Your SlideShare is downloading. ×

Quelle alternative pour les déçus des tokens?

576
views

Published on

Le SaaS et la mobilité permettent enfin de populariser l'usage de l'authentification forte...Et d'en réduire drastiquement la facture.

Le SaaS et la mobilité permettent enfin de populariser l'usage de l'authentification forte...Et d'en réduire drastiquement la facture.

Published in: Technology

2 Comments
1 Like
Statistics
Notes
No Downloads
Views
Total Views
576
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
5
Comments
2
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Livre BlancQuelle alternative pour les déçus des tokens ?Le SAAS et la mobilité permettent enfin de populariser l’usage de l’authentificationforte... Et d’en réduire drastiquement la facture. © 2012 – In-Webo Technologies www.in-webo.com
  • 2. Table des matières Quelle alternative pour les déçus des tokens ?......................................................................... 1 L’authentification, un besoin qui grandit, grandit… ................................................................ 3 Les réponses classiques ........................................................................................................ 5 Le cahier des charges pour l’authentification des utilisateurs ............................................... 6 Qu’est-ce que l’authentification forte SaaS ? ......................................................................... 6 Quid de la disponibilité du service ? ................................................................................... 7 Quid de la sécurité des données stockées dans la plate-forme d’authentification en mode SaaS ? ...................................................................................................................... 7 Quid de la capacité à changer de fournisseur ?................................................................. 7 Quid de la politique de sécurité ? ....................................................................................... 8 La comparaison des coûts de possession ............................................................................. 8 Le business case d’une migration réussie ............................................................................. 9 La solution InWebo ............................................................................................................... 10 Du point de vue de l’utilisateur ......................................................................................... 10 Du point de vue de l’entreprise ......................................................................................... 10 En matière de sécurité ...................................................................................................... 11 Pour aller plus loin … ........................................................................................................... 12 2Quelle alternative pour les déçus des tokens ?
  • 3. L’authentification, un besoin qui grandit, grandit… L’économie du web est là et bien là. La première conséquence de la généralisation du Réseau des réseaux est que les points d’entrée au SI se sont démultipliés, faisant littéralement exploser les périmètres traditionnels. L’accès au SI représente donc le premier risque informatique majeur auquel l’entreprise doit faire face. Selon une étude de Mandiant en 2012, 100% des attaquants se sont introduits dans les systèmes en utilisant des identités légitimes. Les impératifs du métier et l’exigence de rentabilité imposent désormais une réactivité à laquelle les procédures et outils classiques de sécurité informatiques peuvent difficilement répondre, car ils avaient été fondamentalement pensés pour protéger des périmètres stables et bien définis. Or la généralisation des usages basés sur le web et les réseaux mobiles augmente la “porosité” des périmètres du SI :  la notion d’employé ne suffit plus à caractériser l’utilisateur du SI de l’entreprise : celui-ci peut aussi bien être un employé d’un contractant temporaire, parfois situé dans un pays étranger, et qui doit cependant accéder à des ressources stratégiques de l’entreprise ;  dans une économie de service, de nombreux employés peuvent eux-mêmes être en délégation permanente chez les clients ; 3Quelle alternative pour les déçus des tokens ?
