Quelle alternative pour les déçus des tokens?
-
Upload
zdnet-france -
Category
Technology
-
view
603 -
download
0
description
Transcript of Quelle alternative pour les déçus des tokens?
Livre Blanc
Quelle alternative pour les déçus des tokens ?
Le SAAS et la mobilité permettent enfin de populariser l’usage de l’authentification
forte... Et d’en réduire drastiquement la facture.
© 2012 – In-Webo Technologies
www.in-webo.com
2 Quelle alternative pour les déçus des tokens ?
Table des matières
......................................................................... 1 Quelle alternative pour les déçus des tokens ?
L’authentification, un besoin qui grandit, grandit… ................................................................ 3
Les réponses classiques ........................................................................................................ 5
Le cahier des charges pour l’authentification des utilisateurs ............................................... 6
Qu’est-ce que l’authentification forte SaaS ? ......................................................................... 6
Quid de la disponibilité du service ? ................................................................................... 7
Quid de la sécurité des données stockées dans la plate-forme d’authentification en
mode SaaS ? ...................................................................................................................... 7
Quid de la capacité à changer de fournisseur ? ................................................................. 7
Quid de la politique de sécurité ? ....................................................................................... 8
La comparaison des coûts de possession ............................................................................. 8
Le business case d’une migration réussie ............................................................................. 9
La solution InWebo ............................................................................................................... 10
Du point de vue de l’utilisateur ......................................................................................... 10
Du point de vue de l’entreprise ......................................................................................... 10
En matière de sécurité ...................................................................................................... 11
Pour aller plus loin … ........................................................................................................... 12
3 Quelle alternative pour les déçus des tokens ?
L’authentification, un besoin qui grandit, grandit…
L’économie du web est là et bien là. La première conséquence de la généralisation du
Réseau des réseaux est que les points d’entrée au SI se sont démultipliés, faisant
littéralement exploser les périmètres traditionnels. L’accès au SI représente donc le premier
risque informatique majeur auquel l’entreprise doit faire face.
Selon une étude de Mandiant en 2012, 100% des attaquants se sont introduits
dans les systèmes en utilisant des identités légitimes.
Les impératifs du métier et l’exigence de rentabilité imposent désormais une réactivité à
laquelle les procédures et outils classiques de sécurité informatiques peuvent
difficilement répondre, car ils avaient été fondamentalement pensés pour protéger des
périmètres stables et bien définis.
Or la généralisation des usages basés sur le web et les réseaux mobiles augmente la
“porosité” des périmètres du SI :
la notion d’employé ne suffit plus à caractériser l’utilisateur du SI de l’entreprise :
celui-ci peut aussi bien être un employé d’un contractant temporaire, parfois situé
dans un pays étranger, et qui doit cependant accéder à des ressources stratégiques
de l’entreprise ;
dans une économie de service, de nombreux employés peuvent eux-mêmes être en
délégation permanente chez les clients ;
4 Quelle alternative pour les déçus des tokens ?
de plus en plus d’agents économiques sont amenés à travailler ensemble
temporairement sur un projet donné, et à échanger des données confidentielles. Une
même personne peut faire partie de plusieurs groupes de travail simultanément ;
de plus en plus d’utilisateurs du SI sont nomades et amenés à se connecter depuis
de multiples endroits (chez eux, en voiture..) et par de multiples moyens (plusieurs
PC, téléphones portables, tablettes…) ;
les applications elles-mêmes quittent le périmètre protégé par l’entreprise : passage
d’une informatique en mode SAAS, initialement pour les fonctions support,
bureautique, messagerie, CRM.
Ce mouvement touche en priorité les plus petites entreprises, qui n’ont traditionnellement
pas les moyens d’internaliser les fonctions non “cœur de métier”. Cependant de plus en plus
de grandes entreprises, sont elles aussi confrontées à l’ouverture tous azimuts de leur
périmètre, lié à la généralisation de la sous-traitance, de l’externalisation, et des outils de
mobilité.
Par ailleurs, la solution consistant à tout centraliser derrière le VPN devient le plus en
plus difficile à implémenter, dans un contexte où les métiers tendent à externaliser
l’exploitation de leurs applicatifs (souvent de façon non contrôlée par la DSI).
Les utilisateurs ne sont pas contents : last but not least, les utilisateurs sont récalcitrants
à utiliser des systèmes vécus comme intrusifs ou handicapant. Or, il est bien connu que la
sécurité est une affaire de comportements avant d’être une affaire de technologies.
