La sécurisation de l'authentification aux réseaux

975 vues

Publié le

Les organisations se sont jusqu’ici principalement concentrées sur la gestion des pare-feu et logiciels antivirus, mais très peu se sont penchées sur la question d’une connexion sécurisée à leurs réseaux. Un tout nouveau défi pour l’expert en sécurité de l’information, avec la transition des données vers le Cloud et la tendance du BYOD. GlobalSign vous explique donc ce qu’est l’authentification aux réseaux au moyen de certificats et souligne son avantage et ses profits.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
975
Sur SlideShare
0
Issues des intégrations
0
Intégrations
92
Actions
Partages
0
Téléchargements
16
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

La sécurisation de l'authentification aux réseaux

  1. 1. LIVRE BLANC GLOBALSIGN L'authentification, par GlobalSign Pour la mise en place d'une stratégie de sécurité de l'information complète et efficace grâce aux certificats d'authentification aux réseaux. LIVRE BLANC GLOBALSIGN John B Harris, Expert en sécurité Pour GMO GlobalSign Ltd. www.globalsign.fr
  2. 2. LIVRE BLANC GLOBALSIGN TABLE DES MATIERES INTRODUCTION ................................................................................................................................. 3 TROUVER LE BON CHEMIN ................................................................................................................. 3 L'AUTHENTIFICATION AUX RÉSEAUX AU MOYEN DE CERTIFICATS ........................................................ 5 QU'EST-CE QUE C'EST ? ............................................................................................................................. 5 COMMENT CA MARCHE ? ......................................................................................................................... 5 A QUOI DOIVENT S'ATTENDRE LES UTILISATEURS ? ................................................................................. 6 COMMENT SE PLACE-T-ELLE PAR RAPPORT AUX AUTRES MÉTHODES D'AUTHENTIFICATION D'UTILISATEURS ET DE RÉSEAUX ? ............................................................................................................ 6 COMMENT L'AUTHENTIFICATION AUX RÉSEAUX AU MOYEN DE CERTIFICATS RÉPOND-ELLE AUX BESOINS DES ORGANISATIONS ? ........................................................................................................ 9 HIPPA (HEALTH INSURANCE PORTABILITY AND ACCOUNTABILITY ACT) .................................................. 9 NORME PCA DSS POUR LE SECTEUR DU PAIEMENT PAR CARTE ............................................................ 10 RECOMMANDATIONS DU FFIEC (FEDERAL FINANCE INSTITUTIONS EXAMINATION COUNCIL) SUR L'AUTHENTIFICATION .............................................................................................................................. 10 CONCLUSION ................................................................................................................................... 11 COMMENT GLOBALSIGN PEUT VOUS AIDER ? ................................................................................... 11 PORTE-FEUILLE PRODUITS DE GLOBALSIGN ........................................................................................... 12 POURQUOI CHOISIR GLOBALSIGN ? ....................................................................................................... 12 EN SAVOIR PLUS SUR NOS SOLUTIONS D'AUTHENTIFICATION ........................................................... 12 A PROPOS DE GLOBALSIGN .............................................................................................................. 13
  3. 3. LIVRE BLANC GLOBALSIGN INTRODUCTION Les organisations s'étant longtemps focalisées sur les pare-feu et les logiciels antivirus en périphérie de leurs réseaux doivent désormais prendre en charge les données de leurs clients en transition vers le cloud, des employés utilisant leurs appareils portables sur leur lieu de travail (et s'attendant à ce que ceux-ci soient acceptés), ainsi que des hackers cherchant à remporter la fuite de données la plus mémorable ou des informations bancaires. Cela représente un vrai défi pour l'expert en sécurité de l'information qui doit déjà faire beaucoup avec peu de moyens. La sécurité de l'information exige des réponses à des questions, telles que : • Étant donné le nombre de menaces et le nombre de technologies disponibles pour contrer ces menaces, comment puis-je savoir laquelle choisir en priorité et quelles sont les meilleures solutions pour mon organisation ? • Comment puis-je établir une stratégie qui va m'aider à atteindre mes objectifs de conformité tout en garantissant que mon entreprise sera protégée contre