mardi 8 décembre 2015

Contrôle d’accès & Single Sign-On : une approche nécessairement globale

Par Olivier Morel
Directeur Avant-Vente

Panorama des solutions de SSO

Le marché du Single Sign-On (authentification unique, ou « SSO ») est traditionnellement divisé en 4 catégories de solutions.

L’Enterprise SSO ou eSSO

Le eSSO est généralement mis en œuvre en interne dans l’entreprise à des fins de confort utilisateur. Il nécessite le déploiement d’un (ou plusieurs) composant(s) sur les postes de travail reliés au système d’information et consiste à injecter - à la place des utilisateurs - des accréditations secondaires (couples identifiant/mot de passe des utilisateurs pour les applications visées) dans des fenêtres applicatives qui ont été au préalable enrôlées. L’avantage de cette catégorie de SSO est de pouvoir couvrir facilement tout type d’applications (client lourd, web, virtualisée, mainframe, etc.) ; l’inconvénient est qu’il faut maîtriser tous les postes de travail sur lesquels on veut déployer ce SSO.

Le Web Access Management (ou WAM, ou Web SSO)

Le WAM s'inscrit dans des architectures 100% web, de type portails extranet/intranet par exemple. Il ne couvre par conséquent que des applications web, mais permet en général de garantir plus de sécurité que le eSSO, via la mise en place de règles de contrôle d'accès avancées notamment. Il n'est pas intrusif sur les postes de travail. En revanche il peut l'être sur les applications, sauf s’il est déployé dans des composants de type reverse/proxy en frontal des applications web à protéger.

La Fédération d'identité

Dans une approche purement technique, la fédération d'identité peut être considérée comme un moyen d’opérer une action de Web SSO en utilisant les protocoles standards associés du marché : SAMLv2, OAuth2, OpenID Connect, WS-Federation... Dans une logique métier, ou ‘business’, elle permet d'échanger en toute sécurité des informations d'authentification et d'habilitations entre entités juridiques différentes : certaines sont des fournisseurs d’identités (Identity Provider) tandis que d’autres sont des fournisseurs de services (Service Provider). La fédération offre ainsi aux utilisateurs de ces entités une expérience d'authentification unique et sécurisée entre domaines web différents. De plus elle permet bien souvent de s’affranchir de la gestion des identités de ses partenaires.

Le Mobile SSO

Le Mobile SSO permet de fournir des fonctionnalités de SSO (eSSO, WAM, Fédération) sur les périphériques mobiles (smartphones, tablettes), et ainsi de sécuriser les accès aux applications du système d'information depuis ces périphériques. Ce marché est encore assez récent car il est lié à l'explosion de la mobilité. Pour le moment, il repose majoritairement sur des solutions de type « développements spécifiques », car rares sont les solutions du marché qui couvrent ce domaine.
Toutes ces catégories de solutions sont généralement couplées, plus ou moins finement, à des technologies d’authentification forte et fournissent des fonctionnalités de contrôle d’accès logique. Elles s’appuient sur des référentiels d’identités et assurent l’audit et la traçabilité des authentifications et des habilitations.

Le risque majeur : une solution de SSO par cas d’usage

Forts de ce panorama des différentes solutions de SSO, considérons à présent un système d’information lambda pour lequel on souhaite déployer des fonctions d’authentification forte, de Single Sign-On et d’audit des accès des utilisateurs aux applications de ce SI. Les motivations peuvent  être nombreuses et variées : elles découlent notamment des enjeux de confort utilisateur ou de sécurité visés pour le SI.
Dans ce SI, il est très probable que l’on trouve de tout :
  • des applications internes ou externes (en SaaS, Cloud…), maîtrisées ou non, de différentes technologies (web, client lourd, virtualisées, mainframe...) et plus ou moins critiques
  • des utilisateurs internes ou externes, travaillant sur un PC, maîtrisé ou non, ou sur d’autres types de supports (clients légers, périphériques mobiles…), certains ayant besoin d’authentification forte, d’autres non, etc.