C’est tout le problème actuel de l’authentification de l’utilisateur.
72% des salariés équipés d’un smartphone en profitent pour travailler avec sur leur
temps personnel, selon une étude IDC pour Bouygues Telecom Entreprises réalisée
au premier semestre 2012
51% des salariés utilisent leur smartphone personnel à des fins professionnelles
61% des salariés équipés de smartphones « télétravaillent » alors que le télétravail
officiel est de 9%
Tandis que 65% des responsables informatiques interrogés déclarent ne pas
autoriser la connexion au système d’information via les outils personnels des salariés
(principalement pour des raisons de sécurité).
5 Quelle alternative pour les déçus des tokens ?
Les réponses classiques
Parmi les diverses technologies disponibles, les systèmes à base de mots de passe à
usage unique (One Time Password - OTP) sont les plus répandus. Ils permettent
notamment de s’affranchir de la mise en place d’une architecture de confiance à base
d’échanges de certificats complexe, lourde et onéreuse.
Au moment de se connecter, l’utilisateur est amené à saisir dans son navigateur un code
alphanumérique dédié à chaque utilisation, qui lui est fourni par un dispositif spécialisé, dont
l’intégrité ne peut être garantie que par la distribution d’un dispositif matériel (de type token,
clé USB ou calculette) présentant des frais d’acquisition et de gestion importants.
L’utilisateur ne peut pas se connecter s’il n’a pas le dispositif sur lui, ce qui est souvent perçu
comme une contrainte de plus.
Token Calculette Clé USB
Et cela tourne au cauchemar s’il faut provisionner des contractants extérieurs : la
procédure peut parfois prendre plus de temps que la mission elle-même !
Tout cela va à l’encontre des demandes des métiers, pour plus d’agilité et de disponibilité
des moyens informatiques.
Pour ces raisons la diffusion de cette solution reste confidentielle et réservée à certaines
populations sensibles des grandes organisations.
Ceci est regrettable, car le dispositif de l’OTP (Mot de passe à usage unique) est
clairement le meilleur compromis entre les besoins des populations d’utilisateurs
flexibles et mobiles, et les exigences de sécurité.
Pour être adopté par tous, il faut qu’il puisse s’intégrer de manière fiable dans l’outil
quotidien de l’utilisateur (téléphone portable, divers PC, etc...), de façon non-intrusive.
L’envoi d’un code de confirmation par SMS sur le téléphone portable de l’usager constitue
une première approche de cet idéal.
Ce système est surtout utilisé par les banques (paiement 3D Secure). Malheureusement
cette solution rencontre des contraintes d’usage qui en limitent la validité : joignabilité réseau
6 Quelle alternative pour les déçus des tokens ?
du téléphone portable, interruption de la séquence de navigation, garantie que la personne
qui ressaisit le code est bien le possesseur de la ligne….et le coût d’envoi des SMS reste
prohibitif.
Le cahier des charges pour l’authentification des
utilisateurs
Une telle solution doit répondre aux critères suivants :
Simplicité : le dispositif fournissant l’OTP doit être au plus près des outils de
l’utilisateur, c’est à dire embarqué dans le téléphone portable, ou dans le navigateur,
ou intégré dans l’application elle-même. Sa mise en œuvre par l’utilisateur doit être
très intuitive.
Sécurité : le dispositif fournissant l’OTP doit apporter le même niveau de sécurité
que les dispositifs matériels évoqués ci-dessus, et en particulier être insensible au
reverse engineering, c’est à dire à la possibilité pour un hacker de capturer les
éléments permettant de créer de nouveaux OTP valides.
Agilité : le dispositif doit s’intégrer simplement et rapidement à la gestion du cycle de
vie des utilisateurs (enrôlement/modification/suppression) et aux applications du
fournisseur de service.
Economie : la facturation du service doit être fonction de son l’usage. De manière
générale le coût de la solution doit être très bas afin de permettre d’en diffuser
l’usage pour le plus grand nombre.
Qu’est-ce que l’authentification forte SaaS ?
Le modèle gagnant est celui d’une solution permettant de combiner les avantages de la
dématérialisation sécurisée des outils d’authentification, avec la mutualisation d’une
infrastructure informatique spécialisée, disponible sous forme d’un service en mode SaaS
(software as a service).
Dans un tel service, la fonction d’authentification est délivrée par un opérateur tiers
spécialisé, ce qui entraîne plusieurs questions :
7 Quelle alternative pour les déçus des tokens ?
Quid de la disponibilité du service ?
