La technologie d'authentification multi-facteur pour la protection de l'identité et des accès aux réseaux informatiques est l'élément clé du futur de la sécurité d'entreprise. Grace à sa connaissance approfondie et son expertise, Gemalto a identifié les étapes pour mettre en application avec succès l'authentification forte au sein de vos entreprises.
Guide de mise en oeuvre de l'authentification forte
1. IDENTITY & ACCESS
Guide de mise en oeuvre de
l'Authentification Forte
2. L’Authentification Forte
Une authentification forte, aussi sûre que pratique, et qui protège les
identités et l’accès à l’infrastructure informatique, voilà l’un des enjeux
majeurs de la sécurité future des entreprises. Rien que pour le secteur
bancaire, Gemalto a participé à plus de 150 projets de déploiement de
solutions d’authentification à grande échelle pour des institutions
financières implantées dans quelque 30 pays, ce qui représente environ
50 millions de dispositifs d’authentification livrés directement à nos
clients.
Grâce à nos connaissances et à notre expérience de la sécurité
numérique, mais aussi à notre position de leader mondial du marché,
nous avons été amenés à identifier quelques unes des principales étapes
à suivre pour réussir l’introduction d’un système d’authentification forte
dans votre entreprise ou votre PME. Ces différentes étapes sont
détaillées dans ce guide.
Étape 1: Comprendre les risques
Les risques liés à la sécurité informatique sont en pleine évolution et de plus en plus complexes. Êtes-vous certain de
ne pas vous être fait distancer ?
Les actualités récentes ne manquent pas d’histoires d’intrusions dans des systèmes informatiques et de défaillances
des dispositifs de sécurité.
Dans ce que certains ont appelés le «casse du siècle», des cybercriminels se sont introduits dans les bases de
données Epsilon, l’un des plus importants fournisseurs d’emails marketing au monde, qui au moment des
faits gérait plus de 40 milliards d’emails par an pour plus de 2 200 marques mondialement reconnues, telles
que Verizon Communications, les hôtels Hilton, Kraft Foods, Kroger Company et AstraZeneca.
Les protocoles de sécurité Internet et certaines des fonctionnalités des navigateurs plébiscitées par les
internautes, comme le cadenas et la barre d’identification de site verte, sont largement dépendants des
certificats de confiance. Récemment, un émetteur italien de certificats de sécurité Internet autorisés par
Comodo a été victime d’un piratage, et de faux certificats, qui pourraient permettre aux hackers de se faire
passer pour des entreprises informatiques de renom comme Google et Microsoft, sont actuellement en
circulation.
3. Certains «hacktivistes» se sont introduits dans les systèmes informatiques de plusieurs organisations de
premier plan, telles que le Fonds monétaire international, le site Internet du Sénat américain, le réseau
PlayStation de Sony, PBS et Fox News, pour publier des déclarations politiques ou, tout simplement comme
dans le cas du groupe LulzSec, juste pour ridiculiser la sécurité.
Outre ces attaques retentissantes, chaque mois, de nombreuses entreprises ou organisations de moindre
envergure révèlent des actes de piratage similaires, mais ce n’est probablement que la partie émergée de
l’iceberg. Parmi les exemples récents, on peut citer le Executive Office of Labor and Workforce Development
(Bureau exécutif du travail et du développement de la main d’oeuvre) du Massachusetts, L’Université d’État de
Pennsylvanie, l’IEEE (Institute of Electrical and Electronics Engineers) et WordPress, qui a déclaré que 18
millions des mots de passe de ses sites communautaires avaient pu être exposés aux hackers.
Le paysage des menaces informatiques a connu des bouleversements considérables ces dernières années, ce qui
explique la progression actuelle des attaques. Les cybercriminels s’infiltrent de plus en plus facilement au coeur des
points terminaux pour télécharger des chevaux de Troie, logiciels espions et autres programmes malveillants sur vos
ordinateurs ou portables et y dérober vos mots de passe de connexion. Voici certaines des raisons pour lesquelles la
sécurité des points terminaux est de plus en plus vulnérable:
Les défenses anti-virus basées sur les signatures sont de moins en moins efficaces, car les développeurs de
logiciels malveillants parviennent désormais à faire muter leurs virus avec un taux de fréquence
particulièrement élevé. En fait, chaque jour, tout est à recommencer.
