SSO… Single Sign-On… Une authentification unique pour se connecter à tous les services utilisés dans l’entreprise et au-delà… Quels sont les atouts, les défis et les risques d’une telle technologie ? Et découvrez le grand secret de la SSO…
Rendant l’accès aux applications sur site et dans le cloud plus facile, l’authentification unique (SSO) est un véritable outil de productivité pour les entreprises. Grâce à elle, les utilisateurs n’ont à se connecter qu’une seule fois pour obtenir l’accès aux navigateurs, portails et applications mises à disposition par le service informatique.
Mais comme l’Oncle Ben de Peter Parker l’a dit « un grand pouvoir implique de grandes responsabilités » et le pouvoir potentiel de la SSO est effectivement très grand.
Appréhender les risques de sécurité liés à la SSO
L’objectif principal de la SSO est de permettre l’accès et non de le restreindre, ce qui engendre de nombreux risques.
Quels sont ces risques ?
Une connexion et plusieurs accès. Pour les utilisateurs, c’est plus pratique. Mais pour l’équipe informatique cela représente une source supplémentaire de risques.
Une erreur peut causer un désastre. Cela semble exagéré, cependant une simple erreur de paramétrage de la part d’un membre de l’équipe technique, et un utilisateur peut se retrouver avec des données qu’il n’a pas à avoir dans le cadre de ses missions.
L’agrandissement du périmètre de sécurité. Contrairement à l’époque où l’entreprise était définie par des murs en béton, l’infrastructure moderne, notamment grâce à la SSO rend possible l’accès instantané aux applications de l’entreprise, qu’elles soient sur le web ou dans le cloud.
Un risque pour les mouvements latéraux. Dès qu’un attaquant externe obtient un premier accès à votre entreprise, souvent grâce à un poste infecté, son objectif suivant sera de se déplacer sur l’ensemble du réseau. Ces déplacements nécessitent des informations de connexion supplémentaires, il va donc essayer d’accéder à d’autres applications et données via ce terminal infecté. Cela ne vous rappelle rien ? C’est exactement ce que permet la SSO, faciliter l’accès aux données et applications dont l’utilisateur a besoin pour ses projets. Mais cela représente aussi des nombreuses opportunités pour les attaquants.
Est-ce pour autant la SSO est une mauvaise idée ? Non. Mais il est important de connaitre les risques qui y sont liés.
C’est finalement logique, en simplifiant l’accès des utilisateurs à de nombreuses applications à travers le monde, le risque de catastrophes est augmenté.
Reconnaitre les responsabilités informatiques
Pour tirer avantage du pouvoir de la SSO, l’équipe informatique a besoin de connaitre et de couvrir l’ensemble des risques qui y sont liés. En plus de l’amélioration de la productivité des utilisateurs, la SSO peut représenter, pour l’équipe informatique, un véritable outil afin d’augmenter la sécurité de l’entreprise.
Compte tenu du grand pouvoir de la SSO, quelles sont les responsabilités du service informatique ?
Ils doivent généralement reconnaitre :
Une multitude d’accès. Lorsque l’oncle Ben met en garde Peter Parker, son message porte autant sur la maîtrise de soi que sur la reconnaissance de l’existence du pouvoir. Il est impossible de faire le premier sans faire le second. Cela revient donc à dire qu’avant de mettre en place une SSO efficace, il est nécessaire de savoir ce dont elle est capable, à savoir : permettre l’accès.
Se prémunir des dangers réels. Qu’il s’agisse d’individus isolés ou d’organisations, les cybercriminels d’aujourd’hui, ont des méthodes de plus en plus sophistiquées. Ils documentent, testent, codent méthodiquement les vulnérabilités. Cela veut dire qu’ils sont aussi disciplinés et efficaces dans leur rôle de « méchants » que les prestataires de sécurité le sont dans le rôle de « gentils ». L’équipe informatique doit donc être dans un état d’alerte constant. Un point d’entrée infecté signifie potentiellement une violation de données, une perte de productivité, voire une atteinte à la réputation de l’entreprise.
L’authentification sur site, un avantage pour la sécurité. Vous pouvez faciliter l’accès au cloud sans pour autant trouver une nouvelle méthode d’authentification. Pour une sécurité optimale, maintenez votre répertoire de serveur Windows sur site.
Combiner la SSO et la MFA. La SSO comprend généralement deux facteurs d’authentification, voire plus. Bien qu’elle permette aux utilisateurs d’avoir accès à un grand nombre d’applications et de données d’où ils veulent, l’équipe informatique doit sécuriser autant que possible les informations de connexion uniques. Il est vrai que combiner la MFA et la SSO demandera un effort supplémentaire aux utilisateurs, mais c’est surtout une étape clé permettant de s’assurer que les exigences en termes de sécurité s’équilibrent avec le gain de productivité.
Ouvrir les sessions en tenant compte du contexte. Bien souvent la SSO est une question de productivité plus que de sécurité. Afin que la sécurité soit aussi légère que possible, vous devez vous concentrer sur le plus important : la connexion. Deux raisons à cela : 1) s’il n’y a pas de connexion, il n’y a pas d’accès, 2) une fois que la connexion est établie, il est trop tard pour couvrir les risques. La connexion Windows étant bien souvent la seule protection pour une entreprise, il est important de la contrôler autant que possible. Il s’agit d’une action essentielle pour la mise en place de la SSO.
Faire de la responsabilité un état d’esprit
Finalement, la responsabilité est un état d’esprit. Et comme la plupart des états d’esprit elle peut devenir un changement de comportement. Le pouvoir de la SSO demande à l’informatique une approche responsable pour assurer la sécurité requise. En faisant cela, les services informatiques exploitent la puissance de la SSO et en font non seulement un outil de productivité, mais aussi un outil de sécurité.
___________________
Par François Amigorena, Fondateur et PDG de IS Decisions.
À lire également :
> L’authentification multifactorielle reste trop peu activée en entreprise…
> L’authentification forte, pierre angulaire du modèle Zero Trust.
> Comment les pirates contournent l’authentification multifacteur (et comment les arrêter) ?
> L’authentification sans mot de passe n’est plus une fiction!