Single Sign-On

Votre organisation a-t-elle besoin d'un Single Sign-On ?

Les responsables informatiques travaillent dans un secteur en constante évolution. Les nouvelles technologies apportent à la fois des opportunités et des risques et sollicitent à chaque instant les capacités des services informatiques des entreprises. Rester à l'affût de ces changements devrait être une priorité pour tous les responsables informatiques : les pirates informatiques étant constamment à la recherche de nouvelles vulnérabilités à exploiter, il est essentiel pour l'avenir de votre entreprise et pour le vôtre de prendre les bonnes décisions en matière de sécurité de votre pile technologique.

La complexité d'une pile informatique moderne aurait été inimaginable pour un directeur technique il y a seulement quelques années : en 2000, l'entreprise moyenne n'utilisait que 4 ou 5 solutions logicielles d'entreprise, toutes maintenues sur les propres serveurs de l'entreprise. En 2019, selon le Wall Street Journal, la grande entreprise moyenne a déployé quelque 129 applications - soit une augmentation de 68 % en seulement quatre ans - tandis que les petites entreprises déploient environ 73 solutions technologiques différentes. Et la majorité de ces applications sont des solutions SaaS basées sur le cloud, ce qui augmente considérablement la complexité et la sécurité de la pile.

Dans ce contexte, il n'est pas surprenant que de nombreuses entreprises aient commencé à envisager l'authentification unique (Single Sign On - SSO) comme une solution potentielle pour renforcer la sécurité. Lisez la suite pour savoir pourquoi l'authentification unique devrait faire partie des protocoles de sécurité informatique de votre organisation.

Qu'est-ce que l'authentification unique ?

L'authentification unique (SSO) est un mécanisme d'authentification sécurisé, basé sur le web. Il partage les identités entre les organisations et les applications et permet d'éliminer la nécessité pour les individus de se souvenir d'informations de connexion distinctes pour chacune des applications et chacun des services qu'ils utilisent au quotidien. Au lieu de cela, les utilisateurs se connectent à l'environnement de l'entreprise et sont automatiquement connectés à toutes les applications de la pile technologique de l'entreprise auxquelles l'administrateur informatique leur a donné accès.

Pourquoi les mots de passe sont un problème

Alors que les bonnes pratiques en matière d'hygiène de sécurité recommandent d'utiliser un nom d'utilisateur et un mot de passe uniques pour chaque application ou service, un article de TechRepublic datant de 2019 indique que l'employé moyen bascule entre une moyenne de 35 applications différentes plus de 1000 fois par jour. Cette prolifération de noms d'utilisateur et de mots de passe non standardisés fait qu'il est presque impossible pour les employés de pratiquer une hygiène de sécurité efficace : beaucoup ont recours à des pratiques non recommandées telles que noter les détails de connexion, ou simplement répéter les informations d'identification sur différents services.

En outre, cette prolifération de mots de passe est source de frustration pour les utilisateurs et entraîne des problèmes de productivité, tant au sein de la fonction informatique, qui doit faire face à l'augmentation des demandes d'assistance et de réinitialisation de mots de passe, que dans l'ensemble de l'entreprise, où les employés perdent également un temps précieux à gérer les mots de passe.

Quels sont les avantages du SSO ?

Les principaux avantages du SSO sont l'amélioration de la sécurité et de la productivité, ainsi que la réduction des coûts dans l'ensemble de l'entreprise.

Amélioration de la sécurité

Ces dernières années, un certain nombre de piratages très médiatisés de grandes entreprises ont exposé les données sensibles de millions de clients. Ces violations ont coûté aux entreprises du temps, de la réputation et des milliards de dollars en amendes, compensations et pertes de revenus. (Pour un exemple, voir l'étude de cas Equifax ci-dessous).

Si le SSO n'empêchera pas les pirates de chercher des failles à exploiter, il peut néanmoins resserrer la source la plus courante de violations liées au piratage. Selon le rapport 2019 Data Breach Investigations de Verizon (https://www.verizon.com/business/resources/reports/dbir/), les attaques au cours desquelles des informations d'identification ont été piratées ou hameçonnées constituent la source la plus courante de violation de données, représentant 52 % de l'ensemble des violations.

Toutefois, si les grandes entreprises telles que Capital One et Equifax font la une des journaux, les petites entreprises sont également menacées. Comme l'indique le rapport de Verizon, 43 % des violations concernent des petites entreprises.

Économies de coûts et gains de productivité

Selon le Gartner Group, jusqu'à 50 % des appels au service d'assistance d'une entreprise concernent des réinitialisations de mot de passe - un coût direct qui affecte presque toutes les entreprises, sans parler d'une source de friction qui pèse sur la productivité des travailleurs individuels et du service d'assistance dans son ensemble.

Comme nous l'avons vu plus haut, plus un employé doit se connecter à un grand nombre d'applications, plus il risque de réutiliser ses mots de passe (ce qui crée un risque pour la sécurité) ou d'oublier ses identifiants, ce qui entraîne un appel au service d'assistance et des minutes et des heures précieuses perdues.

En plus de contribuer à réduire ces coûts financiers et de productivité au quotidien, le SSO offre également aux responsables informatiques la possibilité d'accorder ou de révoquer l'accès à plusieurs applications simultanément. Cela peut contribuer à améliorer l'efficacité des processus d'intégration des nouveaux employés, à contrôler l'accès des employés distants et des sous-traitants, et à renforcer la sécurité lorsqu'un employé quitte l'entreprise.

Qu'est-ce que SAML ?

Pour que le SSO fonctionne, les parties concernées doivent être en mesure de s'authentifier mutuellement et d'autoriser l'accès. Actuellement, les deux principales normes sont SAML 2.0 (Security Assertion Markup Language) et OpenID Connect.

