Guide de mise en oeuvre de l'authentification forte

986 vues

Publié le

La technologie d'authentification multi-facteur pour la protection de l'identité et des accès aux réseaux informatiques est l'élément clé du futur de la sécurité d'entreprise. Grace à sa connaissance approfondie et son expertise, Gemalto a identifié les étapes pour mettre en application avec succès l'authentification forte au sein de vos entreprises.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
986
Sur SlideShare
0
Issues des intégrations
0
Intégrations
11
Actions
Partages
0
Téléchargements
48
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Guide de mise en oeuvre de l'authentification forte

  1. 1. IDENTITY & ACCESS Guide de mise en oeuvre de l'Authentification Forte
  2. 2. L’Authentification Forte Une authentification forte, aussi sûre que pratique, et qui protège les identités et l’accès à l’infrastructure informatique, voilà l’un des enjeux majeurs de la sécurité future des entreprises. Rien que pour le secteur bancaire, Gemalto a participé à plus de 150 projets de déploiement de solutions d’authentification à grande échelle pour des institutions financières implantées dans quelque 30 pays, ce qui représente environ 50 millions de dispositifs d’authentification livrés directement à nos clients. Grâce à nos connaissances et à notre expérience de la sécurité numérique, mais aussi à notre position de leader mondial du marché, nous avons été amenés à identifier quelques unes des principales étapes à suivre pour réussir l’introduction d’un système d’authentification forte dans votre entreprise ou votre PME. Ces différentes étapes sont détaillées dans ce guide. Étape 1: Comprendre les risques Les risques liés à la sécurité informatique sont en pleine évolution et de plus en plus complexes. Êtes-vous certain de ne pas vous être fait distancer ? Les actualités récentes ne manquent pas d’histoires d’intrusions dans des systèmes informatiques et de défaillances des dispositifs de sécurité.  Dans ce que certains ont appelés le «casse du siècle», des cybercriminels se sont introduits dans les bases de données Epsilon, l’un des plus importants fournisseurs d’emails marketing au monde, qui au moment des faits gérait plus de 40 milliards d’emails par an pour plus de 2 200 marques mondialement reconnues, telles que Verizon Communications, les hôtels Hilton, Kraft Foods, Kroger Company et AstraZeneca.  Les protocoles de sécurité Internet et certaines des fonctionnalités des navigateurs plébiscitées par les internautes, comme le cadenas et la barre d’identification de site verte, sont largement dépendants des certificats de confiance. Récemment, un émetteur italien de certificats de sécurité Internet autorisés par Comodo a été victime d’un piratage, et de faux certificats, qui pourraient permettre aux hackers de se faire passer pour des entreprises informatiques de renom comme Google et Microsoft, sont actuellement en circulation.
  3. 3.  Certains «hacktivistes» se sont introduits dans les systèmes informatiques de plusieurs organisations de premier plan, telles que le Fonds monétaire international, le site Internet du Sénat américain, le réseau PlayStation de Sony, PBS et Fox News, pour publier des déclarations politiques ou, tout simplement comme dans le cas du groupe LulzSec, juste pour ridiculiser la sécurité.  Outre ces attaques retentissantes, chaque mois, de nombreuses entreprises ou organisations de moindre envergure révèlent des actes de piratage similaires, mais ce n’est probablement que la partie émergée de l’iceberg. Parmi les exemples récents, on peut citer le Executive Office of Labor and Workforce Development (Bureau exécutif du travail et du développement de la main d’oeuvre) du Massachusetts, L’Université d’État de Pennsylvanie, l’IEEE (Institute of Electrical and Electronics Engineers) et WordPress, qui a déclaré que 18 millions des mots de passe de ses sites communautaires avaient pu être exposés aux hackers. Le paysage des menaces informatiques a connu des bouleversements considérables ces dernières années, ce qui explique la progression actuelle des attaques. Les cybercriminels s’infiltrent de plus en plus facilement au coeur des points terminaux pour télécharger des chevaux de Troie, logiciels espions et autres programmes malveillants sur vos ordinateurs ou portables et y dérober vos mots de passe de connexion. Voici certaines des raisons pour lesquelles la sécurité des points terminaux est de plus en plus vulnérable:  Les défenses anti-virus basées sur les signatures sont de moins en moins efficaces, car les développeurs de logiciels malveillants parviennent désormais à faire muter leurs virus avec un taux de fréquence particulièrement élevé. En fait, chaque jour, tout est à recommencer.  