les imprévus ? • Un produit ou un ensemble de produits peuvent-ils m'aider à me conformer aux régulations clés et peuvent-ils remédier aux menaces auxquelles mon organisation pourrait être confrontée ? • Dans quelles technologies dois-je investir qui soient abordables et faciles à utiliser, mais aussi efficaces en termes de sécurité ? Ce livre blanc a pour but d'aider les organisations à aborder leur situation de la meilleure façon qu'il soit, en commençant par mettre en place une stratégie de sécurité de l'information fondée sur les meilleures pratiques. Il décrit en quoi investir dans un système d'authentification aux réseaux au moyen de certificats peut être un premier pas décisif pour garantir une activité plus sécurisée et plus souple pour les organisations. Ce livre blanc explique également ce qu'est l'authentification aux réseaux au moyen de certificats, comment elle fonctionne et en quoi elle diffère des autres solutions de gestion d'identités et d'accès les plus communes. Enfin, ce texte souligne en quoi un tel système est avantageux pour votre organisation et comment vous pouvez en tirer profit. TROUVER LE BON CHEMIN Mettre en place une stratégie efficace en matière de sécurité de l'information est devenu un objectif dynamique pour les organisations. Les experts en sécurité de l'information doivent constamment s'adapter à de nouvelles conditions, afin de se conformer aux besoins de leurs clients et de leur entreprise, tels que la stabilité du système et du temps de fonctionnement, les réglementations pour la protection des données personnelles, ainsi que les exigences d'audit en termes de continuité dans les cas de catastrophes naturelles ou d'attaques terroristes. De plus, il est essentiel de satisfaire les utilisateurs et l'équipe de direction d'un point de vue budgétaire. Et ce n'est pas chose facile. Face à cette montagne de responsabilités, il n'est pas surprenant que les meilleures pratiques soient évincées au profit de solutions pratiques selon les besoins qui se présentent. Plutôt que de prendre le temps de voir en quoi leur activité peut représenter un avantage majeur pour leur
  4. 4. LIVRE BLANC GLOBALSIGN organisation en termes de protection sur le long terme, les experts en sécurité de l'information choisissent des solutions qui ont un impact immédiat (ou semblent avoir un impact immédiat) sur une menace ou un objectif de conformité spécifique. Malheureusement, ces solutions provisoires ne sont pas suffisantes pour gérer les problèmes bien plus importants et les nouvelles réglementations sur le long terme. L'approche réactive peut-être attirante car, d'un, elle est plus facile à mettre en oeuvre, et de deux, elle permet de faire preuve de réactivité auprès de la direction, qui, parfois, a tendance à se concentrer sur le court terme dans les négociations budgétaires. Cependant, en conservant cette approche, votre organisation dépense bien plus d'argent sur le long terme, ainsi que le temps de ses employés, et, au final, les profits éventuels réduisent à force de changements dans l'infrastructure. Par exemple, une entreprise devant se conformer aux dispositions de sécurité de l'HIPAA (Health Insurance Portability and Accountability Act) peut tout simplement contacter des fournisseurs en déclarant que ses produits sont conformes, puis acquérir et mettre en place ces technologies, afin de se conformer aux exigences de l'HIPAA. Ce qui manque dans ce processus est la façon dont ces technologies pourraient être utilisées pour répondre aux autres besoins de conformité de l'organisation et gérer les dangers émergents, tels que les menaces persistantes avancées. Il est possible que l'organisation doive se défaire de son achat initial ou le remodeler entièrement pour ne pas avoir anticipé ce qui arrivait à grands pas. Cela a été confirmé par l'enquête internationale 2011 d'Ernst & Young sur la sécurité de l'information qui montre que dans les 18 mois qui ont précédé l'enquête, 31 % des sondés avaient acheté du matériel ou des programmes qui ont échoués dans leur mission ou se sont avérés insuffisants. Cette approche peut également entraîner une confiance inappropriée dans la position réelle de l'organisation en termes de sécurité de l'information. Selon l'enquête internationale 2012 de Price Waterhouse Cooper sur l'état de la sécurité de l'information, plus de 70 % des sondés ont indiqué qu'ils étaient confiants que leur système est efficace, mais seulement 37 % ont indiqué qu'ils avaient mis en place une stratégie de sécurité pour les appareils portables, probablement l'un des défis les plus importants pour les services informatiques. Enfin, seulement 52 % des sondés de l'enquête Ernst & Young ont répondu que leur stratégie de sécurité