Donc à plus ou moins long terme, on aura immanquablement besoin des fonctionnalités de eSSO, de Web Access Management, de Fédération d’identité et de Mobile SSO : soit de toutes les catégories de SSO décrites précédemment, sur des périmètres plus ou moins différents, mais pour le même système d’information.

Evidemment le déploiement de ces fonctionnalités se fera par étapes et potentiellement sur plusieurs années, selon les priorités de l’entreprise. Mais le fait est que, au bout d’un certain temps, on pourra facilement se retrouver dans la situation suivante - et c’est malheureusement le cas de très nombreuses organisations - avec par exemple :
  • une solution de eSSO déployée en interne sur les postes des utilisateurs du SI, afin de leur apporter le confort d’une authentification unique et de les rendre autonomes sur les opérations de réinitialisation de mots de passe.
  • une solution de Web Access Management protégeant des applications web, déployée dans une logique d’intranet et/ou d’extranet
  • une solution de fédération d’identité dédiée à des échanges B2B avec ses partenaires, ou utilisée pour améliorer l’expérience utilisateur pour les accès aux applications externes, de type O365, GoogleApps, ou SalesForce notamment
  • une solution de Mobile SSO pour sécuriser les accès au SI depuis des périphériques mobiles et maîtriser ainsi les effets du BYOD


Chacune de ces solutions repose peut être sur un progiciel du marché, une brique open source ou une solution maison réalisée en développement spécifique. Mais au final, on risque fort de se retrouver à administrer, maintenir, exploiter, superviser, auditer… 4 solutions différentes, qui adressent pourtant des besoins similaires, bien que pour des usages différents !

Le Global SSO : SSO nouvelle génération

Et pourtant,  il est possible d’éviter une telle situation !

Avec une seule et même solution qui adresserait toutes ces fonctions, on n’aurait plus qu’une seule infrastructure commune à exploiter et à superviser, plus qu’une seule interface d’administration pour configurer tous les usages SSO, plus qu’un seul point d’audit fournissant la traçabilité de tous les accès à toutes les applications pour tous les utilisateurs, et ainsi une vision 360° de tous les accès au SI...

Cette solution existe, c’est le Global SSO !

Alors avant de se lancer dans un projet de SSO, quel qu’il soit, il faut penser « mutualisation » et « urbanisation du SI ». Une solution de Global SSO peut à la fois couvrir vos besoins à court terme - et vous n’investirez que sur ce dont vous aurez besoin - mais également vous laisser la capacité d’adresser vos autres besoins en matière de SSO à moyen et long termes, le tout via une démarche évolutive et itérative.


jeudi 1 octobre 2015

La fédération d'identité : une technologie fiable et éprouvée

Par Fabrice Bérose
Responsable de Comptes
Le tout numérique provoque une course à la facilité d’usage. Cette quête à la performance et à l’accès instantané à l’information entraîne inexorablement une augmentation considérable des risques de cybercriminalité. En effet, cette année 2015 connaît une montée en flèche des cyberattaques massives et ciblées, des atteintes à la protection des données personnelles, des usurpations d’identités, ou encore des hacks de réseaux sociaux. Les utilisateurs, de plus en plus à l’aise avec les nouvelles technologies, sont souvent inconscients des problématiques de sécurité liées à leurs actions.

C’est aujourd’hui plus que jamais à la DSI d’accompagner les évolutions métiers tout en garantissant une sécurité accrue. A l’heure de la rationalisation des systèmes d’information, la clé est de mettre en place une infrastructure moderne et sécurisée, capable de prendre en charge et d’anticiper les nombreuses évolutions métier à venir. Des réponses existent, comme la fédération d’identité, une technologie fiable et éprouvée.


Qu’est-ce que la fédération d’identité ?


La fédération d’identité est un moyen pour deux organisations de partager des informations à propos d’un utilisateur. Le but étant qu’il puisse naviguer entre différents services après s’être authentifié une seule et unique fois auprès d’un tiers de confiance qui sera garant de son identité.

Elle contrôle les accès des utilisateurs en fonction des relations de confiance établies, de la validité de l’identité présentée et de l’authentification qui a été réalisée auprès du partenaire de confiance. Elle peut également transmettre certaines informations sur l’utilisateur (comme ses droits applicatifs) certifiées par le partenaire qui a fourni l’identité (IDP).