Les kits de piratage comme ZeuS et SpyEye permettent aux hackers de constituer facilement des réseaux de robots, ou ordinateurs zombies, afin de lancer des attaques ciblées.  Les hackers sont désormais capables de mettre au point des attaques complexes, ciblées et persistantes, mieux connues sous le terme anglais «Advanced Persistent Threat» (APT). Si on analysait un par un les cas d’intrusion, on s’apercevrait que le point commun qui permet aux cybercriminels de pénétrer les réseaux informatiques est une confiance excessive en l’authentification par mot de passe. Il suffit de s’attaquer à un seul membre du réseau et de lui dérober son mot de passe pour mettre un pied dans l’infrastructure informatique. De cette position, il est alors facile d’atteindre des cibles plus intéressantes, comme les administrateurs système, afin de créer des comptes d’administration. Si l’authentification des administrateurs système se fait uniquement via la saisie d’un mot de passe, les hackers n’ont aucune difficulté à créer des comptes ou accéder aux fichiers pour copier leurs données, y compris les informations personnelles sensibles ou les éléments de propriétés intellectuelles. Comprendre la menace devrait vous amener à vous poser de vraies questions à propos de votre stratégie de sécurité:  Votre sécurité dépend-t-elle de la confidentialité des mots de passe?  Avez-vous besoin de renforcer la sécurité des accès réseaux?
  4. 4.  Êtes-vous dépendant de logiciels anti-virus qui reposent uniquement sur l’analyse des signatures, ce qui vous rend vulnérable?  Votre sécurité repose-t-elle sur la conviction qu’aucun de vos employés, ni aucun membre de sa famille, ne sera victime d’une attaque par hameçonnage? Étape 2: Examiner comment l’authentification forte peut renforcer la sécurité à couches multiples L’authentification forte ou authentification multi-facteurs repose sur la vérification de deux formes différentes d’identités. Un exemple de véritable authentification forte serait de demander à un utilisateur d’insérer sa carte à puce (quelque chose qu’il possède) dans un lecteur, puis de saisir un code PIN ou un mot de passe (quelque chose qu’il connaît) afin de déverrouiller les accréditations et d’accéder à un réseau sécurisé. Si, en plus, il doit poser son doigt (quelque chose qu’il est) sur un lecteur biométrique, cela constituerait un troisième facteur de vérification. Chaque niveau de vérification de l’identité ajoute une couche supplémentaire de protection. La technologie de l’authentification forte étaye considérablement la structure de la sécurité à couches multiples, car cela ajoute « quelque chose que l’on possède » au processus de vérification des identités. Un hacker qui déroberait des mots de passe ou tenterait de créer ses propres comptes d’administration serait bloqué par le dispositif d’authentification forte associé à l’identité qu’il souhaite utiliser. Lorsqu’il est bien conçu, le second facteur d’authentification est pratiquement impossible à dupliquer. De nombreux chefs de file de la technologie de l’information recommandent de recourir aux solutions d’authentification forte pour renforcer l’infrastructure informatique. Par exemple, le modèle Core Infrastructure Optimization (IO) de Microsoft est un processus structuré qui aide les entreprises à mieux appréhender la globalité de leur infrastructure pour améliorer sa sécurisation, optimiser sa gestion et dynamiser son efficacité, ce qui permettra au final de réduire les coûts informatiques, maximiser l’utilisation des ressources informatiques et transformer l’informatique en atout stratégique pour l’entreprise. Dans le cadre d’une discussion à propos de la gestion des identités et de la sécurité, Microsoft a déclaré «Connaissons-nous le coût associé aux demandes quotidiennes de réinitialisation de mots de passe ? L’industrie de l’informatique a été confrontée à cette question pendant des décennies, et la solution la plus commune (l’utilisateur choisit un mot de passe simplifié) constitue la principale cause des défaillances des systèmes de sécurité.» Parmi de nombreuses autres recommandations, ce modèle préconise l’utilisation d’une authentification forte, de certificats PKI et de cartes à puce via la mise en oeuvre d’une infrastructure de gestion des identités basée sur Microsoft Forefront Identity Manager. Plus précisément, cette gestion des accréditations devra:
  5. 5.  Permettre aux utilisateurs de réinitialiser eux-mêmes leurs mots de passe via la fenêtre d’ouverture de session Windows et le portail de réinitialisation de mots de passe Forefront Identity Manager, afin de réduire les coûts d’assistance technique;  Faciliter la mise en oeuvre d’une authentification forte grâce à une gestion intégrée des cartes à puce et des certificats;  Accroître la sécurité des accès avec des solutions qui vont au-delà de la simple saisie d’un identifiant et d’un mot de passe;  Simplifier la gestion des certificats et des cartes à puce grâce à Forefront Identity Manager;  Renforcer la sécurité des accès distants via l’utilisation de certificats NAP (protection d’accès réseau);  Incorporer une authentification forte basée sur des certificats pour la gestion et l’accès aux comptes administrateurs;  Contrôler les coûts d’assistance en permettant aux utilisateurs finaux de gérer certains aspects de leurs identités personnelles;  Améliorer la sécurité et la conformité tout en autorisant la gestion d’identifiants et de mots de passe multiples. L’organisme américain de normalisation, le National Institute of Standards and Technology (NIST), recommande également l’adoption de l’authentification forte et de cartes à puce basées sur des certificats PKI pour augmenter les niveaux de confiance des identités. En réponse à la directive Homeland Security Presidential Directive 12 (HSPD-12), qui exigeait la mise en place d’une gestion des identités numériques et d’accréditations de sécurité particulièrement sécurisées pour l’ensemble du gouvernement fédéral des États-Unis, NIST a élaboré un ensemble de règles pour l’authentification forte ainsi qu’une définition des différents niveaux d’assurance des identités. Ces travaux déterminent les accréditations d’identités sécurisées du gouvernement fédéral pour la carte PIV (Personal Identity Verification) émise pour l’ensemble des employés et des sous-traitants fédéraux. Cette norme définit quatre niveaux d’assurance, allant d’un niveau de confiance «faible» à «très élevé». Ce niveau d’assurance est mesuré en fonction de la rigueur du processus de validation des identités, de la robustesse des accréditations et des processus de gestion appliqués par le prestataire. Les cartes à puce basées sur des certificats PKI sont classées au niveau 3 (élevé), soit le même niveau que les cartes PIV et les cartes d’accès commun (CAC), l’équivalent du département de la défense des États-Unis. Les normes et autres documents techniques cités ci-après sont accessibles au public et constituent d’excellentes références sur le sujet de l’authentification forte et de l’assurance des identités:
  6. 6.  Special Publication 800-63, Electronic Authentication Guideline: directives de l’authentification électronique publiées par le NIST (en anglais)  Federal Information Processing Standards Publication 201-1, Personal Identity Verification (PIV) of Federal Employees and Contractors: norme relative à la vérification des identités personnelles pour les employés et les sous-traitants du gouvernement des États-Unis (en anglais)  Federal Identity, Credential, and Access Management (FICAM) Roadmap and Implementation Guidance: guide de mise en oeuvre et feuille de route de la gestion des identités, accréditations et accès pour le gouvernement des États-Unis (en anglais)  L’authentification forte est une solution simple et peu onéreuse pour:  Réduire les risques d’usurpation d’identités pour les comptes sensibles;  Sécuriser l’accès à distance des travailleurs mobiles;  Simplifier les procédures en éliminant le besoin de recourir à des systèmes complexes et coûteux de protection par mots de passe; Étape 3: Tenir compte des besoins de vos utilisateurs Au moment d’évaluer la façon la plus efficace pour introduire un système d’authentification forte, commencez par décider qui vous souhaitez