  • 4.  de plus en plus d’agents économiques sont amenés à travailler ensemble temporairement sur un projet donné, et à échanger des données confidentielles. Une même personne peut faire partie de plusieurs groupes de travail simultanément ;  de plus en plus d’utilisateurs du SI sont nomades et amenés à se connecter depuis de multiples endroits (chez eux, en voiture..) et par de multiples moyens (plusieurs PC, téléphones portables, tablettes…) ;  les applications elles-mêmes quittent le périmètre protégé par l’entreprise : passage d’une informatique en mode SAAS, initialement pour les fonctions support, bureautique, messagerie, CRM. Ce mouvement touche en priorité les plus petites entreprises, qui n’ont traditionnellement pas les moyens d’internaliser les fonctions non “cœur de métier”. Cependant de plus en plus de grandes entreprises, sont elles aussi confrontées à l’ouverture tous azimuts de leur périmètre, lié à la généralisation de la sous-traitance, de l’externalisation, et des outils de mobilité. Par ailleurs, la solution consistant à tout centraliser derrière le VPN devient le plus en plus difficile à implémenter, dans un contexte où les métiers tendent à externaliser l’exploitation de leurs applicatifs (souvent de façon non contrôlée par la DSI). Les utilisateurs ne sont pas contents : last but not least, les utilisateurs sont récalcitrants à utiliser des systèmes vécus comme intrusifs ou handicapant. Or, il est bien connu que la sécurité est une affaire de comportements avant d’être une affaire de technologies. C’est tout le problème actuel de l’authentification de l’utilisateur.  72% des salariés équipés d’un smartphone en profitent pour travailler avec sur leur temps personnel, selon une étude IDC pour Bouygues Telecom Entreprises réalisée au premier semestre 2012  51% des salariés utilisent leur smartphone personnel à des fins professionnelles  61% des salariés équipés de smartphones « télétravaillent » alors que le télétravail officiel est de 9%  Tandis que 65% des responsables informatiques interrogés déclarent ne pas autoriser la connexion au système d’information via les outils personnels des salariés (principalement pour des raisons de sécurité). 4Quelle alternative pour les déçus des tokens ?
  • 5. Les réponses classiques Parmi les diverses technologies disponibles, les systèmes à base de mots de passe à usage unique (One Time Password - OTP) sont les plus répandus. Ils permettent notamment de s’affranchir de la mise en place d’une architecture de confiance à base d’échanges de certificats complexe, lourde et onéreuse. Au moment de se connecter, l’utilisateur est amené à saisir dans son navigateur un code alphanumérique dédié à chaque utilisation, qui lui est fourni par un dispositif spécialisé, dont l’intégrité ne peut être garantie que par la distribution d’un dispositif matériel (de type token, clé USB ou calculette) présentant des frais d’acquisition et de gestion importants. L’utilisateur ne peut pas se connecter s’il n’a pas le dispositif sur lui, ce qui est souvent perçu comme une contrainte de plus. Token Calculette Clé USB Et cela tourne au cauchemar s’il faut provisionner des contractants extérieurs : la procédure peut parfois prendre plus de temps que la mission elle-même ! Tout cela va à l’encontre des demandes des métiers, pour plus d’agilité et de disponibilité des moyens informatiques. Pour ces raisons la diffusion de cette solution reste confidentielle et réservée à certaines populations sensibles des grandes organisations. Ceci est regrettable, car le dispositif de l’OTP (Mot de passe à usage unique) est clairement le meilleur compromis entre les besoins des populations d’utilisateurs flexibles et mobiles, et les exigences de sécurité. Pour être adopté par tous, il faut qu’il puisse s’intégrer de manière fiable dans l’outil quotidien de l’utilisateur (téléphone portable, divers PC, etc...), de façon non-intrusive. L’envoi d’un code de confirmation par SMS sur le téléphone portable de l’usager constitue une première approche de cet idéal. Ce système est surtout utilisé par les banques (paiement 3D Secure). Malheureusement cette solution rencontre des contraintes d’usage qui en limitent la validité : joignabilité réseau 5Quelle alternative pour les déçus des tokens ?
  • 6. du téléphone portable, interruption de la séquence de navigation, garantie que la personne qui ressaisit le code est bien le possesseur de la ligne….et le coût d’envoi des SMS reste prohibitif. Le cahier des charges pour l’authentification des utilisateurs Une telle solution doit répondre aux critères suivants :  Simplicité : le dispositif fournissant l’OTP doit être au plus près des outils de l’utilisateur, c’est à dire embarqué dans le téléphone portable, ou dans le navigateur, ou intégré dans l’application elle-même. Sa mise en œuvre par l’utilisateur doit être très intuitive.  Sécurité : le dispositif fournissant l’OTP doit apporter le même niveau de sécurité que les dispositifs matériels évoqués ci-dessus, et en particulier être insensible au reverse engineering, c’est à dire à la possibilité pour un hacker de capturer les éléments permettant de créer de nouveaux OTP valides.  