L’utilisateur quant à lui accède aux applications/services de manière totalement transparente, sans réauthentification, grâce au Single Sign-On (SSO) dont les principes ne sont plus à démontrer. Le confort est considérable !

Les cas d’usages


Dans un contexte de croissance externe (réorganisation, joint-venture, fusion/acquisition, externalisation…), les DSI sont confrontées à plusieurs problématiques et notamment à l'absorption d'un nombre significatif d’utilisateurs souvent dans des contraintes fortes de temps. La fédération d’identité permet d’aménager des infrastructures de gestion d’identités par entité opérationnelle, et de faciliter l’accès aux services applicatifs « groupe » pour tout type de population au sein d’organisations complexes. Autoriser l’accès aux applications fournies et hébergées par le groupe sans avoir à subir de multiples authentifications est un avantage incontestable ! L’identité des utilisateurs est transmise aux applications de façon sécurisée et standardisée par des protocoles de fédération (SAML v2 pour la plupart).

La fédération permet également de standardiser l'accès à l'écosystème de l'entreprise pour multiplier les interconnexions avec les partenaires et les fournisseurs. Prenons le cas du groupe Société Générale et de son programme SAFE (Service d'Authentification Fédérateur d'Entreprise) : il s'agit d'ouvrir en toute sécurité le système d'information de la banque à des partenaires et de simplifier les procédures d'authentification. La première utilisation de SAFE a pour objectif d'offrir un service d'accès fédérateur, via une authentification unique, à un bouquet d'applications dédié à la gestion de la monétique. Cela permet de rationaliser la gestion de nombreux identifiants potentiels, des multiples dispositifs d'authentification existant pour une population importante et un parc applicatif varié. La banque ouvre ainsi son SI tout en renforçant la sécurité de son SI en offrant un service homogène, simple d’utilisation pour ses collaborateurs, et ce au meilleur coût.

Autre cas : trouver une réponse adéquate aux problématiques posées par la démocratisation des solutions proposées en mode SAAS (Software As A Service). La DSI doit trouver des solutions pour permettre d'industrialiser et homogénéiser sa politique d'accès à ce type d'applications.

Nombreux sont les clients qui souhaitent par exemple externaliser leur système de messagerie pour passer sur Office 365 ou Google Apps tout en sollicitant le moins de ressources internes possible et ce de façon simple et standardisée. La fédération d’identité sur des applications du Cloud permet de répondre à cette problématique et d'en sécuriser les accès.

Ce besoin de simplification se fait également ressentir dans les administrations, qui s’efforcent de moderniser leurs infrastructures et de dématérialiser leurs procédures. Elles sont nombreuses à vouloir proposer un ensemble de services numériques aux citoyens. La fédération permet, en s'appuyant sur une identité numérique certifiée, d'offrir aux citoyens un accès simple et sécurisé à un ensemble de services souscrits. Le citoyen accède à un service personnalisé, en fonction de son identité, et peut ainsi effectuer certaines démarches administratives de façon numérique. Dans ce cadre, le projet France Connect qui opère déjà depuis janvier 2015 une partie du site monservicepublic.fr, a pour objectif de promouvoir l’interopérabilité entre les administrations publiques nationales et s’étendre ensuite à l’Europe.

Enfin, la fédération dite « sociale » est très certainement le cas le plus parlant pour le grand public. Concrètement il s’agit de relier les sites grand public d’une entreprise aux réseaux sociaux tels que Facebook, Google et Twitter. Cet interfaçage et l’utilisation d’identités numériques tierces est une réelle avancée tant sur le plan technique qu’au niveau du métier ! De nombreuses enseignes proposent des authentifications sociales via des mécanismes de fédération des identités. Le principe étant qu’un utilisateur authentifié sur un réseau social puisse accéder directement aux sites de ces enseignes et à leurs contenus, tout en évitant de créer un nouveau compte utilisateur. C’est le cas par exemple du groupe Canal+ qui s’appuie sur les principaux protocoles de fédération d’identité (OAUTH V2) afin de permettre l’inscription, l’authentification des utilisateurs et l’accès à leurs services à partir de leurs identifiants personnels (via Facebook notamment).