protéger et quelles sont les activités qui doivent être sécurisées. Par exemple, tout le monde dans une entreprise n’a pas besoin du même niveau d’accès aux informations stratégiques. Un accès à la messagerie électronique et à l’outil GRC suffit sans aucun doute pour un commercial travaillant à distance. En revanche, pour un cadre supérieur en déplacement, les exigences en termes d’accès seront bien plus importantes, et il est plus que probable que l’information à laquelle il devra accéder soit considérée comme hautement sensible. Dans une telle configuration, une approche modulaire à plusieurs niveaux s’avère idéale pour fournir une protection adéquate et personnalisée. Offrir aux travailleurs mobiles un accès sécurisé aux ressources de l’entreprise peut présenter un avantage vis-à-vis de la concurrence, leur permettant notamment d’être plus réactifs face aux questions des clients ou aux propositions commerciales. Toutefois, bien que la mobilité soit souvent synonyme d’augmentation de la productivité et d’amélioration du service client, cela représente également un risque significatif en termes de sécurité. En effet, avec
  7. 7. la multiplication des points d’entrée au réseau, le nouveau défi auquel doivent répondre les experts de la sécurité informatique est de trouver un équilibre entre sécurité et commodité. Plusieurs outils sont actuellement à la disposition des experts de la sécurité informatique pour sécuriser les connexions distantes. Les passerelles VPN, les infrastructures de contrôle d’accès réseau ainsi que les systèmes anti-intrusion permettent de s’assurer que seules les personnes autorisées peuvent accéder aux données de l’entreprise. Mais malgré la sophistication de ces systèmes de contrôle d’accès, la principale méthode de vérification utilisée reste, la plupart du temps, la saisie d’un identifiant et d’un mot de passe. C’est comme si vous achetiez une Ferrari et que vous décidiez d’installer un système de verrouillage des portes pour 2 CV. C’est tout simplement illogique. Malgré la complexité des algorithmes, des listes de contrôle d’accès, de l’analyse du flux de données, etc., un intrus peut tout de même facilement accéder au réseau sans être détecté s’il réussit à ouvrir une session à l’aide d’un identifiant authentique. Afin d’atténuer ce risque, les entreprises ont élaboré des procédures de gestion des mots de passe de plus en plus complexes et obligent leurs utilisateurs à les changer tous les 30 à 90 jours. Les mots de passe des utilisateurs devenant extrêmement difficiles à deviner (à moins qu’ils ne soient notés sur un pense-bête), les équipes de support informatique sont davantage sollicitées pour déverrouiller des comptes utilisateur et réinitialiser des mots de passe, entraînant ainsi un surcoût financier et une perte de temps. L’authentification forte présente également un autre avantage indéniable, celui de simplifier les procédures de travail des employés. Ils n’ont désormais plus besoin de mémoriser une quantité innombrable de mots de passe qui ne cessent de changer et de se compliquer. Les cadres dirigeants constituent une autre catégorie distincte d’utilisateurs à protéger, car ils sont amenés à manipuler des informations particulièrement sensibles, comme les fusions et acquisitions, les prévisions financières de l’entreprise et les projets d’investissement. Voici quelques unes des exigences à prendre en compte pour ce groupe d’utilisateurs:  Chiffrement/Déchiffrement sécurisé des messages électroniques  Signature numérique des documents électroniques  Authentification forte pour le cryptage du disque dur  Accès local et distant à facteurs multiples De même, les administrateurs systèmes ont non seulement des besoins uniques, mais devraient être parmi les premiers à devoir appliquer les principes de l’authentification forte au sein de toute entreprise. L’objectif ultime de tout hacker est d’infiltrer sa cible via le compte administrateur du système, pour pouvoir ensuite créer son propre compte d’administrateur. À ce stade, il peut pratiquement faire tout ce qu’il veut du système ou du réseau. Une manière efficace d’empêcher ce type d’attaque est d’exiger des administrateurs système qu’ils utilisent un dispositif d’authentification forte avant de procéder à certaines modifications, comme la création de nouveaux comptes d’administrateur.
