Un livre blanc de RSA       Pourquoi les mots de passe ne sont       pas suffisament sûrs...       Etude de cas de l’authe...
SommaireLe besoin d’authentification forte                                                  page 1Au coeur des menaces    ...
Le besoin d’authentification forte                               Au coeur des menacesLes entreprises sont aujourd’hui conf...
Menaces externes    Des entreprises toujours plus vul-          Les pirates recourent aujourd’hui à des techniques    néra...
Les entreprises qui n’apportent pas une protection      supplémentaire au delà des mots de passe statique                 ...
Les lois Sarbanes-Oxley, PCI Data Security Standard,Health Insurance Portability and Accountability Act sontquelques exemp...
Mythe                                    Réalité                                         Les coûts de gestion des mots de ...
À propos de RSARSA, la Division Sécurité d’EMC, est l’expert de lasécurisation de l’intégralité du cycle de vie desinforma...
Prochain SlideShare
Chargement dans…5
×

Pourquoi les mots de passe ne sont pas suffisament sûrs…Etude de cas de l'authentification forte à deux facteurs

1 024 vues

Publié le

Dans le contexte actuel d’essor simultané des menaces et de la valeur des ressources informationnelles, les systèmes dont la sécurité repose principalement sur des mots de passe statiques sont vulnérables et présentent des failles exploitables. Nous reviendrons dans cette étude sur le besoin d’authentification à deux facteurs et sur son ROI potentiel.

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 024
Sur SlideShare
0
Issues des intégrations
0
Intégrations
424
Actions
Partages
0
Téléchargements
22
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Pourquoi les mots de passe ne sont pas suffisament sûrs…Etude de cas de l'authentification forte à deux facteurs

  1. 1. Un livre blanc de RSA Pourquoi les mots de passe ne sont pas suffisament sûrs... Etude de cas de l’authentification forte à deux facteurs Les risques liés à l’utilisation de mots de passe statiques ne sont certes pas nouveaux puisque dès 1995, le CERT (Computer Emergency Response Team) américain relevait que 80 % des incidents de sécurité qui lui étaient adressés incombaient à des mots de passe mal choisis. 15 ans plus tard, 44 % des entreprises utilisent pourtant encore de simples mots de passe pour sécuriser les accès distants à leurs Intranets1. Dans le contexte actuel d’essor simultané des menaces et de la valeur des ressources informationnelles, les systèmes dont la sécurité repose principalement sur des mots de passe statiques sont vulnérables et présentent des failles exploitables. Nous reviendrons dans cette étude sur le besoin d’authentification à deux facteurs et sur son ROI potentiel pour vous fournir toutes les informations utiles pour prendre une décision optimale si vous envisagez de renforcer les modalités d’authentification de vos utilisateurs. 1 Forrester Research - « Bonnes pratiques : implémenter une stratégie d’authentification forte dans votre entreprise » - 07/09 The Security Division of EMC
  2. 2. SommaireLe besoin d’authentification forte page 1Au coeur des menaces page 1 Menaces internes page 1 Menaces externes page 2Le véritable coût des mots de passe page 2Qu’est-ce que l’authentification à deux facteurs page 3Bénéfices de ROI de l’authentification forte page 3Conclusion page 4 Parmi les professionnels interrogés, 66 % reconnaissent avoir déjà vu des collaborateurs conserver une trace écrite de leur mot de passe au bureau ; pire, ils seraient 40 % à les noter sur des étiquettes et autres Post-It collés à même leur ® ordinateur...