Les kits de piratage comme ZeuS et SpyEye permettent aux hackers de constituer facilement des réseaux de
robots, ou ordinateurs zombies, afin de lancer des attaques ciblées.
Les hackers sont désormais capables de mettre au point des attaques complexes, ciblées et persistantes,
mieux connues sous le terme anglais «Advanced Persistent Threat» (APT).
Si on analysait un par un les cas d’intrusion, on s’apercevrait que le point commun qui permet aux cybercriminels de
pénétrer les réseaux informatiques est une confiance excessive en l’authentification par mot de passe. Il suffit de
s’attaquer à un seul membre du réseau et de lui dérober son mot de passe pour mettre un pied dans l’infrastructure
informatique. De cette position, il est alors facile d’atteindre des cibles plus intéressantes, comme les administrateurs
système, afin de créer des comptes d’administration. Si l’authentification des administrateurs système se fait
uniquement via la saisie d’un mot de passe, les hackers n’ont aucune difficulté à créer des comptes ou accéder aux
fichiers pour copier leurs données, y compris les informations personnelles sensibles ou les éléments de propriétés
intellectuelles.
Comprendre la menace devrait vous amener à vous poser de vraies questions à propos de votre stratégie de sécurité:
Votre sécurité dépend-t-elle de la confidentialité des mots de passe?
Avez-vous besoin de renforcer la sécurité des accès réseaux?
4. Êtes-vous dépendant de logiciels anti-virus qui reposent uniquement sur l’analyse des signatures, ce qui vous
rend vulnérable?
Votre sécurité repose-t-elle sur la conviction qu’aucun de vos employés, ni aucun membre de sa famille, ne
sera victime d’une attaque par hameçonnage?
Étape 2: Examiner comment l’authentification forte peut
renforcer la sécurité à couches multiples
L’authentification forte ou authentification multi-facteurs repose sur la
vérification de deux formes différentes d’identités. Un exemple de véritable
authentification forte serait de demander à un utilisateur d’insérer sa carte
à puce (quelque chose qu’il possède) dans un lecteur, puis de saisir un code
PIN ou un mot de passe (quelque chose qu’il connaît) afin de déverrouiller
les accréditations et d’accéder à un réseau sécurisé. Si, en plus, il doit
poser son doigt (quelque chose qu’il est) sur un lecteur biométrique, cela
constituerait un troisième facteur de vérification. Chaque niveau de
vérification de l’identité ajoute une couche supplémentaire de protection.
La technologie de l’authentification forte étaye considérablement la
structure de la sécurité à couches multiples, car cela ajoute « quelque chose que l’on possède » au processus de
vérification des identités. Un hacker qui déroberait des mots de passe ou tenterait de créer ses propres comptes
d’administration serait bloqué par le dispositif d’authentification forte associé à l’identité qu’il souhaite utiliser.
Lorsqu’il est bien conçu, le second facteur d’authentification est pratiquement impossible à dupliquer.
De nombreux chefs de file de la technologie de l’information recommandent de recourir aux solutions
d’authentification forte pour renforcer l’infrastructure informatique. Par exemple, le modèle Core Infrastructure
Optimization (IO) de Microsoft est un processus structuré qui aide les entreprises à mieux appréhender la globalité de
leur infrastructure pour améliorer sa sécurisation, optimiser sa gestion et dynamiser son efficacité, ce qui permettra
au final de réduire les coûts informatiques, maximiser l’utilisation des ressources informatiques et transformer
l’informatique en atout stratégique pour l’entreprise.
Dans le cadre d’une discussion à propos de la gestion des identités et de la sécurité, Microsoft a déclaré
«Connaissons-nous le coût associé aux demandes quotidiennes de réinitialisation de mots de passe ? L’industrie de
l’informatique a été confrontée à cette question pendant des décennies, et la solution la plus commune (l’utilisateur
choisit un mot de passe simplifié) constitue la principale cause des défaillances des systèmes de sécurité.»