  8. 8. Nous pourrions vous présenter de nombreux autres exemples, mais l’essentiel est d’examiner les différents cas d’utilisation au sein de votre entreprise. Cela vous aidera ensuite à définir les solutions techniques qui répondront à vos différents besoins. Étape 4: Miser sur l’existant Au moment de planifier la mise en oeuvre de l’authentification forte, vous devez examiner comment l’intégrer à vos systèmes informatiques et dispositifs de sécurité. Afin de vous aider dans cette démarche, Gemalto s’est associé à certains éditeurs informatiques de renom comme Microsoft, Citrix et Adobe. Gemalto a simplifié au maximum la procédure d’installation de son serveur Protiva à authentification forte sur l’infrastructure existante. Il peut-être installé en moins de 10 minutes pour une configuration initiale. Ce serveur est, en outre, compatible avec les principaux magasins d’identités, comme Microsoft Active Directory, et peut synchroniser rapidement les informations existantes relatives à l’utilisateur pour générer, par exemple, la suite aléatoire de caractères qui sera concaténée au mot de passe à usage unique, ou One Time Password (OTP). Une autre solution consiste à associer des services hébergés à la structure existante, ce qui permet, non seulement, de simplifier et d’accélérer le processus de mise en oeuvre, mais également de diminuer le montant de l’investissement initial. Gemalto offre notamment d’héberger son serveur Protiva SA Server, pour faciliter l’intégration de l’infrastructure existante. Au cas où vous auriez déjà déployé d’autres dispositifs de sécurité, vous souhaiterez sans doute opérer une transition progressive des systèmes existants. La solution OTP de Gemalto coexistera sans problème avec vos autres systèmes d’authentification dans cette phase de transition. Vous devez donc définir avec attention les applications que vous souhaitez utiliser avec votre nouveau système d’authentification forte. La solution d’authentification forte Gemalto supporte nativement la plupart des programmes communément utilisés, comme Microsoft Windows, Microsoft Office, Adobe Reader et Citrix Presentation Manager. Gemalto propose également une API pour l’intégration de son serveur Protiva SA aux applications existantes. Étape 5: Opter pour une technologie flexible Tous les utilisateurs ne sont pas égaux. Comme nous l’avons souligné précédemment, il existe, au sein d’une même entreprise, divers rôles auxquels sont associés différents droits d’accès. Pour simplifier, cela signifie qu’une approche technologique unique ne pourra pas répondre à toutes vos exigences en matière d’authentification forte. C’est la raison pour laquelle Gemalto a développé une gamme complète d’options d’authentification forte. Les options proposées vont de la technologie OTP (mot de passe à usage unique) à des solutions de gestion des identités basées sur des certificats, qui autorisent le chiffrement des données et l’émission de signatures numériques. Grâce à cette large gamme d’options à votre disposition, vous êtes assurés de disposer de la technologie adéquate pour répondre à chacun des besoins spécifiques à votre entreprise.
  9. 9. Au moment de rechercher quelle technologie d’authentification forte implémenter, vous devez prendre en compte les exigences suivantes:  Solutions d’authentification forte à votre disposition, allant des dispositifs OTP aux cartes à puce basées sur des certificats PKI  Différents facteurs de forme disponibles, y compris dispositifs de gestion des identités (cartes), dispositifs OTP non connectés, tokens USB à double usage (connectés/non connectés) et applications OTP sur téléphone portable  Prise en charge des standards de l’industrie (par ex., OATH pour OTP)  Plate-forme de type serveur pour faciliter la mise en oeuvre  Serveur d’authentification d’une grande flexibilité prenant en charge une gamme complète de dispositifs et de technologies d’authentification, des tokens OTP aux cartes à puce basées sur des certificats PKI  Capacité à définir et à appliquer des politiques d’authentification basées sur les risques, afin d’optimiser le niveau de sécurité requis pour certains types de connexions et de refuser ou réduire l’accès pour certains types de transactions  Disponibilité de dispositifs externalisés basés sur le Cloud  Solutions de sécurisation du «Cloud Computing» Étape 6: Débuter avec la technologie OTP La technologie OTP s’avère idéale pour une sécurisation rapide de votre réseau, notamment si vous souhaitez autoriser vos utilisateurs distants à accéder aux ressources informatiques. La sécurisation de l’accès à votre réseau grâce à l’utilisation de la technologie OTP augmente le niveau de sécurité par rapport à une connexion à l’aide d’un simple identifiant et mot de passe. Lorsque l’utilisateur souhaite accéder aux ressources stockées sur le réseau de votre entreprise, il lui suffit de saisir son identifiant ainsi que le code numérique fourni par son dispositif OTP. Le serveur d’authentification valide alors ce code, et autorise l’accès aux données du réseau. Ceci permet de renforcer la sécurité du processus de connexion en s’assurant que la personne qui accède au réseau est en possession de deux facteurs d’identification. Dans ce cas, le dispositif OTP est « quelque chose que vous possédez », et l’identifiant et, le cas échéant, le