  3. 3. Le besoin d’authentification forte Au coeur des menacesLes entreprises sont aujourd’hui confrontées à des menaces La multiplicité des menaces internes et externes auxquellesde plus en plus sophistiquées et à paysage réglementaire les entreprises doivent faire face pour protéger leurtoujours plus complexe pouvant avoir des effets directs sur patrimoine informationnel est le principal facteur lesleur capacité à réaliser leurs objectifs. Dans ce contexte, la incitant à mettre en oeuvre une authentification forte àprotection des accès à l’information et la certification de deux facteurs pour sécuriser leurs réseaux, leurs donnéesl’identité des utilisateurs s’inscrivent au coeur de toute critiques métier, etc.stratégie cohérente de sécurité. Menaces internesDe nombreux facteurs plaident aujourd’hui en faveur d’une Chaque collaborateur utilise différents systèmes etsécurité renforcée et multiplient les cas d’utilisation de applications, exigeant autant d’identifiants et mots del’authentification à deux facteurs : passe et expliquant des pratiques déficientes (mot de passe unique pour tous les systèmes, partage de mots de– Multiplication de nouvelles applications métier en ligne. passe, inscription papier ou électronique des mots de Conscientes des opportunités commerciales et des passe, etc.). Parmi les professionnels interrogés sur les économies de coûts liées à la fourniture dun accès en pratiques de gestion des mots de passe2, 66 % ligne à l’information, les entreprises lancent quantité reconnaissent avoir déjà vu des collaborateurs en d’applications Web répondant à ce besoin d’immédiateté conserver une trace écrite au bureau ; pire, ils seraient 40 et d’accès instantané. % à les noter sur des Post-It® et autres étiquettes collés à– Demande croissante daccès distants. même leur ordinateur... Autant de pratiques induisant des Linternationalisation des entreprises et la mobilité de risques quotidiens. leurs collaborateurs conduisent nombre dentre elles à offrir des accès continus et de nimporte quel point du La mobilité croissante des collaborateurs et la possibilité globe pour maximiser la productivité de leurs équipes. d’accès à tout moment et en tout lieu, sont un autre exemple de nouveaux risques posés en interne à– Privilèges daccès de nouvelles populations l’entreprise. Même si la majorité des employés accèdent au d’utilisateurs. Les sous-traitants, partenaires ou réseau d’entreprise par l’intermédiaire de périphériques de fournisseurs sollicitent de plsu en plus des accès à la confiance tels que PC portable ou mobile d’entreprise, demande à des données confidentielles de l’entreprise l’utilisation de postes publics en libre-service et de «hot (prévisions de vente, veille concurrentielle, grilles spot» WiFI est pourtant une pratique très courante, qui tarifaires, état des stocks, informations client, etc.). ouvre la voie aux enregistreurs de frappe (keyloggers) et autres programmes malveillants pour voler lesmots de– Multiplication des portails cliens. Les clients souhaitent passe des employés. Lors d’une étude sur les menaces de plus en plus fréquemment disposer daccès en temps internes conduite en 2008 par RSA, 58 % des répondants réel et d’outils de libre-service pour gérer leurs comptes reconnaissaient consulter «Parfois» ou «Fréquemment» en ligne. leurs emails professionnels à partir d’un poste public– Conformité réglementaire. Les multiples réglementations tandis que 65 % affirment y accéder «Parfois» ou adoptées au cours des dernières années imposent aux «Fréquemment» par un point d’accès sans fil public («hot entreprises de mettre en œuvre des mesures de sécurité spot »). pour prévenir tout accès non-autorisé à l’information.– Menaces sophistiquées. Les menaces se développent et sont de plus en plus complexes à contenir . Sur le plan interne, les collaborateurs par comodité s’engagent dans de mauvaises partiques de gestion des mots de passe et La mobilité croissante des contournent les politiques de sécurité établies pour exécuter leurs propres tâches, En externe le phishing et collaborateurs et la possibilité d’accès les malware sont devenus des menaces abominables, témoignant de l’importance accordée par les pirates aux à tout moment et en tout lieu sont un habilitations d’entreprise. autre exemple des nouveaux risques posés en interne à l’entreprise.2 Enquête RSA sur la gestion des mots de passe Livre blanc RSA 1