Les avantages


Avec la technologie, le consommateur attend désormais des réponses quasi instantanées à ses demandes. Il souhaite gagner en réactivité et des services personnalisés et modernes. Il désire utiliser son périphérique mobile (personnel ou professionnel) pour accéder à des applications ergonomiques. Il veut de la sécurité sans avoir à s’authentifier X fois et que tout lui paraisse simple et efficace. Dans une logique de concurrence exacerbée, celui qui lui impose trop de contraintes prend le risque de le perdre.

La fédération d’identité répond à ces problématiques : elle fidélise l’utilisateur en lui évitant des contraintes d'inscriptions ou d'authentifications répétitives et lui permet d’accéder à de multiples services en toute simplicité. C’est un réel levier de croissance et d’efficacité pour les entreprises car elle permet d’orienter un contenu en fonction d’informations pertinentes transmises en toute sécurité dans un profil. Elle permet donc d’offrir une expérience fluide et cohérente aux utilisateurs et des services de qualité répondant à leurs attentes. Elle apporte également une réponse adaptée aux problématiques de mobilité en permettant d’ouvrir le système d’information des organisations et de proposer des mécanismes sécurisés d’interconnexion communautaire. Les entreprises qui ont bien saisi les enjeux commerciaux et organisationnels intègrent désormais les protocoles de fédération d’identité dans le cadre des démarches d’urbanisation de leur SI. L’objectif de tous est désormais de concilier sécurité, simplicité et innovation technologique, la fédération d’identité est, et sera sans nul doute, au cœur de l’authentification unique dans les années à venir.

lundi 22 juin 2015

L’authentification forte dans les collectivités, une obligation légale


Par Thierry Bettini, Ilex International et Hervé Fortin, Département de l’Aisne

La mise en place d’une solution d’authentification forte au sein d'une collectivité est, dans une grande majorité des cas, perçue comme une problématique technique par la DSI, qui cantonne trop souvent ce type de projet au simple remplacement du login/mdp devenu obsolète. Dans un contexte de restriction budgétaire au sein des collectivités, la DSI peine alors à justifier un tel projet, jugé trop coûteux et relégué au second plan des priorités.

Cependant, au-delà de sa dimension technique, la mise en place d’une solution d’authentification forte garantit sécurité et traçabilité des accès au système d’information. Ceci permet ainsi aux collectivités d’être conformes aux législations en vigueur et, notamment, aux obligations de protection des données à caractère personnel encadrées par la CNIL.

La responsabilité judiciaire du RSSI/DSI directement engagée


Nombreuses sont les collectivités qui valident la déclaration informatique et libertés sans maîtriser totalement les obligations qui en découlent. En effet, la loi informatique et libertés du 6 janvier 1978 (modifiée en août 2004) définit les principes à respecter lors de la collecte, du traitement et de la conservation des informations relatives à des personnes physiques. Le champ d’applications de cette loi est très large et concerne la majorité des traitements ou fichiers mis en œuvre par les collectivités locales pour gérer leurs nombreux services : état civil, listes électorales, inscriptions scolaires, action sociale et autres services à la population, etc.

« La création et le traitement de données personnelles (numéro d'identifiant, nom, adresse, numéro de téléphone...) sont soumis à des obligations destinées à protéger les libertés individuelles et la vie privée des personnes fichées », indique Thierry Bettini directeur commercial d’Ilex International. Celles-ci varient selon la nature du fichier et la finalité des informations recueillies : déclaration normale ou simplifiée ou demande d'autorisation. Il existe aussi des obligations de sécurité, de confidentialité et d'information.

Certaines données sont particulièrement sensibles selon les domaines et doivent faire l’objet d’autorisations spécifiques auprès de la CNIL. C’est le cas notamment des informations traitées dans le domaine social, où la confidentialité est essentielle, comme par exemple le traitement de signalement "enfance en danger". Seules les personnes habilitées doivent avoir accès à certaines informations.

Avec la transformation digitale, les collectivités locales gèrent de plus en plus de données personnelles mais en réalité, combien d’entre elles savent dire aujourd’hui avec exactitude qui a accès à quoi ?