Agilité : le dispositif doit s’intégrer simplement et rapidement à la gestion du cycle de vie des utilisateurs (enrôlement/modification/suppression) et aux applications du fournisseur de service.  Economie : la facturation du service doit être fonction de son l’usage. De manière générale le coût de la solution doit être très bas afin de permettre d’en diffuser l’usage pour le plus grand nombre. Qu’est-ce que l’authentification forte SaaS ? Le modèle gagnant est celui d’une solution permettant de combiner les avantages de la dématérialisation sécurisée des outils d’authentification, avec la mutualisation d’une infrastructure informatique spécialisée, disponible sous forme d’un service en mode SaaS (software as a service). Dans un tel service, la fonction d’authentification est délivrée par un opérateur tiers spécialisé, ce qui entraîne plusieurs questions : 6Quelle alternative pour les déçus des tokens ?
  • 7. Quid de la disponibilité du service ? L’architecture du SaaS doit être multi-redondée auprès de d’hébergeurs de 1er niveau (disposant des certifications les plus avancées), avec un SLA minimum de 99,9%. La disponibilité d’un serveur Cloud ou SaaS est généralement supérieure à celle d’une architecture propriétaire non-dédiée. Quid de la sécurité des données stockées dans la plate-forme d’authentification en mode SaaS ? Le service SaaS doit être transparent sur son architecture et sur sa politique de sécurité. Il doit donner toutes les garanties sur le caractère anonyme des données, ainsi que sur leur stockage sécurisé. Dans l’attente de standards similaires à ceux imposés aux émetteurs de certificats électroniques, une bonne pratique amenée à émerger sur le marché est la mise en œuvre par l’opérateur d’équipements de sécurité 1, associée à une politique de sécurité plaçant le service rendu sous le contrôle de l’entreprise cliente. Ce type de dispositifs spécialisés et de bonnes pratiques entraîne des investissements importants. Il constitue un niveau de sécurité qui n’est pas accessible conventionnellement auprès des acteurs traditionnels de l’authentification, récemment convertis à la mode du Cloud. Cas d’usage : « En choisissant une méthode d’authentification forte en SAAS, le service informatique d’un grand industriel français peut s’assurer de l’authentification forte de ses contractants en Inde lorsqu’ils se connectent pour des opérations de TMA sensibles de durée limitée sur son SI ». Quid de la capacité à changer de fournisseur ?  Côté serveur : l’adhérence technique au SaaS est minime car les éléments sensibles tels qu’identités, données, et éléments de sécurité, sont sous le contrôle du client ;  Côté utilisateur : les applications logicielles peuvent être remplacées du jour au lendemain. Se pose quand même la question des procédures organisationnelles liées au déploiement et à l’utilisation du service ;  Côté financier : le modèle de coût étant basé sur l’usage, l’entreprise est affranchie des contraintes habituelles d’amortissement et de maintenance. 1 Hardware Security Modules, HSM 7Quelle alternative pour les déçus des tokens ?
  • 8. Quid de la politique de sécurité ? La politique de sécurité doit rester intégralement sous le contrôle de l’entreprise. Elle doit être paramétrable par les divers responsables de services (métiers) sous le contrôle de la politique générale de sécurité de l’entreprise. En sécurité comme ailleurs, le SaaS introduit un vrai changement de paradigme : il est désormais possible de se protéger efficacement et à moindre coûts contre l’usurpation d’identité dans un monde ouvert et agile. Ce faisant, la sécurité devient un moteur du business au lieu d’être vécue comme un frein. La comparaison des coûts de possession Le coût est le nerf de la guerre. La comparaison du coût de possession d’une solution d’authentification forte « classique » comparée à une solution SaaS (In-Webo) est éloquente. Les chiffres sont donnés par utilisateur pour un parc de 1000 utilisateurs. Sur 1 an Sur 3 ans Tokens classiques SaaS Tokens classiques SaaS Coût dacquisition des tokens 60 € 0 60 € 0 Backoffice (Licences Serveur + 66 € 20 € 66 € 60 € Backup) Maintenance logicielle 14 € 0€ 42 € 0€ Coût du support utilisateur 15 € 5€ 45 € 15 € (désynchronisation, PIN oublié) Coût de gestion des tokens (expédition/pile/perte) 5% par 3€ 0€ 9€ 0€ an Administration : 1 ETP / 1000 60 € 12 € 180 € 36 € pers - 60K€ chargé Total 218 € 37 € 402 € 111 € SaaS / tokens & serveurs 17,0 % 27,6 % Résultat : une économie de 291 000 euros sur 3 ans ! 8Quelle alternative pour les déçus des tokens ?