Doodle utilise SAML 2.0 pour l'authentification et l'autorisation. Le principal avantage de SAML 2.0 est que, lors de la connexion, les détails d'authentification de l'utilisateur sont stockés sous la forme d'une signature XML sécurisée. Cette signature peut ensuite être transmise entre des fournisseurs de confiance, ce qui permet à l'utilisateur d'accéder à toutes les applications qui acceptent les informations d'identification sans avoir à se connecter à nouveau.

Étude de cas : Equifax

En 2017, Equifax, l'une des plus grandes agences de surveillance du crédit au monde, a été piratée par un groupe qui a volé les informations personnelles de 147,7 millions d'Américains, soit plus de la moitié de la population adulte des États-Unis.

Selon un rapport du Government Accountability Office (GAO) de 2018 (https://www.gao.gov/products/gao-18-371sp), les pirates ont découvert une vulnérabilité connue dans le portail de contestation en ligne d'Equifax et l'ont exploitée de plusieurs manières, notamment pour découvrir "des noms d'utilisateur et des mots de passe non cryptés qui pourraient permettre aux pirates d'accéder à plusieurs autres bases de données d'Equifax". Selon le responsable intérimaire de la sécurité d'Equifax, les attaquants ont été en mesure de tirer parti de ces informations d'identification pour étendre leur accès au-delà des trois bases de données associées au portail de règlement des litiges en ligne, pour inclure 48 bases de données supplémentaires sans rapport avec ces dernières.

Le piratage a eu de graves conséquences à la fois pour Equifax en tant que société et pour les employés qui avaient été chargés de la sécurité d'Equifax. En septembre 2017, une semaine après qu'Equifax a rendu le piratage public, son directeur de l'information et son directeur de la sécurité ont tous deux pris leur retraite. Entre-temps, au moins deux autres cadres supérieurs ont fait de la prison pour délit d'initié lié au piratage : tous deux ont vendu des actions de la société après que le piratage a été connu en interne, mais avant qu'il ne soit annoncé au public.

En juillet 2019, Equifax a conclu un accord avec la FTC pour payer entre 575 et 700 millions de dollars d'amendes et pour offrir une compensation et une surveillance de crédit gratuite aux personnes touchées par le piratage. Si Equifax avait mis en place une solide implémentation SSO, elle aurait pu éviter les amendes, la perte de confiance et de réputation, ainsi que les autres coûts qu'elle a encourus en conséquence directe du piratage.

Comment les mots de passe sont-ils exposés ?

Les pirates peuvent accéder à un mot de passe de plusieurs façons. Voici quelques-unes des méthodes les plus courantes :

Piratage - Comme on l'a vu dans l'affaire Equifax, le piratage implique qu'un utilisateur non autorisé accède à un ou plusieurs registres d'identifiants et de mots de passe, généralement en exploitant des faiblesses de sécurité.

Craquage - De nombreux utilisateurs - en particulier pour les applications professionnelles - ont tendance à utiliser des mots de passe prévisibles. Le piratage implique l'utilisation d'un logiciel pour itérer rapidement à travers de multiples variations des mots de passe les plus courants dans le but de trouver une correspondance.

Phishing - Les escroqueries par phishing impliquent généralement l'envoi par un pirate d'un courrier électronique qui dirige un utilisateur peu méfiant vers une fausse page de connexion convaincante qui a été mise en place pour capturer les identifiants de connexion.

Enregistrement des frappes - L'enregistrement des frappes implique un logiciel malveillant - téléchargé à l'insu de l'utilisateur ou implanté par un tiers - qui lit les frappes de l'utilisateur et les stocke pour permettre à un pirate d'y accéder.

L'authentification unique vous convient-elle ?

Il ne fait aucun doute que l'authentification unique élimine un grand nombre de risques et de points faibles pour les organisations dotées d'une technologie complexe. La possibilité d'éliminer une mauvaise hygiène des mots de passe en tant que facteur de risque réduit considérablement l'exposition à toutes les attaques de piratage, à l'exception de celles qui sont les plus spécialisées et les plus sophistiquées. En outre, en réduisant le nombre de points faibles dans l'infrastructure de sécurité de l'organisation, les responsables techniques peuvent passer d'un mode réactif (corriger les vulnérabilités au fur et à mesure qu'elles sont révélées) à l'orientation des ressources vers une surveillance et des tests proactifs de la sécurité de leur organisation.

Conscientes de leurs avantages en termes de sécurité, de productivité et de commodité, de nombreuses solutions SaaS d'entreprise parmi les plus connues proposent l'intégration du SSO dans le cadre de leur service. Ainsi, l'intégration du SSO dans la stratégie informatique de votre entreprise est probablement la voie à suivre si vous êtes confronté à l'un des critères suivants :

Bien sûr, aucune solution unique ne peut jamais éliminer complètement les risques, et il est important d'être conscient que le SSO peut ne pas être approprié dans tous les scénarios. Par exemple, dans les organisations où de nombreux utilisateurs partagent ou peuvent accéder aux mêmes appareils ou terminaux, il y a un risque plus élevé que des utilisateurs non autorisés accèdent aux applications et aux données d'un autre utilisateur.

Que dois-je encore savoir ?

Bien que les risques de piratage soient considérablement réduits avec le SSO, le piratage réussi d'un seul utilisateur donnerait au pirate un accès illimité à toutes les données stockées dans toutes les applications auxquelles l'utilisateur a eu accès. Ainsi, les dirigeants qui optent pour la solution SSO peuvent réduire davantage leurs risques en adoptant les protocoles suivants :

Pour en savoir plus sur la manière dont Doodle s'intègre aux fournisseurs de Single Sign-On, veuillez nous contacter.