Parmi de nombreuses autres recommandations, ce modèle préconise l’utilisation d’une authentification forte, de
certificats PKI et de cartes à puce via la mise en oeuvre d’une infrastructure de gestion des identités basée sur
Microsoft Forefront Identity Manager. Plus précisément, cette gestion des accréditations devra:
5. Permettre aux utilisateurs de réinitialiser eux-mêmes leurs mots de passe via la fenêtre d’ouverture de
session Windows et le portail de réinitialisation de mots de passe Forefront Identity Manager, afin de réduire
les coûts d’assistance technique;
Faciliter la mise en oeuvre d’une authentification forte grâce à une gestion intégrée des cartes à puce et des
certificats;
Accroître la sécurité des accès avec des solutions qui vont au-delà de la simple saisie d’un identifiant et d’un
mot de passe;
Simplifier la gestion des certificats et des cartes à puce grâce à Forefront Identity Manager;
Renforcer la sécurité des accès distants via l’utilisation de certificats NAP (protection d’accès réseau);
Incorporer une authentification forte basée sur des certificats pour la gestion et l’accès aux comptes
administrateurs;
Contrôler les coûts d’assistance en permettant aux utilisateurs finaux de gérer certains aspects de leurs
identités personnelles;
Améliorer la sécurité et la conformité tout en autorisant la gestion d’identifiants et de mots de passe
multiples.
L’organisme américain de normalisation, le National Institute of Standards and Technology (NIST), recommande
également l’adoption de l’authentification forte et de cartes à puce basées sur des certificats PKI pour augmenter les
niveaux de confiance des identités.
En réponse à la directive Homeland Security Presidential Directive 12 (HSPD-12), qui exigeait la mise en place d’une
gestion des identités numériques et d’accréditations de sécurité particulièrement sécurisées pour l’ensemble du
gouvernement fédéral des États-Unis, NIST a élaboré un ensemble de règles pour l’authentification forte ainsi qu’une
définition des différents niveaux d’assurance des identités. Ces travaux déterminent les accréditations d’identités
sécurisées du gouvernement fédéral pour la carte PIV (Personal Identity Verification) émise pour l’ensemble des
employés et des sous-traitants fédéraux.
Cette norme définit quatre niveaux d’assurance, allant d’un niveau de confiance «faible» à «très élevé». Ce niveau
d’assurance est mesuré en fonction de la rigueur du processus de validation des identités, de la robustesse des
accréditations et des processus de gestion appliqués par le prestataire. Les cartes à puce basées sur des certificats
PKI sont classées au niveau 3 (élevé), soit le même niveau que les cartes PIV et les cartes d’accès commun (CAC),
l’équivalent du département de la défense des États-Unis.
Les normes et autres documents techniques cités ci-après sont accessibles au public et constituent d’excellentes
références sur le sujet de l’authentification forte et de l’assurance des identités:
6. Special Publication 800-63, Electronic Authentication
Guideline: directives de l’authentification électronique
publiées par le NIST (en anglais)
Federal Information Processing Standards Publication
201-1, Personal Identity Verification (PIV) of Federal
Employees and Contractors: norme relative à la
vérification des identités personnelles pour les employés
et les sous-traitants du gouvernement des États-Unis (en
anglais)
Federal Identity, Credential, and Access Management
(FICAM) Roadmap and Implementation Guidance: guide de mise en oeuvre et feuille de route de la gestion des
identités, accréditations et accès pour le gouvernement des États-Unis (en anglais)
L’authentification forte est une solution simple et peu onéreuse pour:
Réduire les risques d’usurpation d’identités pour les comptes sensibles;
Sécuriser l’accès à distance des travailleurs mobiles;
Simplifier les procédures en éliminant le besoin de recourir à des systèmes complexes et coûteux de
protection par mots de passe;
Étape 3: Tenir compte des besoins de vos utilisateurs
Au moment d’évaluer la façon la plus efficace pour introduire un système d’authentification forte, commencez par
décider qui vous souhaitez protéger et quelles sont les activités qui doivent être sécurisées. Par exemple, tout le
monde dans une entreprise n’a pas besoin du même niveau d’accès aux informations stratégiques. Un accès à la
messagerie électronique et à l’outil GRC suffit sans aucun doute pour un commercial travaillant à distance. En
revanche, pour un cadre supérieur en déplacement, les exigences en termes d’accès seront bien plus importantes, et
il est plus que probable que l’information à laquelle il devra accéder soit considérée comme hautement sensible. Dans
une telle configuration, une approche modulaire à plusieurs niveaux s’avère idéale pour fournir une protection
adéquate et personnalisée.
Offrir aux travailleurs mobiles un accès sécurisé aux ressources de l’entreprise peut présenter un avantage vis-à-vis
de la concurrence, leur permettant notamment d’être plus réactifs face aux questions des clients ou aux propositions
commerciales. Toutefois, bien que la mobilité soit souvent synonyme d’augmentation de la productivité et
d’amélioration du service client, cela représente également un risque significatif en termes de sécurité. En effet, avec
7. la multiplication des points d’entrée au réseau, le nouveau défi auquel doivent répondre les experts de la sécurité
informatique est de trouver un équilibre entre sécurité et commodité.