  10. 10. mot de passe, sont « quelque chose que vous connaissez ». Cela signifie que personne ne pourra simplement trouver un mot de passe en raison d’une négligence ou d’une attaque de type ingénierie sociale. Pour accéder aux informations, le hacker aura non seulement besoin de l’identifiant et du mot de passe de l’utilisateur, mais aussi de son dispositif OTP. La mise en oeuvre d’un système de sécurité basé sur la technologie OTP présente deux avantages principaux:  Cela permet de résoudre les problèmes liés au VPN. La technologie OTP élimine la nécessité d’installer un client VPN, en recourant à la place à la fonctionnalité Direct Access de Windows 7  Cela permet aux employés d’utiliser leur téléphone portable comme dispositif OTP, quelque chose qui est déjà en leur possession En outre, les applications OTP sur téléphones portables permettent aux entreprises de conserver la maîtrise de la gestion de leurs codes d’accès via des méthodes d’attribution automatique comme celles spécifiées dans les normes OATH éditées par l’IETF (en anglais). Ce procédé permet aux entreprises de ne plus dépendre de la capacité de leur fournisseur de codes secrets à maintenir la confidentialité de leurs systèmes. L’utilisation d’un téléphone autorise également la validation du code PIN par l’utilisateur lors du processus d’authentification OTP, renforçant davantage la sécurité et la vérification des identités. Étape 7: Passer à une gestion des identités basées sur des certificats PKI Alors que l’authentification OTP pour l’accès réseau constitue déjà une avancée notable en termes de sécurité, l’authentification basée sur des certificats place la barre encore plus haut. Comme nous l’avons vu précédemment, certains des référentiels les plus connus, comme le modèle Core IO de Microsoft, les directives d’authentification du gouvernement fédéral américain et la norme FIPS 201, recommandent de recourir à des accréditations et des processus basés sur des certificats PKI et des cartes à puce pour améliorer les niveaux de sécurité et d’assurance des identités. Grâce à une gestion des identités cohérente qui inclut une base de stockage des identifiants consolidée, des sources de données adéquates et un système de génération des identifiants évolué, l’authentification basée sur des certificats s’avère facile à déployer et peu onéreuse. Les solutions Protiva de Gemalto, basées sur des cartes à puce, optimisent les avantages de l’infrastructure à clé publique (PKI) en fournissant une authentification forte basée sur des certificats. Ces solutions garantissent une authentification à double facteur, laquelle repose sur un objet (carte à puce ou token) et une information (code PIN) détenus par l’utilisateur. Grâce à des contrôles de sécurité qui permettent de vérifier l’identité de l’utilisateur avant l’émission de la carte à puce et de la
  11. 11. génération du certificat, vous pouvez être assurés que seul l’utilisateur authentique pourra accéder au réseau de l’entreprise et à ses données sensibles. Une fois la solution de gestion des identités basée sur des certificats déployée, diverses fonctionnalités supplémentaires de sécurité peuvent être ajoutées telles que:  Chiffrement de fichiers – Une fois le problème de la sécurisation du stockage de données résolu, le cryptage du disque dur doit être envisagé. Alors que la technologie OTP renforce la sécurité de l’accès réseau, cela n’apporte aucune valeur ajoutée en termes de cryptage des disques durs. Toutefois, les dispositifs de sécurité avec cartes à puce basées sur des certificats peuvent être utilisés conjointement avec des systèmes de cryptage de disques durs, afin de fournir une authentification à facteurs multiples pour le déchiffrement des fichiers sensibles et le décryptage des disques durs.  Chiffrement des messages électroniques – Ce procédé permet de sécuriser les informations sensibles qui transitent via les messageries électroniques. En optimisant le processus de cryptographie au moment du déploiement des cartes à puce, les messages cryptés peuvent être uniquement déchiffrés par le destinataire, protégeant ainsi vos messageries des regards indiscrets.  