était certifiée. Si la « stratégie » d'une organisation est de simplement réagir aux menaces et aux exigences qui se présentent, alors cette organisation est comme une balle de flipper, à rebondir entre les menaces et les réglementations. Les organisations doivent prendre le temps de développer et mettre en place une politique de sécurité fondée sur les meilleures pratiques, telles que l'authentification des utilisateurs, la détection d'intrusion aux réseaux, la prévention, la continuité d'activité, la préparation aux catastrophes, la formation des employés et le développement de leurs connaissances, la détection de malware, la prévention contre la perte de données et le chiffrement de données. Cette stratégie et politique de sécurité doit également adapter ces meilleures pratiques, afin de se conformer aux exigences de l'organisation, tout en évitant que les utilisateurs ne soient affectés. Les utilisateurs, les partenaires et les clients, mécontents de devoir être confrontés à de nombreux contrôles trop compliqués ou
  5. 5. LIVRE BLANC GLOBALSIGN inutiles à la tâche qu'ils doivent accomplir, ont tendance à ralentir l'activité de l'organisation, la rendant ainsi moins agile et moins productive. Établir une stratégie globale fondée sur les meilleures pratiques est la première et la plus importante étape à compléter. Les organisations doivent ensuite choisir l'équipement nécessaire pour atteindre les objectifs de leur stratégie. L'interopérabilité de ces technologies doit être garantie. Elles doivent parer différentes menaces, répondre aux attentes de l'organisation, être conformes aux régulations présentes et futures, et ne doivent pas affecter les utilisateurs et les systèmes déjà en place. La gestion des identités et des contrôles d'accès est une zone clé dans un système de sécurité fondé sur les meilleures pratiques. L'authen- tification aux réseaux au moyen de certificats est un bon exemple d'une solution facile à mettre en oeuvre et simple à comprendre pour les utilisateurs. Elle répond aux exigences et s'adapte aussi bien aux PC qu'aux appareils portables et au cloud. L'AUTHENTIFICATION AUX RÉSEAUX AU MOYEN DE CERTIFICATS QU'EST-CE QUE C'EST ? L'authentification aux réseaux au moyen de certificats consiste à utiliser un certificat numérique pour identifier, sur un réseau, un utilisateur et souvent un ou plusieurs appareils utilisés par un utilisateur connu. Elle est souvent déployée en plus des méthodes d'authentification traditionnelles, telles que l'utilisation de la paire nom d'utilisateur/ mot de passe. L'authentification aux réseaux au moyen de certificats peut à elle seule vérifier si des appareils connectés au réseau d'une organisation sont ceux qui y ont été préalablement autorisés. Lorsque l'authen- tification au moyen de certificats est combinée à l'authentification d'utilisateur, les organisations peuvent voir clairement que l'utilisateur A s'est connecté à partir de l'ordinateur portable B et peuvent vérifier si cet ordinateur est de fait enregistré au nom de l'utilisateur A. Si oui, l'utilisateur est autorisé à accéder au réseau à partir de cet appareil. Les certificats numériques utilisés sont les mêmes que tout autre certificat numérique que vous utilisez peut-être déjà au sein de votre organisation, afin de sécuriser les services web (SSL) ou signer les e-mails et documents (signatures numériques). Cependant, dans le cas du certificat d'authentification, celui-ci est associé à un appareil et non pas à un serveur ou une personne. COMMENT CA MARCHE ? Tout d'abord, un administrateur doit générer et assigner des certificats aux appareils de son organisation. Généralement, cela se fait à travers un portail de gestion de certificats ou un service de gestion basé sur le Web. L'administrateur configure son répertoire d'utilisateurs, ainsi que les systèmes de sécurité du ou des réseaux, afin que les utilisateurs et appareils donnés soient reconnus pour l'authentification, et ce, en important leur certificat numérique. Les appareils sont également configurés avec les certificats des serveurs. Lorsqu'un utilisateur cherche à se connecter au réseau, une demande d'accès est envoyée au