Plusieurs outils sont actuellement à la disposition des experts de la sécurité informatique pour sécuriser les
connexions distantes. Les passerelles VPN, les infrastructures de contrôle d’accès réseau ainsi que les systèmes anti-intrusion
permettent de s’assurer que seules les personnes autorisées peuvent accéder aux données de l’entreprise.
Mais malgré la sophistication de ces systèmes de contrôle d’accès, la principale méthode de vérification utilisée reste,
la plupart du temps, la saisie d’un identifiant et d’un mot de passe. C’est comme si vous achetiez une Ferrari et que
vous décidiez d’installer un système de verrouillage des portes pour 2 CV. C’est tout simplement illogique.
Malgré la complexité des algorithmes, des listes de contrôle d’accès, de l’analyse du flux de données, etc., un intrus
peut tout de même facilement accéder au réseau sans être détecté s’il réussit à ouvrir une session à l’aide d’un
identifiant authentique. Afin d’atténuer ce risque, les entreprises ont élaboré des procédures de gestion des mots de
passe de plus en plus complexes et obligent leurs utilisateurs à les changer tous les 30 à 90 jours. Les mots de passe
des utilisateurs devenant extrêmement difficiles à deviner (à moins qu’ils ne soient notés sur un pense-bête), les
équipes de support informatique sont davantage sollicitées pour déverrouiller des comptes utilisateur et réinitialiser
des mots de passe, entraînant ainsi un surcoût financier et une perte de temps.
L’authentification forte présente également un autre avantage indéniable, celui de simplifier les procédures de travail
des employés. Ils n’ont désormais plus besoin de mémoriser une quantité innombrable de mots de passe qui ne
cessent de changer et de se compliquer.
Les cadres dirigeants constituent une autre catégorie distincte d’utilisateurs à protéger, car ils sont amenés à
manipuler des informations particulièrement sensibles, comme les fusions et acquisitions, les prévisions financières
de l’entreprise et les projets d’investissement. Voici quelques unes des exigences à prendre en compte pour ce groupe
d’utilisateurs:
Chiffrement/Déchiffrement sécurisé des messages électroniques
Signature numérique des documents électroniques
Authentification forte pour le cryptage du disque dur
Accès local et distant à facteurs multiples
De même, les administrateurs systèmes ont non seulement des besoins uniques, mais devraient être parmi les
premiers à devoir appliquer les principes de l’authentification forte au sein de toute entreprise. L’objectif ultime de
tout hacker est d’infiltrer sa cible via le compte administrateur du système, pour pouvoir ensuite créer son propre
compte d’administrateur. À ce stade, il peut pratiquement faire tout ce qu’il veut du système ou du réseau.
Une manière efficace d’empêcher ce type d’attaque est d’exiger des administrateurs système qu’ils utilisent un
dispositif d’authentification forte avant de procéder à certaines modifications, comme la création de nouveaux comptes
d’administrateur.
8. Nous pourrions vous présenter de nombreux autres exemples, mais l’essentiel est d’examiner les différents cas
d’utilisation au sein de votre entreprise. Cela vous aidera ensuite à définir les solutions techniques qui répondront à
vos différents besoins.
Étape 4: Miser sur l’existant
Au moment de planifier la mise en oeuvre de l’authentification forte, vous devez examiner comment l’intégrer à vos
systèmes informatiques et dispositifs de sécurité. Afin de vous aider dans cette démarche, Gemalto s’est associé à
certains éditeurs informatiques de renom comme Microsoft, Citrix et Adobe.
Gemalto a simplifié au maximum la procédure d’installation de son serveur Protiva à authentification forte sur
l’infrastructure existante. Il peut-être installé en moins de 10 minutes pour une configuration initiale. Ce serveur est,
en outre, compatible avec les principaux magasins d’identités, comme Microsoft Active Directory, et peut synchroniser
rapidement les informations existantes relatives à l’utilisateur pour générer, par exemple, la suite aléatoire de
caractères qui sera concaténée au mot de passe à usage unique, ou One Time Password (OTP).