  4. 4. Menaces externes Des entreprises toujours plus vul- Les pirates recourent aujourd’hui à des techniques nérables face à la cybercriminalité avancées (ingénierie sociale, phishing, Chevaux de Troie, logiciels malveillants, etc.) pour dérober des informations La diffusion des logiciels malveillants sensibles du type propriété intellectuelle ou données va désormais bien au-delà de commerciales confidentielles, en ciblant les habilitations l’industrie des services financiers pour d’accès au VPN et réseaux d’entreprise. Les «Botnets» toucher des secteurs tels que la santé, (réseaux de machines zombies) sont particulièrement l’assurance, les télécommunications, dangereux en raison de leur capacité à infecter les réseaux l’enseignement, les administrations d’entreprise avec des logiciels malveillants, spécifiquement publiques, etc. L’objectif de la plupart conçus pour «siphonner» des informations sensibles ou des cybercriminels a été d’infecter les voler des mots de passe. Pratiquement 90 % des utilisateurs en ligne avec un «Cheval entreprises du classement Fortune 5003 ont été victimes de Troie» (Tojan) pour collecter les d’une activité botnet. Les PME sont donc particulièrement informations sur leurs comptes en risque, compte tenu de la modestie de leurs budgets de bancaires et cartes de crédit. Mais en sécurité comparé aux grandes entreprises. fait les trojans collectent bien d’autres informations que celles relatives à la Une nouvelle forme de menace externe ciblant désormais finance. les entreprises est le «spear Phishing» un forme d’attaque par phishing qui cible essentiellement les employés ou des Les consommateurs sont aussi des cibles à haut profile d’une entreprise. Le spear phishing employés et les employés utilisent tente d’amener l’utilisateur à divulguer des informations souvent leur poste de travail personnelles ou sensibles ou encore à cliquer sur un lien ou professionnel pour une activité une pièce jointe contenant un logiciel malveillant. Une fois prsonnelles ou consulter leurs e-mails que l’utilisateur clique sur le lien ou lapièce jointe, le personnels ; De même à mesure que logiciel malveillant est installé; généralement sous forme les entreprises ouvrent accès à un d’enregistreur de frappe (keylogger). Cetté méthode permet nombre élargi de ressources via les au pirate de dérober toute information saisie y compris technologies Web telles que les SSL habilitations professionnelles, informations de comptes VPN ; la variété de machines touchant bancaires, mots de passe sensibles, etc. s’étend jusqu’aux PC familiaux. Il en résulte un plus grand risque d’infection par Cheval de Troie et de perte de données critiques. Le véritable coût des mots de passe Des quantités considérables L’utilisation des seuls mots de passe comme moyen de d’informations sont ainsi entre les sécuriser l’accès reste dominante. Dans un contexte de mains de cybercriminels – sans même restriction budgétaire, le coût est souvent utilisé comme un que les entreprises victimes ne le obstacle pour donner corps à un projet d’authentification à sachent… Par exemple, en octobre deux facteurs. Néanmoins, certaines entreprises 2008, RSA publiait les résultats commencent à réaliser que la «gratuité» apparente des emblématiques de trois années de mots de passe est sérieusement entachée par d’importants lutte contre le Cheval de Troie « coûts récurrents de support, de maintenance et Sinowal » et dévoilait qu’au-delà des d’administration. Selon Gartner, la réinitialisation des mots numéros de comptes bancaires et de de passe représenterait à elle seule 20 à 50 % de tous les cartes de crédit/débit, les pirates appels destinés aux services de support (pour un coût avaient également dérobé des moyen estimé à 38 $ par appel). Une charge considérable adresses e-mail, des mots de passe, pour les ressources informatiques – sans même prendre en des habilitations de connexion FTP et compte les pertes de productivité des appelants. VPN, etc. Il s’agissait de la première découverte d’une longue série La conformité doit également être abordée pour quantifier démontrant la vulnérabilité des le véritable coût des mots de passe. En effet, de multiples données sensibles des entreprises et réglementations légales et industrielles exigent une administrations aux Chevaux de Troie. authentification à deux facteurs pour s’y conformer. 3 Source: RSA Anti-Fraud Command Center2 Livre blanc RSA
  5. 5. Les entreprises qui n’apportent pas une protection supplémentaire au delà des mots de passe statique RSA Authentication Decision Tree s’exposent à de considérables amendes et autres pénalités de plusieurs centaines de milliers de dollars. Quelle-est la meilleure solution dauthentification pour mon entreprise ? Enfin, les fuites de données liées à la compromission des mots de passe représentent un risque financier majeur RSA Authentication Decision Tree (arbre puisque l’on estimait en 2009 leur coût moyen à 6,75 décisionnel d’authentification) est un millions de dollars4 en y intégrant tous les facteurs outil interactif vous aidant à découvrir, pertinents : notification client, analyses et investigation, évaluer et sélectionner la solution frais légaux, amendes et pénalités. Il faudrait naturellement d’authentification à deux facteurs la ajouter à celà les charges intangibles telles que la perte de mieux adaptée à vos exigences métier. confiance de la clientèle, les atteintes à l’image de marque L’outil prend en compte de nombreux et à la réputation, etc. paramètres comme le type d’information à protéger, la populations d’utilisateurs potentiels et l’environnement technique de déploiement. Il