  6. 6. LIVRE BLANC GLOBALSIGN réseau depuis l’appareil. Les messages sont chiffrés, envoyés, déchiffrés et renvoyés entre l'appareil et le serveur. Ce processus de handshake continue entre l'appareil et le réseau jusqu'à ce qu'ils soient tous les deux satisfaits du fait que les messages qu'ils se sont envoyés ont été correctement déchiffrés et les identifiants sont sûrs. L'authentification mutuelle garantit que l'appareil se connecte au bon réseau (car seulement ce réseau peut déchiffrer le message envoyé avec ses identifiants) et que le serveur peut également vérifier que l'appareil qui se connecte est le bon (car seulement cet appareil peut déchiffrer le message envoyé avec ses identifiants). Une fois l'authentification complétée, le serveur peut donner accès à l'appareil ou demander des méthodes d'authentification d'utilisateur sup- plémentaires selon le type de données ou de serveur recherché. A QUOI DOIVENT S'ATTENDRE LES UTILISATEURS ? L'impact sur les utilisateurs est minime, voire inexistant. Le déploiement de certificats est relativement avancé dans la plupart des systèmes d'exploitation d'aujourd'hui ; les utilisateurs n'ont généralement rien à faire eux- mêmes. Ils devront continuer à s'authentifier au réseau comme ils l'ont toujours fait, en utilisant des identifiants de connexion. Pendant ce temps-là, sans que les utilisateurs ne s'en rendent compte, les identités et les appareils seront authentifiés grâce à des identifiants assurés par les certificats. L’authentification aux réseaux au moyen de certificats nécessite que l'appareil soit conservé dans un endroit sécurisé, afin que les identifiants ne soient pas effacés ou copiés. COMMENT SE PLACE-T-ELLE PAR RAPPORT AUX AUTRES MÉTHODES D'AUTHENTIFICATION D'UTILISATEURS ET DE RÉSEAUX ? L'authentification se décrit généralement en termes de « facteurs » : quelque chose que l'on sait (un mot de passe), quelque chose que l'on a (une clé USB cryptographique) ou quelque chose que l'on est (une personne avec des empreintes digitales). L’authentification à un facteur a tendance à être la norme, mais se reposer sur un seul facteur signifie que votre réseau et vos systèmes ont un point unique de défaillance et peuvent être facilement victime de phishing et d'autres types d'attaque. Lorsque différents facteurs d'authentification sont utilisés ensemble, ils offrent plusieurs couches de protection qui réduisent les risques d'attaque d'un système. Cependant, accumuler les facteurs ne garantit pas que votre organisation va être plus sécurisée tout d'un coup. Les organisations doivent prendre en compte l'impact sur les utilisateurs, les risques encourus et bien d'autres aspects. Dans la mesure où l'authentification aux réseaux au moyen de certificats peut être mise en oeuvre sans que cela n'affecte les utilisateurs, l'authentification à plusieurs facteurs est aussi simple que lorsque vos utilisateurs se connectent sur l'appareil qui leur est assigné avec leur nom d'utilisateur et leur mot de passe. Les certificats numériques d'un appareil, par exemple, correspondent au « quelque chose que l'on a », et l'appareil est intégré à l'authentification, au même titre que le nom et
  7. 7. LIVRE BLANC GLOBALSIGN le mot de passe de l’utilisateur (quelque chose que l'on sait). Cela n'est pas forcément le cas pour les autres formes d'authentification qui peuvent exiger que les utilisateurs transportent d'autres types d'appareils ou complètent des étapes d'authentification supplémentaires. Quelles sont les autres méthodes d'authentification ? • Les clés USB cryptographiques à mot de passe unique doivent être transportées par l'utilisateur et sont constituées d'un petit écran qui affiche un numéro unique généré au hasard par la clé. Pour se connecter, l'utilisateur entre ce nombre en plus d'un code PIN et, souvent, de son mot de passe. Le code PIN supplémentaire permet d'éviter que la clé ne soit volée et utilisée par une autre personne. Ces clés correspondent au facteur « quelque chose que l'on a » mais elles peuvent être facilement perdues par les utilisateurs qui en sont responsables et donc empêcher ceux-ci de se connecter dans des moments critiques. Les solutions à mot de passe unique sont désormais disponibles sous forme d'application sur le téléphone portable des utilisateurs, mais cela implique que ces derniers doivent avoir leur téléphone avec eux et chargés à chaque fois qu'ils souhaitent se connecter. De plus, il n'est pas toujours évident d’alterner entre différentes applications lorsque les utilisateurs cherchent à se connecter au réseau depuis leur appareil portable. • L'authentification par SMS dépend de la capacité d'un téléphone portable à pouvoir y ajouter un deuxième facteur. Les systèmes d'authentification par SMS envoient un message sur le téléphone portable de l'utilisateur après qu'il se soit connecté avec son nom d'utilisateur et son mot de passe. Il doit ensuite entrer le message lorsque cela lui est demandé. Tout comme les applications de système à mot de passe unique, l'authentification par SMS implique que l'utilisateur ait accès à son téléphone portable lorsqu'il se connecte. Elle peut également représenter certaines difficultés lorsque l'utilisateur cherche à se connecter à une autre application. • L'authentification hors bande implique