Une autre solution consiste à associer des services hébergés à la structure existante, ce qui permet, non seulement,
de simplifier et d’accélérer le processus de mise en oeuvre, mais également de diminuer le montant de
l’investissement initial. Gemalto offre notamment d’héberger son serveur Protiva SA Server, pour faciliter l’intégration
de l’infrastructure existante.
Au cas où vous auriez déjà déployé d’autres dispositifs de sécurité, vous souhaiterez sans doute opérer une transition
progressive des systèmes existants. La solution OTP de Gemalto coexistera sans problème avec vos autres systèmes
d’authentification dans cette phase de transition.
Vous devez donc définir avec attention les applications que vous souhaitez utiliser avec votre nouveau système
d’authentification forte. La solution d’authentification forte Gemalto supporte nativement la plupart des programmes
communément utilisés, comme Microsoft Windows, Microsoft Office, Adobe Reader et Citrix Presentation Manager.
Gemalto propose également une API pour l’intégration de son serveur Protiva SA aux applications existantes.
Étape 5: Opter pour une technologie flexible
Tous les utilisateurs ne sont pas égaux. Comme nous l’avons souligné précédemment, il existe, au sein d’une même
entreprise, divers rôles auxquels sont associés différents droits d’accès. Pour simplifier, cela signifie qu’une approche
technologique unique ne pourra pas répondre à toutes vos exigences en matière d’authentification forte.
C’est la raison pour laquelle Gemalto a développé une gamme complète d’options d’authentification forte. Les options
proposées vont de la technologie OTP (mot de passe à usage unique) à des solutions de gestion des identités basées
sur des certificats, qui autorisent le chiffrement des données et l’émission de signatures numériques. Grâce à cette
large gamme d’options à votre disposition, vous êtes assurés de disposer de la technologie adéquate pour répondre à
chacun des besoins spécifiques à votre entreprise.
9. Au moment de rechercher quelle technologie d’authentification forte implémenter, vous devez prendre en compte les
exigences suivantes:
Solutions d’authentification forte à votre disposition, allant des dispositifs OTP aux cartes à puce basées sur
des certificats PKI
Différents facteurs de forme disponibles, y compris dispositifs de gestion des identités (cartes), dispositifs OTP
non connectés, tokens USB à double usage (connectés/non connectés) et applications OTP sur téléphone
portable
Prise en charge des standards de l’industrie (par ex., OATH pour OTP)
Plate-forme de type serveur pour faciliter la mise en oeuvre
Serveur d’authentification d’une grande flexibilité prenant en charge une gamme complète de dispositifs et de
technologies d’authentification, des tokens OTP aux cartes à puce basées sur des certificats PKI
Capacité à définir et à appliquer des politiques d’authentification basées sur les risques, afin d’optimiser le
niveau de sécurité requis pour certains types de connexions et de refuser ou réduire l’accès pour certains
types de transactions
Disponibilité de dispositifs externalisés basés sur le Cloud
Solutions de sécurisation du «Cloud Computing»
Étape 6: Débuter avec la technologie OTP
La technologie OTP s’avère idéale pour une sécurisation rapide de votre réseau, notamment si vous souhaitez
autoriser vos utilisateurs distants à accéder aux ressources informatiques.
La sécurisation de l’accès à votre réseau grâce à l’utilisation de la technologie OTP augmente le
niveau de sécurité par rapport à une connexion à l’aide d’un simple identifiant et mot de passe.
Lorsque l’utilisateur souhaite accéder aux ressources stockées sur le réseau de votre entreprise,
il lui suffit de saisir son identifiant ainsi que le code numérique fourni par son dispositif OTP. Le
serveur d’authentification valide alors ce code, et autorise l’accès aux données du réseau. Ceci
permet de renforcer la sécurité du processus de connexion en
s’assurant que la personne qui accède au réseau est en possession de
deux facteurs d’identification. Dans ce cas, le dispositif OTP est «
quelque chose que vous possédez », et l’identifiant et, le cas échéant, le
10. mot de passe, sont « quelque chose que vous connaissez ». Cela signifie que personne ne pourra simplement trouver
un mot de passe en raison d’une négligence ou d’une attaque de type ingénierie sociale. Pour accéder aux
informations, le hacker aura non seulement besoin de l’identifiant et du mot de passe de l’utilisateur, mais aussi de
son dispositif OTP.