vous guide à travers Qu’est-ce que l’authentification à deux facteurs une suite de questions, et vous fournit une analyse personnalisée faisant La différence majeure entre une authentification basée sur ressortir les options d’authentification des mots de passe et une authentification à deux facteurs adaptées à votre contexte et un rapport réside dans le fait que l’utilisateur doit fournir plusieurs complet simple à comprendre. Pour facteurs ou « preuves » pour que l’authentification soit accéder à cet outil interactif et obtenir réussie. votre rapport personnalisé, consulter Les éléments d’une authentification à deux facteurs www.rsa.com comprennent «quelque chose que vous connaissez» et «quelque chose que vous possédez». Le premier facteur est donc une information connue de l’utilisateur seul telle que son mot de passe ou code PIN. Le second facteur Les entreprises souhaitant déployer une solution quand à lui se réfère à quelque chose que l’utilisateur a et dauthentification à deux facteurs ont le choix entre variété qui peut prendre la forme d’un token physique (clé de de solutions et de formats des facteurs, présentant chacun sécurité) ou bien d’un système intégré à un périphérique leurs propres avantages distinctifs en matière de sécurité, (téléphone ou PC) utilisateur comme un token software, un de portabilité, d’extensibilité, de simplicité d’utilisation, de certificat numérique, un objet Flash partagé ou un fiabilité, et naturellement de coûts totaux d’exploitation. identifiant biométrique de type empreinte digitale scannée. Nous vous proposons de vous reporter à l’encadré ci- Pour prouver son identité chaque utilisateur doit présenter dessus pour savoir comment choisir la solution au système ces deux éléments. Avec une clé matérielle, il d’authentification répondant le mieux à vos exigences devra par exemple indiquer «son nom d’utilisateur et son métier spécifiques. mot de passe» (ce qu’il connait) suivis du «code affiché par la clé à cet instant précis» (ce qu’il possède). Ces deux composants devront être reconnus par le système avant que Bénéfices de ROI de l’authentification forte l’utilisateur accède à la ressource considérée. Les entreprises ont souvent tendance à se focaliser sur les seuls coûts immédiats et à négliger certains bénéfices à long terme... L’authentification à deux facteurs présente enLes entreprises ont souvent tendance effet des avantages exclusifs :à se focaliser sur les seuls coûts Réduction du risqueimmédiats et à négliger certains Dans un contexte de multiplication de ressources critiquesbénéfices à long terme... accessibles en ligne et de transactions conduites en ligne, les risques informationnels continuent à augmenter en 4 Ponemon Institute, Fifth Annual U.S. Cost of Data Breach Study, January 2010 Livre blanc RSA 3
  6. 6. Les lois Sarbanes-Oxley, PCI Data Security Standard,Health Insurance Portability and Accountability Act sontquelques exemples de réglementations exigeantexplicitement un système d’authentification à deuxfacteurs pour protéger les accès aux réseaux d’entreprise.proportion. Les coûts associés aux brèches de sécurité sur systèmes de RH et autres applications nécessitant desles données continuent à progresser et la publicité négative interventions manuelles telles que le traitement desassociée peut causer des dommages irréparables en termes formulaires, sont ainsi automatisées pour apporter plusde dégradation d’image de marque et de perte de confiance d’efficacité et réduire les coûts de l’activité. Ces systèmes,de la clientèle. En outre, la disparition des frontières entre indispensables au quotidien et vitaux pour l’entreprise,consommateurs et entreprises font peser des risques exigent ainsi une protection particulière et la nécessité decroissants d’attaques et de vols sur les habilitations certifier l’identité de tous ceux qui s’y connectent.professionnelles. L’authentification à deux facteurs aide à Rappelons enfin qu’avec le volume et le coût deréduire le risque en certifiant l’identité de chaque réinitialisation des mots de passe, l’authentification à deuxutilisateur avant de lui donner accès à une application ou facteurs réduit notablement les coûts de supportinformation sensible. informatique.La mobilité sans crainte ConformitéLes effectifs mobiles augmentent au gré du développement De multiples lois et réglementations (Sarbanes-Oxley, PCI-international des entreprises et de l’ouverture de bureaux DSS, US Data Breach Notification, Health Insurancedistants à travers le globe. Cette exigence de mobilité et de Portability and Accountability Act, etc.) auxquelles il faut seproductivité conduit les entreprises de toutes dimensions à conformer exigent explicitement une authentification à deuxfaciliter l’accès distant à leurs ressources. L’authentification facteurs pour protéger l’accès au réseau d’entreprise. Au-à deux facteurs présente dans ce contexte des avantages delà des risques opérationnels, le non-respect de leursincomparables en ajoutant une couche de protection