Signature numérique – Internet a révolutionné l’ensemble des processus opérationnels de l’entreprise, devenus plus rapides et moins coûteux. Cependant, ces économies pourraient s’avérer néfastes si les signatures utilisées pour valider les documents ou autoriser les transactions n’étaient pas authentifiées. Les signatures numériques créées à l’aide des solutions Protiva basées sur des cartes à puce et l’infrastructure à clé publique (PKI) authentifient sans conteste vos documents virtuels, pour de véritables économies de temps et d’argent.  Authentification mutuelle – Alors que les applications hébergées deviennent de plus en plus répandues, l’instauration de contrôles stricts de sécurité, afin que le système authentifie l’utilisateur, mais aussi afin que l’utilisateur soit capable d’authentifier le système, s’avère indispensable. Ce procédé offre un niveau de sécurité supplémentaire qui garantit que l’information échangée en ligne est sécurisée et que l’utilisateur communique uniquement avec l’application authentique. Le déploiement de cartes à puce basées sur des certificats PKI met votre infrastructure informatique en conformité avec les plus hauts niveaux d’authentification électronique recommandés par les experts de la sécurité comme Microsoft et NIST. Étape 8: Choisir entre l’infrastructure Microsoft ou les standards ouverts Lors du déploiement d’une solution de gestion des identités basée sur des certificats, vous avez le choix entre deux procédés : l’accréditation des identités basées sur Java ou sur le .NET Framework. Ces deux procédés offrent un haut
  12. 12. niveau d’assurance de l’identité de l’utilisateur qui tente d’obtenir un accès logique au réseau. Ces produits basés sur des cartes à puce peuvent être combinés à une technologie de proximité pour l’accès physique et à des processus d’impression sécurisée pour l’identité visuelle. Les cartes à puce basées sur le .NET Framework optimisent les fonctionnalités de gestion des cartes intégrées aux systèmes d’exploitation Microsoft Server et Windows. Ce type de déploiement ne nécessite aucun middleware supplémentaire pour la gestion des cartes. Entièrement intégrée à Microsoft Forefront Identity Manager (FIM), la solution d’authentification basée sur des certificats .NET Framework est pratiquement «plug and play». En alternative ou en complément de la vérification du code PIN, .NET Bio ajoute encore un niveau de sécurité supplémentaire avec l’utilisation de la biométrie associée à la carte. Cette fonctionnalité est prise en charge par la technologie Windows Biometric Framework de Windows 7. Les cartes à puce basées sur Java sont développées selon des standards ouverts afin de garantir l’interopérabilité avec les middleware les plus répandus, simplifiant ainsi le processus d’intégration. Cette solution, sélectionnée par le Département de la défense des États-Unis, a servi à l’élaboration des cartes d’accès commun (CAC) utilisées par les personnels militaires et des cartes PIV utilisées par les agences fédérales ne dépendant pas de l’armée. Fondées sur la nature ouverte et sécurisée de cette plate-forme, d’autres applications ont été ajoutées à la gestion des identités, comme le paiement et le porte-monnaie numériques. Voici quelques conseils pour vous aider à faire votre choix:  Si votre principal objectif est la compatibilité avec votre base installée Microsoft, vous devez sérieusement envisager l’utilisation de cartes basées sur le .NET Framework.  Si l’interopérabilité avec le gouvernement américain est un facteur important, les cartes PIV-I basées sur Java (PIV – Interopérable) s’avèrent un meilleur choix. Étape 9: Pour une mise en oeuvre rapide, utiliser des services basés sur le Cloud ou des solutions proposées par nos partenaires Un moyen rapide pour se lancer est de recourir à un fournisseur de technologies qui offre à la fois des services basés sur le Web et un réseau de partenaires experts en sécurité. Gemalto dispose d’un réseau mondial de partenaires dans le domaine de la sécurité qui vous aideront à planifier et déployer vos solutions d’authentification forte. Si vous pensez qu’en raison de la taille importante de votre entreprise les services Web peuvent vous aider à simplifier et accélérer le déploiement d’une solution d’authentification forte, nous vous conseillons d’étudier les points suivants avec votre fournisseur de technologie:
  13. 13.  Service complet de mise en oeuvre – Pourquoi se charger du stockage des tokens OTP ? Gemalto fournit un service complet de mise en oeuvre de la technologie OTP, incluant la gestion des commandes, l’emballage, l’expédition, le suivi et l’approvisionnement des dispositifs OTP (token ou display card). Pour les applications OTP pour mobiles, Gemalto met à la disposition de ses clients un portail qui les redirige vers les sites de téléchargement d’applications adaptés à leur téléphone (par exemple, Apple Store pour les applications sur iPhone).  Aucune obligation de commandes groupée – GGemalto peut livrer les dispositifs OTP à l’unité directement à l’utilisateur final ou procéder à des livraisons groupées vers un point de distribution centralisé.  Option de boutique en ligne – Si vous le souhaitez, Gemalto peut vous proposer une boutique en ligne personnalisée, où vos utilisateurs pourront commander leur dispositif OTP et compléter les informations d’expédition. Pour des questions de répartition des coûts, chaque dispositif ou lot acheté sur la boutique en ligne est automatiquement affecté au centre de coûts rattaché à l’utilisateur.  Automatisation du processus de génération des algorithmes – En se synchronisant à un magasin d’identités existant, le serveur SA relie simplement la suite de caractères aléatoires OTP au compte de l’utilisateur. Cela permet à l’utilisateur d’activer lui même son mot de passe à usage unique dès réception de son dispositif OTP ou téléchargement de l’application OTP pour mobiles. Conclusion – L’authentification forte s’impose désormais comme une meilleure pratique en matière de sécurité informatique Dans l’environnement économique actuel où sévit une concurrence acharnée et où les informations peuvent faire le tour de la planète en quelques secondes, protéger les informations sensibles contre tout accès non autorisé devrait être une préoccupation majeure pour toute entreprise. Autrement dit, l’authentification à l’aide d’un identifiant et d’un mot de passe n’est pas un moyen sécurisé de protéger les informations d’une entreprise. Cette dernière année, plusieurs cas de violation d’accès à des informations sensibles, mais aussi de divulgation de ces mêmes informations au public, ont été révélés par des entreprises qui n’avaient pas encore mis en place de système d’authentification forte. Tout cela doit nous conduire à une seule conclusion: l’authentification forte s’impose désormais comme une meilleure pratique en matière de sécurité informatique.
  14. 14. Nous vous remercions de votre attention L’objectif de ce guide était de vous donner un aperçu des étapes essentielles à suivre lors des phases d’étude et de déploiement d’une solution d’authentification forte au sein de votre entreprise ou de votre PME. Nous espérons vous avoir apporté toute l’aide dont vous pourriez avoir besoin pour initier la planification, éviter certains écueils et, surtout, mesurer tous les choix possibles qui s’offrent à vous. Quels points vous ont semblé les plus utiles ? De quelles informations complémentaires auriez-vous besoin ? Nous attendons vos commentaires et questions avec impatience. Et, maintenant, quelle est la prochaine étape ? Tout d’abord, distribuez ce guide à vos collègues. Abordez ce sujet avec vos responsables et votre direction afin de vous assurer qu’ils sont conscients de l’ampleur des menaces et qu’ils comprennent l’intérêt de la mise en oeuvre d’une solution d’authentification forte ainsi que les avantages que ce déploiement pourrait vous apporter en matière de sécurité de votre infrastructure informatique. Lorsque le moment sera venu, contactez Gemalto. Notre gamme de produits Protiva est composée d’un ensemble complet de solutions d’authentification forte, allant du générateur de mot de passe à usage unique aux cartes ou tokens basés sur des certificats PKI. Notre serveur Protiva SA est conçu pour s’intégrer en toute transparence à votre infrastructure. En outre, Gemalto propose diverses options de déploiement, afin de vous aider à passer d’une gestion interne à des services basés sur le Cloud pour l’approvisionnement des cartes. Nous serions ravis de pouvoir vous conseiller à propos de votre situation particulière et de vous renseigner davantage sur les solutions que nous pouvons vous apporter. N’hésitez pas à nous contacter. Nous serions heureux de pouvoir collaborer avec vous. Mobilité OTP Les téléphones portables sont devenus omniprésents, et les smartphones continuent à gagner du terrain, en particulier dans les pays développés. Ce marché de la téléphonie est à l’origine d’un nouveau débouché pour la technologie OTP : transformer les appareils mobiles en token OTP. Il existe deux moyens pour y arriver. Le premier consiste à utiliser la fonctionnalité de SMS présente sur tous les téléphones portables. L’utilisateur pourra ainsi faire la demande d’un OTP pour se connecter à une ressource spécifique. Le réseau lui enverra ensuite un SMS à l’aide du numéro de téléphone stocké dans la base de données de l’entreprise. Cette technique offre le même niveau d’authentification forte sans la nécessité de déployer des équipements supplémentaires. Le second moyen consiste à installer une application sur le smartphone. Avec l’explosion des boutiques en ligne, Gemalto a développé une application OTP compatible avec la plupart des systèmes d’exploitation installés sur les smartphones. Lorsqu’un utilisateur a besoin d’un OTP pour une authentification forte, il lui suffit de lancer l’application qui générera un OTP, sans pour autant devoir s’équiper d’un appareil en plus.

×