La mise en oeuvre d’un système de sécurité basé sur la technologie OTP présente deux avantages principaux:
Cela permet de résoudre les problèmes liés au VPN. La technologie OTP élimine la nécessité d’installer un
client VPN, en recourant à la place à la fonctionnalité Direct Access de Windows 7
Cela permet aux employés d’utiliser leur téléphone portable comme dispositif OTP, quelque chose qui est déjà
en leur possession
En outre, les applications OTP sur téléphones portables permettent aux entreprises de conserver la maîtrise de la
gestion de leurs codes d’accès via des méthodes d’attribution automatique comme celles spécifiées dans les normes
OATH éditées par l’IETF (en anglais). Ce procédé permet aux entreprises de ne plus dépendre de la capacité de leur
fournisseur de codes secrets à maintenir la confidentialité de leurs systèmes. L’utilisation d’un téléphone autorise
également la validation du code PIN par l’utilisateur lors du processus d’authentification OTP, renforçant davantage la
sécurité et la vérification des identités.
Étape 7: Passer à une gestion des identités basées sur des
certificats PKI
Alors que l’authentification OTP pour l’accès réseau constitue déjà une avancée notable en termes de sécurité,
l’authentification basée sur des certificats place la barre encore plus haut.
Comme nous l’avons vu précédemment, certains des référentiels les plus connus, comme le modèle Core IO de
Microsoft, les directives d’authentification du gouvernement fédéral américain et la norme FIPS 201, recommandent
de recourir à des accréditations et des processus basés sur des certificats PKI et des cartes à puce pour améliorer les
niveaux de sécurité et d’assurance des identités.
Grâce à une gestion des identités cohérente qui inclut une base de
stockage des identifiants consolidée, des sources de données
adéquates et un système de génération des identifiants évolué,
l’authentification basée sur des certificats s’avère facile à déployer et
peu onéreuse.
Les solutions Protiva de Gemalto, basées sur des cartes à puce,
optimisent les avantages de l’infrastructure à clé publique (PKI) en
fournissant une authentification forte basée sur des certificats. Ces
solutions garantissent une authentification à double facteur, laquelle
repose sur un objet (carte à puce ou token) et une information (code PIN) détenus par l’utilisateur. Grâce à des
contrôles de sécurité qui permettent de vérifier l’identité de l’utilisateur avant l’émission de la carte à puce et de la
11. génération du certificat, vous pouvez être assurés que seul l’utilisateur authentique pourra accéder au réseau de
l’entreprise et à ses données sensibles.
Une fois la solution de gestion des identités basée sur des certificats déployée, diverses fonctionnalités
supplémentaires de sécurité peuvent être ajoutées telles que:
Chiffrement de fichiers – Une fois le problème de la sécurisation du stockage de données résolu, le cryptage
du disque dur doit être envisagé. Alors que la technologie OTP renforce la sécurité de l’accès réseau, cela
n’apporte aucune valeur ajoutée en termes de cryptage des disques durs. Toutefois, les dispositifs de sécurité
avec cartes à puce basées sur des certificats peuvent être utilisés conjointement avec des systèmes de
cryptage de disques durs, afin de fournir une authentification à facteurs multiples pour le déchiffrement des
fichiers sensibles et le décryptage des disques durs.
Chiffrement des messages électroniques – Ce procédé permet de sécuriser les informations sensibles qui
transitent via les messageries électroniques. En optimisant le processus de cryptographie au moment du
déploiement des cartes à puce, les messages cryptés peuvent être uniquement déchiffrés par le destinataire,
protégeant ainsi vos messageries des regards indiscrets.
Signature numérique – Internet a révolutionné l’ensemble des processus opérationnels de l’entreprise,
devenus plus rapides et moins coûteux. Cependant, ces économies pourraient s’avérer néfastes si les
signatures utilisées pour valider les documents ou autoriser les transactions n’étaient pas authentifiées. Les
signatures numériques créées à l’aide des solutions Protiva basées sur des cartes à puce et l’infrastructure à
clé publique (PKI) authentifient sans conteste vos documents virtuels, pour de véritables économies de temps
et d’argent.
Authentification mutuelle – Alors que les applications hébergées deviennent de plus en plus répandues,
l’instauration de contrôles stricts de sécurité, afin que le système authentifie l’utilisateur, mais aussi afin que
l’utilisateur soit capable d’authentifier le système, s’avère indispensable. Ce procédé offre un niveau de
sécurité supplémentaire qui garantit que l’information échangée en ligne est sécurisée et que l’utilisateur
communique uniquement avec l’application authentique.