que l'utilisateur ait accès à son téléphone portable ou à un autre téléphone. Pendant le processus d'authentification, en effet, il reçoit un appel et doit entrer un numéro ou répéter une courte phrase prédéterminée. Selon sa réponse, le système lui autorise l'accès. Dans la mesure où l'authentification hors bande exige que l'utilisateur prenne un appel sur son téléphone, cela peut perturber les autres employés ou s'avérer impossible en fonction de l'emplacement de l'utilisateur (zone sans réseau, etc.). • Les cartes à puce et clés USB contenant des certificats numériques qui permettent d'identifier l'utilisateur offre plusieurs facteurs d'authentification en même temps. En effet, cette solution requiert la possession d'une carte ou d'une clé et d'un mot de passe pour débloquer les certificats sur l'appareil (généralement un pour l'appareil et un pour l'utilisateur). L'authentification biométrique est également une possibilité (voir ci-dessous). Les cartes à puces peuvent être personnalisées, afin d'y inclure la photo de l'utilisateur, son nom et son poste, et ainsi être utilisées non seulement comme méthode d’authentification logique mais également physique, pour entrer dans le bâtiment, par exemple. A l'heure actuelle, ce système est l'une des formes d'authentification les plus sûres, mais il a un prix. L’utilisateur doit transporter sa carte ou sa clé USB et la présenter chaque fois qu'il cherche à se connecter. Une carte à puce s'accompagne souvent d'un lecteur
  8. 8. LIVRE BLANC GLOBALSIGN de carte. Les cartes à puce et les clés USB sont compliquées à utiliser sur un appareil mobile qui souvent ne possède pas de lecteur ou de port USB, bien qu'il existe des systèmes qui se branchent à l'appareil et permettent à l'utilisateur d'y connecter sa carte. • L'authentification biométrique correspond au troisième facteur d'authentification : quelque chose que l'on est (une personne avec des empreintes digitales, un visage, des iris ou bien encore une signature manuscrite). Il existe d'autres formes de biométrie encore plus exotiques, telles que la structure des veines. Évidemment, il est plutôt compliqué, voire impossible, de répliquer ces caractéristiques. Cependant, l'authentification biométrique présente trois problèmes majeurs : o La disponibilité des capteurs sur les différents appareils auxquels l'utilisateur cherche à accéder : son ordinateur portable peut très bien posséder un lecteur d'empreintes digitales, mais pas sa tablette. Même lorsque des capteurs similaires existent (ex : webcams et caméras de face sur les appareils mobiles), ceux-ci ne sont parfois pas assez puissants pour l'analyse biométrique, telle que la reconnaissance faciale. o L'environnement dans lequel l'analyse biométrique est effectuée : la main de l'utilisateur pourrait être gantée lorsqu'il doit passer son doigt sur le lecteur d'empreinte digitale, ou il pourrait être dans une pièce sombre lorsqu'il doit s'authentifier par reconnaissance faciale. o La vie privée : les utilisateurs peuvent ne pas être à l'aise à l'idée d'avoir leur empreinte ou leur visage enregistrés sur ces appareils. Méthode d'authentification Appareil physique supplémentaire requis Téléphone portable De l'utilisateur requis Actions supplémentaires pour l'utilisateur ? Sécurité par rapport à l'authentifi- cation aux réseaux au moyen de certificats Authentification aux réseaux au moyen de certificats NON NON NON ‐‐ Nom d'utilisateur et mot de passe NON NON NON ‐ Mot de passe unique1 OUI PEUT-ETRE OUI = SMS NON OUI OUI = Hors-bande NON OUI OUI = Carte à puce/ clé USB YES NON OUI + Biométrie2 PEUT-ETRE NON PEUT-ETRE + Veuillez noter que rien n'empêche les organisations à utiliser plusieurs méthodes d'authentification de la liste ci-dessus pour garantir des niveaux de sécurité plus élevés. De fait, l'utilisation d'un système d'authentification aux réseaux au moyen de certificats améliorera toujours la sécurité d'un processus d'authentification sans affecter l'utilisateur. Le niveau d'authentification doit être régulé selon les risques évalués par l'organisation pour un réseau, un système ou un ensemble de données particulier. 1 Des clés USB de logiciel à mot de passe unique peuvent être activées sur un appareil mobile, évitant ainsi à l'utilisateur de transporter un troisième appareil. 2 La biométrie peut requérir l'acquisition d'un appareil de lecture supplémentaire (ex : lecteur d'empreintes digitales). Elle peut aussi être utilisée comme unique méthode d'authentification, mais cela réduirait le processus d'authentification à un facteur seulement. La biométrie peut être considérablement plus sûre, mais elle doit tout de même être utilisée en plus d'une ou plusieurs autres méthodes d'authentification.
