La gestion des accès et des identités, un des chantiers les plus importants de la sécurité informatique en entreprise

Par Ludovic Blin, secuobs.com
Le 21/10/2010

---

Résumé : La gestion des accès et des identités est un point névralgique de la sécurité du système d’informations. Face à la multiplication des terminaux, des utilisateurs potentiels et des risques, son rôle est de plus en plus important. - Lire l'article



La gestion des accès et des identités est un domaine particulièrement important de la sécurité informatique. En effet, de plus en plus d’authentifications sont nécessaires, allant de l’accès au réseau pour les collaborateurs sur site, à celui des télétravailleurs, en passant par les différents applicatifs de l’entreprise, qui parfois doivent être également mis à disposition des partenaires ou clients.

Lors d’une conférence plénière des Assises de la sécurité 2010, qui se sont déroulées au début du mois à Monaco, Enrique Salem, CEO de l’éditeur américain Symantec déclarait que son entreprise se tournait de plus en plus vers l’utilisateur et les informations. Un utilisateur devant pouvoir accéder aux informations qui le concerne, en toute sécurité, et depuis n’importe quel terminal.

Cette vision implique bien évidemment la mise en place de systèmes performants de gestion des accès et des identités, ainsi que la compatibilité des applicatifs des entreprises et organisations avec cette infrastructure. Le concept de fédération d’identités est au cœur de cette évolution, permettant aux infrastructures d’authentification de dialoguer avec leurs homologues d’autres organisations pour autoriser l’accès d’une personne à une application spécifique.

Plusieurs acteurs présents lors des assises ont ainsi effectué des annonces concernant la gestion des accès et des identités. Par exemple, la société française Dictao a lancé une plate-forme d’authentification multicanal et multimoyen dénommée Dictao Access Control Server. Cette dernière est certifiée par Visa et Mastercard et basée sur un produit certifié EAL3+ par l’ANSSI. Elle peut utiliser plusieurs moyens d’authentification comme les certificats, la biométrie ou encore les OTP et est également compatible 3D-Secure (fonction permettant une authentification supplémentaire lors de paiements en ligne « a risque »). Le choix des méthodes d’authentification nécessaires en fonction d’un score de risque paraît être une évolution de bon sens et probablement efficace (d’autant plus qu’elle est imprévisible).

L’éditeur de logiciels américain CA Technologies vient ainsi quant à lui de finaliser le rachat de son partenaire Arcot, spécialiste du domaine, qui édite également un service d’authentification disponible également sous forme de SaaS (Software as a Service). « Cette technologie, qui sécurise 9 millions de transactions par jour aux US, permet, entre autres, une authentification basée sur le risque » déclare Arnaud Gallut, directeur commercial sécurité pour CA Technologies.

Mais l’implémentation de tels projets sur toute la surface d’une organisation requiert des compétences autres que techniques. En effet, l’aspect méthodologique voire diplomatique est essentiel à la réalisation efficace d’un projet, à coté d’une bonne dose de bon sens et de compétences métiers. Eric Boulay, PDG de la société de conseil Arismore, spécialisée dans la mise en place de projets au sein de grandes entreprises (notamment dans le domaine de la gestion des identités) nous le confirme : « Il faut un équilibre entre les aspects métiers et les aspects informatiques, de manière à mettre le projet sur une bonne trajectoire ».
Si la vision de Enrique Salem semble juste, son implémentation devrait ainsi probablement prendre un certain temps.

Par ailleurs, le fait de faire reposer l’ensemble d’une infrastructure sur un seul service d’authentification peut éventuellement créer un « single point of failure », dans le principe tout du moins. De la même manière, en fonction du degré de sensibilité de l’infrastructure et des activités de l’organisation, le recourt à un prestataire externe pour ce type de service (et son choix) doit être particulièrement analysé.

La société Dictao : lien
La société CA Technologies : lien
La société Arismore : lien