des opérations complexes comme des paiements sécurisés. Les smartphones deviendront ainsi progressivement les premières méthodes sécurisées d’authentification et de vérification de l’identité des utilisateurs.
Gérer les identités pour optimiser avec les réseaux sociaux
Les créations de comptes sont souvent laborieuses pour les utilisateurs finaux. En permettant l’identification via les réseaux sociaux, les entreprises qui sont présentes sur ces espaces peuvent tirer profit des précieuses données clients qui y sont rassemblées : identité, interactions sociales, habitudes de navigation et d’achat,…
Une fois les besoins définis, reste à trouver des protocoles pour y répondre. Des normes existent, elles se développent et permettent de gérer des accès de plus en plus sécurisés sans perdre en confort d’utilisation.
La normalisation : une réponse à tous les besoins de gestion des identités
Les normes ont toujours existé en matière de sécurité informatique. Par exemple, la norme ISO 7498-2:1989 s’assure que le système d’information respecte l’authentification (l’identité), le contrôle d’accès (le niveau d’accès), la confidentialité des données (une donnée n’est accessible qu’aux personnes autorisées sous certaines conditions) et l’intégrité des données.
Ces normes ont tendance à se développer pour répondre aux nouveaux besoins des applications mobiles, externalisées, en mode Cloud.
On citera ainsi la norme ISO-24760 A, qui définit les concepts liés aux identités, propose une architecture pour la mise en œuvre de la gestion des identités et détaille la mise en pratique de l’architecture définie.
On peut également citer les normes 2700x qui traitent de la sécurité de l’information et où la gestion des identités et des accès est évoquée, ou encore la norme ISO/IEC 27002, qui est un recueil de bonnes pratiques sur la sécurité de l’information.
Jusqu’ici, il manquait encore un cadre pour l’enregistrement flexible des applications web, qui est pourtant nécessaire quand ces dernières ont accès à des ressources de l’entreprise. Soutenu par Google, Microsoft ou encore Salesforce, la norme OpenID Connect, qui est en cours de finalisation, devrait pouvoir répondre à ce besoin.
Chez Déessi, nos consultants en ingénierie d’infrastructure vous assistent dans la supervision et la mise à jour de vos solutions de sécurité, afin d’assurer la protection de votre réseau, la sécurité de vos connexions et de mettre en place des sauvegardes automatiques, locales ou externalisées.
N’hésitez pas à consulter notre section ingénierie d’infrastructure pour en savoir plus !