  9. 9. LIVRE BLANC GLOBALSIGN COMMENT L'AUTHENTIFICATION AUX RÉSEAUX AU MOYEN DE CERTIFICATS RÉPOND-ELLE AUX BESOINS DES ORGANISATIONS ? Les organisations doivent se concentrer sur des stratégies de sécurité qui répondent à leurs attentes en termes de souplesse et de profit, tout en protégeant correctement leurs données contre les risques inhérents à un environnement dynamique. Pour mettre en oeuvre ces stratégies, les organisations doivent investir dans des technologies qui répondent efficacement à leurs exigences de sécurité, réduisent les risques et aident à se conformer aux diverses réglementations auxquelles elles sont soumises. Il a été prouvé que l'authentification aux réseaux au moyen de certificats offre un système d'authentification à plusieurs facteurs sans affecter les utilisateurs d'une organisation : plus de sécurité ne signifie pas obligatoirement moins de souplesse. La gestion des accès, l'audit et l'analyse minutieuse de l'historique d'accès sont améliorés, tandis que les données et l'accès aux réseaux peuvent non seulement être associés à un utilisateur mais également à un appareil particulier à un moment particulier. Les appareils portables redéfinissent la façon dont les consommateurs et les employés accèdent à du contenu. Les demandes d'utilisation de smartphones et de tablettes au bureau et sur la route imposent de nouveaux défis en matière de sécurité. Alors que de nombreuses méthodes d'authentification ne passent pas facilement d'une plate-forme à une autre, les certificats peuvent être déployés à la fois sur PC et sur les appareils portables, permettant ainsi à un seul investissement d'être utilisé sur de nombreuses plates-formes. L'authentification aux réseaux au moyen de certificats peut également être un outil efficace pour aider les organisations à se conformer aux exigences d'organismes de régulation clés en termes d'authentification et de gestion des accès. HIPPA (HEALTH INSURANCE PORTABILITY AND ACCOUNTABILITY ACT) Passé en tant que loi en 1996, l'HIPAA a mis en place de nouvelles règles pour les dossiers d'assurance et de santé électroniques. La sécurité et la confidentialité de ces dossiers constituent l'une des clauses clés de l'HIPAA et a été publiée en 2003 sous le nom de Règle de Sécurité (Security Rule). L'HIPAA recommande que toute organisation qui conserve des informations de soins de santé, y compris les prestataires de soins de santé et les compagnies d'assurance, mette en oeuvre divers contrôles administratifs, techniques et physiques. Tandis que ces contrôles sont décrits à un niveau technologiquement « agnostique », ils correspondent très bien au modèle de meilleures pratiques recommandé plus tôt dans ce texte. Pour ce qui est de l'authentification, la Règle de Sécurité exige expressément que les organisations implémentent un système d'authentification pour accéder aux informations de santé protégées. L'authentification aux réseaux au moyen de certificats permet de répondre facilement à ces exigences. L’autorisation d'accès est également exigée. Les organisations doivent « mettre en oeuvre des politiques et des procédures, afin de permettre l'accès aux informations électroniques de santé
  10. 10. LIVRE BLANC GLOBALSIGN protégées, au travers, par exemple, d'un accès à un poste de travail, d'une transaction, d'un programme, d'un processus ou de tout autre mécanisme »3. Les certificats peuvent être utilisés de façon à garantir aux utilisateurs autorisés l'accès aux dossiers des patients à partir d'ordinateurs spécifiques dans des espaces protégés ou dans des zones restreintes du réseau, plutôt que depuis n'importe quel poste de travail dans le bâtiment. NORME PCA DSS POUR LE SECTEUR DU PAIEMENT PAR CARTE Le secteur du paiement par carte a répondu au risque de fraude et de perte de carte bancaire en générant une liste très détaillée d'exigences relatives à la sécurité des données, et ce, pour les commerçants, les institutions financières, les distributeurs de cartes et tout autre type d'organisation lié au secteur. Publié pour la première fois en 2004, la norme PCI DSS a depuis été mise à jour sous la version 2.0. La norme PCI DSS inclut des recommandations spécifiques pour les procédures de contrôle d'accès. Les organisations doivent utiliser au moins un facteur d'authentification (quelque chose que l'on sait, que l'on a ou que l'on est) pour l'accès général, et deux facteurs pour l'accès à distance aux réseaux. La nature transparente de l'authentification aux réseaux au moyen de certificats rend celle-ci idéale pour aider les organisations à se conformer à cet aspect de la norme PCI DSS. 3. HIPAA, 45 CFR Part 164.308(a)(4)(2)(B). RECOMMANDATIONS DU FFIEC (FEDERAL FINANCE