Les contrôles réalisés par la CNIL montrent que de nombreuses collectivités ne respectent pas certaines règles de base de la loi informatique et libertés. Dans la majorité des cas, ces manquements résultent d’une méconnaissance de la loi ou de négligences, mais les infractions n’en restent pas moins réelles. « Les décideurs et responsables locaux doivent en prendre conscience car ils sont directement visés en cas de non-respect des dispositions de la loi : leur responsabilité juridique peut être engagée. Ils peuvent même, dans certains cas, être pénalement sanctionnés (peine de cinq ans d’emprisonnement et 300 000 € d’amende) », souligne Hervé Fortin, RSSI et CIL du Département de l’Aisne.

L’authentification forte, une garantie de conformité avec le cadre réglementaire régi par la CNIL


Pour faire face à ces contraintes réglementaires renforcées, la maîtrise et la sécurité des accès logiques doivent rester la priorité des collectivités.

« Renforcer les mécanismes d'authentification et les règles de contrôle d’accès logiques aux applications du SI permet d'éviter toute faille/fraude», explique Thierry Bettini. Ainsi, il est primordial de proposer plusieurs mécanismes d’authentification, à n facteurs (‘ce que je sais’, ‘ce que j’ai’, ‘ce que je suis’), en fonction des usages des agents (par exemple certains peuvent utiliser des cartes à puces, d’autres des clés USB, etc.), et du niveau de criticité des applications accédées. Certaines solutions packagées sont déjà proposées par les intégrateurs et éditeurs de logiciels qui permettent de répondre à ces problématiques efficacement.

Une fois l’agent authentifié, il est possible de contrôler les droits d’accès selon des critères divers et variés tels qu’un niveau d’authentification primaire (n facteurs), un créneau horaire, un profil utilisateur récupéré dans l’annuaire d’entreprise, etc.

Et de préciser que « les authentifications, autorisations et délégations des agents doivent impérativement être tracées afin de garantir la bonne conformité avec les législations en vigueur et répondre aux exigences d’audit ».

Le RSSI/DSI d’une collectivité locale doit homogénéiser et renforcer l’authentification sur les applications dont il contrôle et trace les accès. Il pourra se dégager ainsi de toute sanction juridique relative à la confidentialité des données traitées au sein de la collectivité.

« Quelles que soient leurs tailles, toutes les collectivités sont concernées» conclut Hervé Fortin. En revanche, toutes ne mesurent pas les engagements qu’elles prennent en se déclarant conformes, ni les risques encourus en cas de contrôle de la CNIL. Une vraie prise de conscience des obligations légales est nécessaire, comme c’est le cas dans d’autres secteurs (exemple : secteur bancaire) afin de faire de la gestion des accès une véritable priorité.

jeudi 2 avril 2015

La transformation digitale dans la distribution : la sécurité au service de la relation client


Par Fabrice Bérose
Responsable de Comptes
À l’heure des objets connectés, des réseaux sociaux, des Smartphones et des nouveaux comportements des consommateurs, nul ne peut passer à côté de la transformation digitale qui touche tous les secteurs, et particulièrement l’univers du retail. 

Le consommateur est avide de nouveaux services, de nouvelles expériences, d’innovations… Toute la stratégie de vente des entreprises s’en trouve bouleversée et il est impossible de faire l’impasse sur ce nouveau business modèle. La DSI, qui est de fait propulsée sur le devant de la scène, doit être en mesure d’accompagner les enjeux stratégiques de l’entreprise. Il faut proposer des solutions répondant à la fois aux attentes des consommateurs et des métiers, sans pour autant faire l’impasse sur la sécurité et les menaces croissantes et omniprésentes.

Les nouveaux comportements des consommateurs


TV connectées, tablettes, Smartphones, ne sont plus réservés à une poignée de passionnés ; les nouvelles technologies se sont démocratisées et font désormais partie intégrante de notre quotidien. Le foyer moyen français est équipé de 5 à 6 écrans, plus de 80% des habitations sont équipées d’internet haut débit, tout va plus vite. Ces nouvelles technologies ont fait naître de nouveaux comportements chez le consommateur et ont profondément révolutionné la relation client.