L’architecture du SaaS doit être multi-redondée auprès de d’hébergeurs de 1er niveau
(disposant des certifications les plus avancées), avec un SLA minimum de 99,9%. La
disponibilité d’un serveur Cloud ou SaaS est généralement supérieure à celle d’une
architecture propriétaire non-dédiée.
Quid de la sécurité des données stockées dans la plate-forme
d’authentification en mode SaaS ?
Le service SaaS doit être transparent sur son architecture et sur sa politique de sécurité. Il
doit donner toutes les garanties sur le caractère anonyme des données, ainsi que sur leur
stockage sécurisé. Dans l’attente de standards similaires à ceux imposés aux émetteurs de
certificats électroniques, une bonne pratique amenée à émerger sur le marché est la mise en
œuvre par l’opérateur d’équipements de sécurité1, associée à une politique de sécurité
plaçant le service rendu sous le contrôle de l’entreprise cliente.
Ce type de dispositifs spécialisés et de bonnes pratiques entraîne des investissements
importants. Il constitue un niveau de sécurité qui n’est pas accessible conventionnellement
auprès des acteurs traditionnels de l’authentification, récemment convertis à la mode du
Cloud.
Quid de la capacité à changer de fournisseur ?
Côté serveur : l’adhérence technique au SaaS est minime car les éléments sensibles
tels qu’identités, données, et éléments de sécurité, sont sous le contrôle du client ;
Côté utilisateur : les applications logicielles peuvent être remplacées du jour au
lendemain. Se pose quand même la question des procédures organisationnelles liées
au déploiement et à l’utilisation du service ;
Côté financier : le modèle de coût étant basé sur l’usage, l’entreprise est affranchie
des contraintes habituelles d’amortissement et de maintenance.
1 Hardware Security Modules, HSM
Cas d’usage : « En choisissant une méthode d’authentification forte en SAAS, le
service informatique d’un grand industriel français peut s’assurer de l’authentification
forte de ses contractants en Inde lorsqu’ils se connectent pour des opérations de TMA
sensibles de durée limitée sur son SI ».
8 Quelle alternative pour les déçus des tokens ?
Quid de la politique de sécurité ?
La politique de sécurité doit rester intégralement sous le contrôle de l’entreprise. Elle doit
être paramétrable par les divers responsables de services (métiers) sous le contrôle de la
politique générale de sécurité de l’entreprise.
La comparaison des coûts de possession
Le coût est le nerf de la guerre. La comparaison du coût de possession d’une solution
d’authentification forte « classique » comparée à une solution SaaS (In-Webo) est éloquente.
Les chiffres sont donnés par utilisateur pour un parc de 1000 utilisateurs.
Sur 1 an Sur 3 ans
Tokens classiques SaaS Tokens classiques SaaS
Coût d'acquisition des tokens 60 € 0 60 € 0
Backoffice (Licences Serveur +
Backup) 66 € 20 € 66 € 60 €
Maintenance logicielle 14 € 0 € 42 € 0 €
Coût du support utilisateur
(désynchronisation, PIN oublié) 15 € 5 € 45 € 15 €
Coût de gestion des tokens
(expédition/pile/perte) 5% par
an
3 € 0 € 9 € 0 €
Administration : 1 ETP / 1000
pers - 60K€ chargé 60 € 12 € 180 € 36 €
Total 218 € 37 € 402 € 111 €
SaaS / tokens & serveurs
17,0 %
27,6 %
Résultat : une économie de 291 000 euros sur 3 ans !
En sécurité comme ailleurs, le SaaS introduit un vrai changement de paradigme : il
est désormais possible de se protéger efficacement et à moindre coûts contre
l’usurpation d’identité dans un monde ouvert et agile. Ce faisant, la sécurité devient un
moteur du business au lieu d’être vécue comme un frein.
9 Quelle alternative pour les déçus des tokens ?
Cette analyse s’appuie sur les coûts constatés auprès de plusieurs entreprises, ainsi que sur les informations
publiées par les fournisseurs eux-mêmes.
Le business case d’une migration réussie
Analyse de ROI pour une migration tokens & serveurs vers mode SaaS sur 3 ans.