Le déploiement de cartes à puce basées sur des certificats PKI met votre infrastructure informatique en conformité
avec les plus hauts niveaux d’authentification électronique recommandés par les experts de la sécurité comme
Microsoft et NIST.
Étape 8: Choisir entre l’infrastructure Microsoft ou les
standards ouverts
Lors du déploiement d’une solution de gestion des identités basée sur des certificats, vous avez le choix entre deux
procédés : l’accréditation des identités basées sur Java ou sur le .NET Framework. Ces deux procédés offrent un haut
12. niveau d’assurance de l’identité de l’utilisateur qui tente d’obtenir un accès logique au réseau. Ces produits basés sur
des cartes à puce peuvent être combinés à une technologie de proximité pour l’accès physique et à des processus
d’impression sécurisée pour l’identité visuelle.
Les cartes à puce basées sur le .NET Framework optimisent les fonctionnalités de gestion des cartes intégrées aux
systèmes d’exploitation Microsoft Server et Windows. Ce type de déploiement ne nécessite aucun middleware
supplémentaire pour la gestion des cartes. Entièrement intégrée à Microsoft Forefront Identity Manager (FIM), la
solution d’authentification basée sur des certificats .NET Framework est pratiquement «plug and play». En alternative
ou en complément de la vérification du code PIN, .NET Bio ajoute encore un niveau de sécurité supplémentaire avec
l’utilisation de la biométrie associée à la carte. Cette fonctionnalité est prise en charge par la technologie Windows
Biometric Framework de Windows 7.
Les cartes à puce basées sur Java sont développées selon des standards ouverts afin de garantir l’interopérabilité
avec les middleware les plus répandus, simplifiant ainsi le processus d’intégration. Cette solution, sélectionnée par le
Département de la défense des États-Unis, a servi à l’élaboration des cartes d’accès commun (CAC) utilisées par les
personnels militaires et des cartes PIV utilisées par les agences fédérales ne dépendant pas de l’armée. Fondées sur
la nature ouverte et sécurisée de cette plate-forme, d’autres applications ont été ajoutées à la gestion des identités,
comme le paiement et le porte-monnaie numériques.
Voici quelques conseils pour vous aider à faire votre choix:
Si votre principal objectif est la compatibilité avec votre base installée Microsoft, vous devez sérieusement
envisager l’utilisation de cartes basées sur le .NET Framework.
Si l’interopérabilité avec le gouvernement américain est un facteur important, les cartes PIV-I basées sur Java
(PIV – Interopérable) s’avèrent un meilleur choix.
Étape 9: Pour une mise en oeuvre rapide, utiliser des services
basés sur le Cloud ou des solutions proposées par nos
partenaires
Un moyen rapide pour se lancer est de recourir à un fournisseur de
technologies qui offre à la fois des services basés sur le Web et un réseau
de partenaires experts en sécurité. Gemalto dispose d’un réseau mondial
de partenaires dans le domaine de la sécurité qui vous aideront à planifier
et déployer vos solutions d’authentification forte.
Si vous pensez qu’en raison de la taille importante de votre entreprise les
services Web peuvent vous aider à simplifier et accélérer le déploiement
d’une solution d’authentification forte, nous vous conseillons d’étudier les
points suivants avec votre fournisseur de technologie:
13. Service complet de mise en oeuvre – Pourquoi se charger du stockage des tokens OTP ? Gemalto fournit un
service complet de mise en oeuvre de la technologie OTP, incluant la gestion des commandes, l’emballage,
l’expédition, le suivi et l’approvisionnement des dispositifs OTP (token ou display card). Pour les applications
OTP pour mobiles, Gemalto met à la disposition de ses clients un portail qui les redirige vers les sites de
téléchargement d’applications adaptés à leur téléphone (par exemple, Apple Store pour les applications sur
iPhone).
Aucune obligation de commandes groupée – GGemalto peut livrer les dispositifs OTP à l’unité directement à
l’utilisateur final ou procéder à des livraisons groupées vers un point de distribution centralisé.
Option de boutique en ligne – Si vous le souhaitez, Gemalto peut vous proposer une boutique en ligne
personnalisée, où vos utilisateurs pourront commander leur dispositif OTP et compléter les informations
d’expédition. Pour des questions de répartition des coûts, chaque dispositif ou lot acheté sur la boutique en
ligne est automatiquement affecté au centre de coûts rattaché à l’utilisateur.