  • 9. Sur 3 ans le coût d’une solution d’authentification forte en SAAS est 4 fois inférieur à celui d’une solution classique d’authentification à base de tokens matériels. Selon le scénario de montée en charge, à périmètre égal, la transition d’une solution à l’autre, projet inclus, sera payée dans les 8 mois ! Cette analyse s’appuie sur les coûts constatés auprès de plusieurs entreprises, ainsi que sur les informations publiées par les fournisseurs eux-mêmes. Le business case d’une migration réussie Analyse de ROI pour une migration tokens & serveurs vers mode SaaS sur 3 ans.  Remplacement de tous les anciens tokens (30% sont encore valides pour 1 an)  Cas dusage : accès VPN  1000 utilisateurs Année 1 Année 2 Année 3 Total Amortissement Tokens matériel 6 667 € Amortissement backoffice 22 000 € Cout de retrait des tokens matériels 10 000 € Frais dintégration fonctionnelle de la nouvelle solution 2 250 € Accompagnement des utilisateurs 5 000 € TCO Solution SAAS 1 an 37 000 € 37 000 € 37 000 € Cout du Projet 82 917 € 37 000 € 37 000 € 156 917 € Coût du statu quo 133 860 € 133 860 € 133 860 € 401 580 € Gain cumulé 50 943 € 147 803 € 244 663 € ROI (mois) 7,37 9Quelle alternative pour les déçus des tokens ?
  • 10. La solution InWebo InWebo est une solution d’authentification forte et multi-facteurs, basée sur le principe du Mot de passe à Usage Unique (OTP). Du point de vue de l’utilisateur InWebo est soit une application, téléchargeable gratuitement directement dans le téléphone portable, le smartphone, la tablette ou l’ordinateur (via Appstore et équivalents), soit une technologie intégrée de façon transparente pour lui à ses applications. Lors de l’activation initiale, l’utilisateur crée son propre code PIN respectant la politique de l’entreprise, et le tour est joué. InWebo est vu comme un service permettant de retrouver tous ses services sur tous ses terminaux et équipements, et de ne se rappeler que d’un mot de passe maître ou PIN. InWebo fournit un mot de passe unique (OTP) dédié à chaque service et respectant sa politique de sécurité propre. Sur un téléphone portable, l’OTP est obtenu sans connexion ni SMS, supprimant les limitations techniques et économiques inhérentes à ces dispositifs ; l’utilisateur doit le ressaisir sur son écran d’ordinateur. Sur les terminaux utilisés pour se connecter (smartphones, tablettes, ordinateurs personnels), InWebo remplit automatiquement tous les champs de saisie pour l’utilisateur, évitant la ressaisie. L’utilisateur peut disposer d’autant de dispositifs qu’il le souhaite (PC bureau, PC maison, téléphone portable, tablette) ou qu’on l’y autorise. Il aura accès à tous ses services où qu’il soit. Les moyens d’authentification InWebo sont donc particulièrement adaptés à la vague du BYOD. Du point de vue de l’entreprise InWebo est un service d’autorisation externe, opéré dans un data center hautement sécurisé. La mise en œuvre d’In-Webo ne nécessite pas l’achat d’une infrastructure informatique, et son intégration technique est une affaire d’heures. L’entreprise dispose d’un jeu de connecteurs, sous forme de webservices facilement intégrables ou configurables, permettant de gérer le cycle de vie complet des utilisateurs et des applications In-Webo, de synchroniser avec les annuaires internes, et d’inter-fonctionner avec les points d’accès internes (VPN, Extranets, mobilité) et externes (Cloud) de l’entreprise. Celle-ci n’est facturée que pour son usage réel du service d’authentification. 10Quelle alternative pour les déçus des tokens ?
  • 11. En matière de sécurité InWebo est basée sur des technologies de génération et de synchronisation de clés aléatoires qui rendent impossible pour un hacker de recréer des OTP valides sur la base d’informations qu’il aurait pu obtenir par reverse engineering, même en mobilisant des ressources computationnelles importantes. L’infrastructure de services InWebo est conçue pour assurer une haute disponibilité (multi- sites, multi-hébergeurs). Elle intègre des équipements de sécurité (HSM) et est mise en œuvre selon une politique de sécurité permettant en particulier de placer le service rendu sous le contrôle exclusif de l’entreprise cliente. Cette architecture de sécurité fait l’objet de brevets et a été certifiée par l’ANSSI. 11Quelle alternative pour les déçus des tokens ?
  • 12. Pour aller plus loin …  Une vidéo qui présente l’authentification forte dématérialisée In-Webo  Une description succincte des cas d’usages de la solution InWebo Enterprise  La fiche produit des solutions InWebo  La mise en place en quelques clics de la solution Enterprise pour un test gratuit A propos d’In-Webo Technologies : Créé en 2008, In-Webo Technologies propose une solution unique d’authentification forte multi-facteurs reposant sur une architecture de sécurité brevetée et certifiée par l’ANSSI. In-Webo France, EMEA & Asie : 3 rue de Montyon 75009 Paris France Tél. : +33 (0)1 46 94 68 38 In-Webo US & Canada : 11 Marty Drive Merrimack, NH – 03054 USA Tél. : +1 (603) 429-9402 www.in-webo.com 12Quelle alternative pour les déçus des tokens ?