INSTITUTIONS EXAMINATION COUNCIL) SUR L'AUTHENTIFICATION Le FFIEC a publié ses directives en 2001, afin de mieux protéger les clients des services de banque électronique contre les menaces Internet, et ce, en exigeant des institutions financières qu'elles mettent en oeuvre des mesures plus fortes pour l'authentification des utilisateurs. En 2005, ces directives ont été mises à jour et publiées sous le nom « d'authentification dans l'environnement de la banque électronique ». Ce document affirme clairement que le FFIEC « considère l'authentification à un seul facteur, en tant qu'unique mécanisme de contrôle, comme étant inapproprié pour les transactions à haut risque impliquant l'accès aux informations du client ou le mouvement de fonds vers d'autres parties ». De plus, le FFIEC suggère expressément que les « institutions financières devraient implémenter un système d'authentification à plusieurs facteurs, de sécurité en couches ou tout autre contrôle déterminé pour réduire les risques évalués ». En accord avec les meilleures pratiques présentées dans ce document, la FFIEC poursuit : Le succès d'une méthode d'authentification particulière ne dépend pas que d'une seule technologie. Il dépend également des politiques, procédures et contrôles appropriés. Une méthode d'authentification efficace doit inclure l'adhésion du client, une performance fiable, l'extensibilité de s'adapter à la croissance, et l'interopérabilité avec d'autres systèmes existants et tout autre projet à venir.
  11. 11. LIVRE BLANC GLOBALSIGN Dans la mesure où l'authentification aux réseaux au moyen de certificats n'affecte pas les utilisateurs et peut être utilisée sur les PC autant que sur les appareils portables, elle répond aux exigences d'adhésion du client, d'extensibilité et d'interopérabilité. De fait, l'appendice du guide loue « l'authentification au moyen de certificats numériques comme étant généralement considérée comme l'une des technologies d'authentification les plus sûres, car l'authentification mutuelle entre le client et le serveur agit en défense contre le phishing et d'autres types d'attaque similaires ». CONCLUSION Les services informatiques font face à de nombreux défis dans leur mission pour protéger leur organisation, ses données et ses clients, tout en assurant sa conformité aux nombreuses régulations en vigueur. L'approche optimale implique que l'organisation s'éloigne des actions réactives du quotidien et évalue ses besoins, ainsi que les objectifs de sécurité sur le long terme. Après avoir établi une documentation officielle et un système de compte rendu régulier, l'organisation doit choisir les technologies les plus adaptées pour atteindre ces objectifs. Un modèle fondé sur les meilleures pratiques garantit qu'une organisation peut rester souple et sûre en même temps. L'authentification aux réseaux au moyen de certificats est un investissement technologique qui n'affecte pas la productivité des utilisateurs et améliore la position de l'organisation en termes de sécurité. Cette solution est facile à déployer et peut optimiser les pratiques d'authentification sur les PC autant que sur les appareils portables. Elle est également supérieure aux autres méthodes d'authentification car elle offre plusieurs facteurs de sécurité sans que les utilisateurs n'aient à transporter un appareil supplémentaire ou à limiter leur connexion à certains emplacements. Peu importe l'objectif de conformité ou le secteur, l'authentification aux réseaux au moyen de certificats répond au besoin pour un système d'authentification solide et à plusieurs facteurs, tout en assurant que la technologie reste facilement accessible, dynamique et mobile. Il est évident que l'authentification aux réseaux au moyen de certificats peut représenter une part importante d'un processus et d'une stratégie complète de sécurité de l'information. COMMENT GLOBALSIGN PEUT VOUS AIDER ? Maintenant que vous connaissez les avantages et les possibilités de l'authentification aux réseaux au moyen de certificats, pourquoi ne pas l'implémenter ? GlobalSign est un leader international dans le secteur des solutions de sécurité de l'information. Elle peut fournir à votre organisation les outils et talents nécessaires à la mise en oeuvre d'une telle solution. Grâce à sa plate-forme de gestion basée sur le Web, connue sous le nom d'EPKI (Enterprise PKI), GlobalSign vous permet de gérer facilement toutes les activités liées aux certificats numériques de votre organisation. De fait, GlobalSign offre plusieurs produits et services qui peuvent aider votre organisation à accélérer son processus d'implémentation d'une stratégie de sécurité de l'information fondée sur les meilleures pratiques.