Avec la technologie, le consommateur attend désormais des réponses quasi instantanées à ses demandes, il souhaite un dialogue de proximité, des services personnalisés et modernes. Fini le marketing de masse, il revendique son individualité, sa liberté de choix. Dans un secteur où la concurrence fait rage, un client qui ne trouve pas de réponses à ses questions est un client perdu. En effet, 32% des acheteurs qui ne trouvent pas leur produit en magasin vont l’acheter sur internet.

Les entreprises qui jouissent d’une image en phase avec leur temps et marquent leur différence ont déjà adopté une démarche web to store… to web. Si le client achète sur internet, autant amener Internet dans le magasin.

La DSI au cœur de cette transformation digitale


Dans ce contexte, on comprend aisément que le numérique est un facteur de croissance incontournable. Cependant, utiliser les nouvelles technologies pour générer du business ne se décrète pas, cela se construit. Les enjeux sont certes stratégiques, mais le challenge est avant tout technique.

Une enseigne souhaite faciliter le parcours d’achat en ligne des consommateurs ? Des réponses existent pour simplifier leur inscription en ligne, sans pour autant rogner sur la sécurité de leurs données.

De nombreuses enseignes proposent des authentifications sociales via des mécanismes de fédération des identités. Le principe étant qu’un consommateur authentifié sur un réseau social puisse accéder directement aux sites de ces enseignes et à leurs contenus, tout en évitant de créer un nouveau compte utilisateur. Ce parcours « d’acquisition » étant fluidifié, le risque de perdre le consommateur, rebuté par une énième inscription en ligne, est considérablement limité.

Au-delà de simplifier la vie du consommateur, s’appuyer sur les réseaux sociaux, mines d’or d’informations pour les départements marketing, permet de personnaliser les contenus et offres proposés au consommateur. Il ne suffit plus d’aller chercher l’information, il faut désormais qu’elle remonte afin d’être finement analysée et triée sur le volet. C’est l’explosion, le « big bang datas » tant les vecteurs de communication sont nombreux. A l’heure des montres, bracelets, vêtements ou autres objets connectés, le retailler se doit de s’équiper et d’exploiter cette traçabilité croissante. La relation client est alors privilégiée, ciblée et plus efficace.

La transformation digitale ne touche pas uniquement les consommateurs on-line. Là encore, les enseignes doivent comprendre que la mobilité des conseillers de vente traduit un enjeu métier stratégique, qui permet d’optimiser l’efficacité de son personnel ainsi que l’expérience client.

Pourquoi ne pas démocratiser la mise à disposition de tablettes pour les conseillers de vente afin d’accompagner les clients tout au long de leurs parcours d’achat ? Un vendeur pourrait récupérer une tablette configurée en mode « kiosque » à des points stratégiques du magasin pour la déverrouiller d’une borne sécurisée sur présentation de son badge. Les conseillers retrouveront alors leur session de travail personnelle et accéderont à toutes leurs applications métier, le tout automatiquement, sans avoir à saisir de mot de passe et en toute sécurité. Loin d’être une cinématique futuriste, cette expérience est déjà possible. Un magasin moderne, des conseillers mobiles et une qualité de service optimisée : le magasin de demain est déjà ouvert.

Ce ne sont ici que des exemples mais les nouvelles technologies offrent de nombreuses opportunités pour améliorer la relation client et le développement commercial. La DSI doit rester au cœur de la stratégie de transformation digitale de l’entreprise, afin de l’accompagner au mieux et en toute sécurité. Dans un contexte où la concurrence est rude, les entreprises qui amorcent le virage numérique avec intelligence et méthode, font émerger des leviers de croissance considérables. L’accompagnement au changement des collaborateurs, voire de certains consommateurs réticents, est le fer de lance de la transformation digitale. Les entreprises qui réussissent le mieux dans le domaine (Décathlon, Boulanger, Leroy Merlin ou encore Darty) sont celles qui ont parfaitement appréhendé un parcours du consommateur de plus en plus hybride, et le bouleversement dans le métier même de la vente.