Automatisation du processus de génération des algorithmes – En se synchronisant à un magasin d’identités
existant, le serveur SA relie simplement la suite de caractères aléatoires OTP au compte de l’utilisateur. Cela
permet à l’utilisateur d’activer lui même son mot de passe à usage unique dès réception de son dispositif OTP
ou téléchargement de l’application OTP pour mobiles.
Conclusion – L’authentification forte s’impose désormais
comme une meilleure pratique en matière de sécurité
informatique
Dans l’environnement économique actuel où sévit une concurrence acharnée et où les informations peuvent faire le
tour de la planète en quelques secondes, protéger les informations sensibles contre tout accès non autorisé devrait
être une préoccupation majeure pour toute entreprise. Autrement dit, l’authentification à l’aide d’un identifiant et d’un
mot de passe n’est pas un moyen sécurisé de protéger les informations d’une entreprise.
Cette dernière année, plusieurs cas de violation d’accès à des informations sensibles, mais aussi de divulgation de ces
mêmes informations au public, ont été révélés par des entreprises qui n’avaient pas encore mis en place de système
d’authentification forte. Tout cela doit nous conduire à une seule conclusion: l’authentification forte s’impose
désormais comme une meilleure pratique en matière de sécurité informatique.
14. Nous vous remercions de votre
attention
L’objectif de ce guide était de vous donner un aperçu des étapes
essentielles à suivre lors des phases d’étude et de déploiement
d’une solution d’authentification forte au sein de votre
entreprise ou de votre PME. Nous espérons vous avoir apporté
toute l’aide dont vous pourriez avoir besoin pour initier la
planification, éviter certains écueils et, surtout, mesurer tous
les choix possibles qui s’offrent à vous.
Quels points vous ont semblé les plus utiles ? De quelles
informations complémentaires auriez-vous besoin ? Nous
attendons vos commentaires et questions avec impatience.
Et, maintenant, quelle est la prochaine étape ? Tout d’abord,
distribuez ce guide à vos collègues. Abordez ce sujet avec vos
responsables et votre direction afin de vous assurer qu’ils sont
conscients de l’ampleur des menaces et qu’ils comprennent
l’intérêt de la mise en oeuvre d’une solution d’authentification
forte ainsi que les avantages que ce déploiement pourrait vous
apporter en matière de sécurité de votre infrastructure
informatique.
Lorsque le moment sera venu, contactez Gemalto. Notre
gamme de produits Protiva est composée d’un ensemble
complet de solutions d’authentification forte, allant du
générateur de mot de passe à usage unique aux cartes ou
tokens basés sur des certificats PKI. Notre serveur Protiva SA
est conçu pour s’intégrer en toute transparence à votre
infrastructure. En outre, Gemalto propose diverses options de
déploiement, afin de vous aider à passer d’une gestion interne à
des services basés sur le Cloud pour l’approvisionnement des
cartes.
Nous serions ravis de pouvoir vous conseiller à propos de votre
situation particulière et de vous renseigner davantage sur les
solutions que nous pouvons vous apporter. N’hésitez pas à nous
contacter. Nous serions heureux de pouvoir collaborer avec
vous.
Mobilité OTP
Les téléphones portables sont devenus
omniprésents, et les smartphones
continuent à gagner du terrain, en
particulier dans les pays développés. Ce
marché de la téléphonie est à l’origine
d’un nouveau débouché pour la
technologie OTP : transformer les
appareils mobiles en token OTP.
Il existe deux moyens pour y arriver. Le
premier consiste à utiliser la
fonctionnalité de SMS présente sur tous
les téléphones portables. L’utilisateur
pourra ainsi faire la demande d’un OTP
pour se connecter à une ressource
spécifique. Le réseau lui enverra ensuite
un SMS à l’aide du numéro de téléphone
stocké dans la base de données de
l’entreprise. Cette technique offre le
même niveau d’authentification forte
sans la nécessité de déployer des
équipements supplémentaires.
Le second moyen consiste à installer une
application sur le smartphone. Avec
l’explosion des boutiques en ligne,
Gemalto a développé une application
OTP compatible avec la plupart des
systèmes d’exploitation installés sur les
smartphones. Lorsqu’un utilisateur a
besoin d’un OTP pour une
authentification forte, il lui suffit de
lancer l’application qui générera un OTP,
sans pour autant devoir s’équiper d’un
appareil en plus.