  12. 12. LIVRE BLANC GLOBALSIGN PORTE-FEUILLE PRODUITS DE GLOBALSIGN • Les certificats SSL pour la protection des sites web et la promotion de la sécurité du commerce électronique • Les certificats d'authentification pour l'accès aux services du cloud, tels que les applications Google et Microsoft SharePoint • Les certificats numériques pour les personnes et les organisations pour la protection de l'intégrité et de l'authenticité des documents et des e-mails grâce aux signatures numériques et à la certification • Les certificats de signature de code pour la protection de l'intégrité du code des logiciels et applications partagés sur Internet • Les solutions de chiffrement de données POURQUOI CHOISIR GLOBALSIGN ? • Pour son historique d'innovations en sécurité et de confiance : plus de 20 millions de certificats dans le monde dépendent de la confiance publique du certificat racine de GlobalSign. La PKI de confiance de GlobalSign est en opération depuis 1996 et l'entreprise est accréditée WebTrust depuis plus de 12 ans. • Pour son engagement à offrir un service client supérieur : lorsque vous appelez GlobalSign vous parlez à de vraies personnes. • Pour sa présence internationale : GlobalSign possède des bureaux d'assistance technique aux quatre coins du monde, et vous garantit des temps de réponse rapides et des solutions adaptées à votre langue, votre région et votre pays. EN SAVOIR PLUS SUR NOS SOLUTIONS D'AUTHENTIFICATION Appelez-nous ou envoyez-nous un e-mail dès aujourd'hui pour parler à l'un de nos experts qui aidera votre organisation à établir une stratégie fondée sur les meilleures pratiques et vous offrira les outils nécessaires à son implémentation. Pour plus d'information, vous pouvez également visiter notre site web sur www.globalsign.fr/authentification
  13. 13. LIVRE BLANC GLOBALSIGN A PROPOS DE GLOBALSIGN GlobalSign est l'une des plus anciennes Autorités de Certification et fournit des services d'identification numérique depuis 1996. Ses équipes basées à Londres, Bruxelles, Boston, Tokyo et Shanghai assurent un service d'assistance commerciale et technique en plusieurs langues. GlobalSign est depuis longtemps soutenue par de nombreux investisseurs comme ING Bank et Vodafone. Elle fait partie du groupe GMO Internet Inc., entreprise publique cotée à la prestigieuse bourse de Tokyo (TSSE : 9449) et qui compte parmi ses actionnaires les sociétés Yahoo! Japon, Morgan Stanley et Crédit Suisse First Boston. En tant que leader dans le domaine des services de confiance publique, les certificats GlobalSign sont reconnus par la plupart des navigateurs, systèmes d'exploitation, appareils et applications. Cela inclut les certificats SSL, les signatures de code et de documents, la sécurisation des e-mails, l'authentification, les solutions numériques pour les entreprises, la gestion PKI et la signature racine des services de certificats Microsoft. Les certificats de racine de confiance de GlobalSign sont reconnus par tous les systèmes d'exploitation, par les principaux navigateurs, serveurs Web, clients de messagerie et applications Internet, ainsi que par tous les appareils portables. Un niveau d'accréditation maximum En qualité d'Autorité de Certification publique accréditée WebTrust, nous proposons à des milliers d'entreprises des solutions pour mener en toute sécurité leurs transactions et transferts de données en ligne. Nos solutions leur permettent de partager du code impénétrable et d'associer des identités à des certificats numériques pour le chiffrement S/MIME des e-mails et l'authentification à distance à deux facteurs, comme avec les VPN SSL. GlobalSign France Tél. : +33 1 82 88 01 24 www.globalsign.fr ventes@globalsign.com GlobalSign Allemagne Tél. : +49 800 7237980 www.globalsign.de verkauf@globalsign.com GlobalSign Pays-Bas Tél. : +31 85 8882424 www.globalsign.nl verkoop@globalsign.com GlobalSign Royaume-Uni Tél. : +44 1622 766766 www.globalsign.co.uk sales@globalsign.com GlobalSign Russie Tél. : +7 (495) 972 46 33 www.globalsign.ru sales@globalsign.com GlobalSign Europe Tél. : +32 16 891900 www.globalsign.eu sales@globalsign.com

×