pour prescriptions expose les entreprises à de lourdes pénalitésmanipuler en toute confiance et sécurité des systèmes ou ou amendes.informations critiques de nimporte où dans le monde.Exploiter de nouvelles opportunités métier ConclusionL’ouverture de certaines applications sur Internet a permisaux entreprises de fournir des services avancés à leur Contrairement aux systèmes de gestion des mots de passe,clientèle et de simplifier l’accès à l’information pour leurs l’authentification à deux facteurs présente tous les gagespartenaires et fournisseurs. Le dernier frein pour requis pour sécuriser l’accès aux données sensibles etpleinement capitaliser sur le potentiel du canal internet mener en toute confiance des transactions en ligne. Il estreste la sécurité; Dans tout environnement en-ligne il est également capital de se souvenir que la sécurité par motsimportant d’établir une confiance avec l’utilisateur. de passe statiques induit (sous l’apparence de laL’authentification à deux facteurs répond idéalement à «gratuité») des coûts cachés considérables dépassant trèscette problématique en apportant aux entreprises la largement ceux de déploiement d’une solutiongarantie que les utilisateurs en ligne sont bien ceux qu’ils d’authentification à deux facteurs dont les avantages enprétendent être. matière de sécurité ouvrent par ailleurs de nouvelles opportunités de création de valeur métier. Autant deRéduction des coûts paramètres tangibles permettant de démontrer clairementLes applications métier apportent en général la capacité de le ROI supérieur de l’authentification à deux facteurs.répondre aux processus internes coûteux et consommateursen ressources humaines. La gestion des commandes, les4 Livre blanc RSA
  7. 7. Mythe Réalité Les coûts de gestion des mots de passe sont élevés si l’on considère que 20 à 50 %J’utilise les mots de passe car ils ne des appels reçus par les services de support sont liés à leur réinitialisation. Il suffit deme coûtent rien... factoriser le coût moyen d’un appel pour pleinement mesurer les coûts cachés des mots de passe.Nous limitons les riques en Les mots de passe complexes (incluant chiffres et lettres en maj/minuscules) sontimposant des mots de passe plus difficiles à deviner pour les pirates mais aussi à retenir pour les employés... Cettecomplexes et des changements complexité tend à multiplier les appels de support et pousse les utilisateurs à noterréguliers... sur papier les mots de passe – augmentant considérablement le risque de sécurité.Nous n’avons pas les moyens L’efficacité économique de l’authentification à deux facteurs est clairementd’acquérir une solution démontrée – et pas seulement pour les grandes entreprises puisque différentsd’authentification à deux facteurs... éditeurs proposent des packages spécialement conçus pour les budgets des PME. Les coûts de l’authentification à deux facteurs sont anecdotiques lorsqu’on lesLes coûts de l’authentification rapproche de ceux d’une fuite de données ou des amendes et pénalités encourrues enà deux facteurs sont supérieurs cas de non-conformité. En outre, ses apports de sécurité ouvrent de nouvellesà ses bénéfices... opportunités métier et perspectives de création de valeur dépassant aussi très largement leur prix d’acquisition et d’exploitation.La cybercriminalité cible avant tout Bien au contraire, les pirates ciblent fréquemment les PME en raison de leurles grandes entreprises et vulnérabilité supérieure et de contrôles de sécurité moins contraignants.administrations... Le dernier frein pour pleinement capitaliser sur le potentiel de création de valeur des canaux en ligne reste probablement la sécurité. Livre blanc RSA 5
  8. 8. À propos de RSARSA, la Division Sécurité d’EMC, est l’expert de lasécurisation de l’intégralité du cycle de vie desinformations. RSA permet aux clients de protéger au justecoût leurs ressources informationnelles stratégiques et leursidentités en ligne quelles que soient leurs localisations et àtoutes les étapes de leurs déplacements. Les exigences deconformité ne sont pas non plus oubliées par SA quipropose aux clients une gestion complète des informationste évenmenets de sécurité pour faciliter leurs preuve deconformité.RSA propose des solutions leaders d’assurance identité etde contrôle d’accès, de chiffrement et gestion de clés dechiffrement, de gouvernance et de maîtrise du risque, degestion de la conformité et des informations de sécurité etenfin de protection contre la fraude. Ces solutions leadersprotègent et certifient l’identité de millions d’utilisateursdans le monde et sécurisent les transactions qu’ils réalisentet les données générées. Pour plus d’informations, veuillezconsulter www.RSA.com et www.EMC.com.©2010 EMC Corporation. Tous droits réservés.EMC, RSA et RSA Security sont des marques ou marques déposées d’EMCCorporation aux Etats-Unis et/ou dans d’autres pays. Tous les autres noms deproduits ou services mentionnés sont des marques appartenant à leurs détenteursrespectifs.sidroi wp 03106 Livre blanc RSA

×