Laissez-vous votre clé sur la porte en quittant votre domicile ? Ou bien la cachez vous dans le pot de fleur à côté de l’entrée ? Des questions absurdes – personne ne le ferait. Bien sûr que non. Si nous considérons la façon dont nous sécurisons l’accès à nos ordinateurs et aux données qui y sont enregistrées, ces métaphores ne sont pas fantaisistes. Alors même que les menaces ne cessent d’augmenter – les organisations criminelles menacent les entreprises tout comme les individus –, nous négligeons la protection de nos « identités logiques ». Et ce sont justement ces « identités logiques », la manière dont nous nous connectons à notre PC, sécurisons l’accès au réseau d’entreprise via l’Internet ou d’autres connexions externes ou bien obtenons l’accès à nos comptes bancaires dans le cadre de la banque en ligne qui sont la cible principale des pirates. Ce qui est alors fatal : une fois qu’un pirate a subtilisé l’identité de sa victime, il agit en son nom. Cette attaque ne peut ensuite ni être détectée ni empêchée par aucune mesure de sécurité.

Les réseaux d’entreprise, les ressources que ces derniers mettent à disposition et les données qui y sont traitées et sauvegardées font désormais partie intégrante de tous les processus critiques des entreprises. Les informations sont mises à disposition via l’Internet ou le Cloud non seulement des employés, mais également des clients, partenaires ou sous-traitants. D’où la nécessité de pouvoir se connecter n’importe quand depuis n’importe où. Comme parallèlement les équipements terminaux ne cessent d’évoluer – outre les ordinateurs portables, de plus en plus de smartphones et tablettes – il faut également les intégrer aux considérations de sécurité.

Quelles sont les implications pour les entreprises et organisations, quels qu’en soient le secteur, la taille ou la localisation ? Il faut un concept de sécurité à l’échelle de l’entreprise, associant tout autant l’accès physique aux locaux que l’accès logique aux données de l’entreprise. Ces nouvelles exigences impliquent la prise en compte de nouveaux paramètres dans le choix et l’implémentation d’une solution d’identification et d’authentification pour l’accès physique et logique :

Type d’utilisateur

Si par le passé il suffisait de considérer l’employé de l’entreprise, il s’agit aujourd’hui de distinguer :
– les salariés de la société,
– les employés d’entreprises partenaires (conseillers, sous-traitants, etc.),
– les clients.

Ce qui nous intéresse dans ce contexte est l’élargissement de l’accès sécurisé aux visiteurs. Là aussi, le suivi de l’accès et l’assurance que les visiteurs n’aient accès qu’à certaines parties bien définies des locaux jouent un rôle important. Les systèmes de gestion des visiteurs permettent d’assurer un bien meilleur contrôle des flux de visiteurs tout en augmentant la flexibilité – le cas échéant, les visiteurs ne doivent plus nécessairement être accompagnés par des employés.

Localisation

Les utilisateurs veulent (doivent) pouvoir se connecter à des réseaux à tout moment et partout à travers le monde. Pouvoir établir une connexion sécurisée et traçable de manière sûre au sein de l’entreprise – et ce pas uniquement à distance – est devenu tout aussi indispensable. Dans un premier temps, évidemment pour protéger les ressources de l’entreprise, mais également pour sécuriser chaque utilisateur individuel et ainsi pouvoir déterminer sans équivoque lequel d’entre eux a effectivement réalisé telle ou telle transaction.

– Qui a supprimé un fichier critique ?
– Quel administrateur a réinitialisé un mot de passe d’un utilisateur ?
– Quel employé du service de comptabilité financière a effectué une transaction ?

A l’heure actuelle, l’enjeu n’est plus seulement la « simple » protection contre les intrusions externes, mais bel est bien la protection contre des attaques, négligences ou simples erreurs de manipulation venues de l’intérieur.

Risque

Parmi toutes ces considérations concernant tant l’accès physique que l’accès logique, le risque joue un rôle décisif. Si l’on tient compte du fait que les données ne revêtent pas toutes la même importance ou que les secteurs physiques n’ont pas tous la même vulnérabilité, il devient rapidement évident qu’une même méthodique d’authentification ou qu’un seul système de contrôle d’accès ne conviennent pas à chaque situation. Si, de plus, on intègre à nos réflexions le paramètre convivialité – facteur non négligeable, car l’acceptation de l’utilisateur est toujours indispensable à la réussite d’une stratégie de sécurité – il est évident qu’il faut des procédés de sécurisation de l’accès physique et logique appropriés.

Convivialité

Bien plus que par le passé, la simplicité d’utilisation, voire la transparence des procédures de connexion et d’accès jouent un rôle prépondérant. Il s’agit d’abord une conséquence de la diversité des utilisateurs – on ne peut plus raisonnablement imposer aux clients les mêmes procédures d’authentification complexes comme on le faisait, du moins par le passé, avec les employés de l’entreprise. En outre, les nouveaux équipements tels que tablettes ou smartphones ont ouvert la voie vers une culture de convivialité d’utilisation. Les utilisateurs attendent à présent de tous les procédés informatiques que leur utilisation soit simple et intuitive.

Ebauche de solution

Un concept englobant parfaitement les exigences précitées doit tenir compte des éléments suivants :
– méthodes d’identification et d’authentification variables, adaptées au risque,
– convergence de l’accès physique et de l’accès logique,
– introduction progressive.

La méthode respective de connexion ou d’accès doit être aussi conviviale que possible. Pour y parvenir, on peut élaborer des techniques totalement « transparentes » pour l’utilisateur ou les intégrer dans les appareils familiers à l’usager (p. ex. smartphones). Il faut en même temps garantir la sécurité adaptée au risque encouru.

La convergence de l’accès physique et de l’accès logique peut être réalisée à plusieurs niveaux. La première et plus simple étape consiste à établir la convergence sur le dispositif d’authentification de l’utilisateur. Un badge, disposant actuellement déjà de caractéristiques visuelles (nom du porteur de carte, photo) et de la technologie sans contact pour l’accès aux locaux et/ou le paiement électronique, peut ainsi aisément être équipé d’une puce à contact intelligente permettant la connexion sécurisée au PC. Sur cette même puce, il est également possible de générer un mot de passe unique pour l’accès à distance sécurisé. Le badge convergent de l’utilisateur peut également être pourvu d’un champ pour mot de passe unique et ainsi servir à la connexion à distance à des terminaux tiers. Cette approche permet à la fois de mettre en œuvre des solutions d’authentification sécurisées et d’augmenter la convivialité. Elle rend également possible la gestion commune des appareils de contrôle d’accès physique et logique (badge, carte à puce, …). Il en résulte une simplification des tâches administratives et une diminution des coûts. Et surtout, une augmentation sensible de la sécurité du système global grâce à une gestion centralisée.

Le nombre d’utilisateurs, leur répartition, les diverses méthodes d’identification et d’authentification pour l’accès physique et logique ainsi que d’autres paramètres peuvent cependant se traduire par une grande complexité d’un tel concept de sécurité intégré. Il est par conséquent essentiel de choisir dès le début un concept permettant une introduction progressive des divers composants.

Résumé

Une solution convergente pour l’accès physique aux locaux et pour l’accès logique informatique offre – si elle est bien menée – des avantages à plusieurs niveaux :
– sécurité accrue – mise en pratique simplifiée des règles de sécurité,
– plus grande flexibilité – évolutivité élevée,
– meilleure convivialité,
– réduction des coûts.

 

______________
Steven Commander est End-User Business Manager, HID Global