Remplacement de tous les anciens tokens (30% sont encore valides pour 1 an)
Cas d'usage : accès VPN
1000 utilisateurs
Année 1 Année 2 Année 3 Total
Amortissement Tokens matériel 6 667 €
Amortissement backoffice 22 000 €
Cout de retrait des tokens matériels 10 000 €
Frais d'intégration fonctionnelle de la
nouvelle solution 2 250 €
Accompagnement des utilisateurs 5 000 €
TCO Solution SAAS 1 an 37 000 € 37 000 € 37 000 €
Cout du Projet 82 917 € 37 000 € 37 000 € 156 917 €
Coût du statu quo 133 860 € 133 860 € 133 860 € 401 580 €
Gain cumulé 50 943 € 147 803 € 244 663 €
ROI (mois) 7,37
Sur 3 ans le coût d’une solution d’authentification forte en SAAS est 4 fois inférieur à
celui d’une solution classique d’authentification à base de tokens matériels. Selon le
scénario de montée en charge, à périmètre égal, la transition d’une solution à l’autre,
projet inclus, sera payée dans les 8 mois !
10 Quelle alternative pour les déçus des tokens ?
La solution InWebo
InWebo est une solution d’authentification forte et multi-facteurs, basée sur le principe du
Mot de passe à Usage Unique (OTP).
Du point de vue de l’utilisateur
InWebo est soit une application, téléchargeable gratuitement directement dans le téléphone
portable, le smartphone, la tablette ou l’ordinateur (via Appstore et équivalents), soit une
technologie intégrée de façon transparente pour lui à ses applications. Lors de l’activation
initiale, l’utilisateur crée son propre code PIN respectant la politique de l’entreprise, et le tour
est joué.
InWebo est vu comme un service permettant de retrouver tous ses services sur tous ses
terminaux et équipements, et de ne se rappeler que d’un mot de passe maître ou PIN.
InWebo fournit un mot de passe unique (OTP) dédié à chaque service et respectant sa
politique de sécurité propre.
Sur un téléphone portable, l’OTP est obtenu sans connexion ni SMS, supprimant les
limitations techniques et économiques inhérentes à ces dispositifs ; l’utilisateur doit le
ressaisir sur son écran d’ordinateur. Sur les terminaux utilisés pour se connecter
(smartphones, tablettes, ordinateurs personnels), InWebo remplit automatiquement tous les
champs de saisie pour l’utilisateur, évitant la ressaisie.
L’utilisateur peut disposer d’autant de dispositifs qu’il le souhaite (PC bureau, PC maison,
téléphone portable, tablette) ou qu’on l’y autorise. Il aura accès à tous ses services où qu’il
soit. Les moyens d’authentification InWebo sont donc particulièrement adaptés à la vague du
BYOD.
Du point de vue de l’entreprise
InWebo est un service d’autorisation externe, opéré dans un data center hautement
sécurisé. La mise en œuvre d’In-Webo ne nécessite pas l’achat d’une infrastructure
informatique, et son intégration technique est une affaire d’heures.
L’entreprise dispose d’un jeu de connecteurs, sous forme de webservices facilement
intégrables ou configurables, permettant de gérer le cycle de vie complet des utilisateurs et
des applications In-Webo, de synchroniser avec les annuaires internes, et d’inter-fonctionner
avec les points d’accès internes (VPN, Extranets, mobilité) et externes (Cloud) de
l’entreprise. Celle-ci n’est facturée que pour son usage réel du service d’authentification.
11 Quelle alternative pour les déçus des tokens ?
En matière de sécurité
InWebo est basée sur des technologies de génération et de synchronisation de clés
aléatoires qui rendent impossible pour un hacker de recréer des OTP valides sur la base
d’informations qu’il aurait pu obtenir par reverse engineering, même en mobilisant des
ressources computationnelles importantes.
L’infrastructure de services InWebo est conçue pour assurer une haute disponibilité (multi-
sites, multi-hébergeurs). Elle intègre des équipements de sécurité (HSM) et est mise en
œuvre selon une politique de sécurité permettant en particulier de placer le service rendu
sous le contrôle exclusif de l’entreprise cliente.
Cette architecture de sécurité fait l’objet de brevets et a été certifiée par l’ANSSI.
12 Quelle alternative pour les déçus des tokens ?
Pour aller plus loin …
Une vidéo qui présente l’authentification forte dématérialisée In-Webo
Une description succincte des cas d’usages de la solution InWebo Enterprise
La fiche produit des solutions InWebo
La mise en place en quelques clics de la solution Enterprise pour un test gratuit
www.in-webo.com
A propos d’In-Webo Technologies :
Créé en 2008, In-Webo Technologies propose une solution unique d’authentification
forte multi-facteurs reposant sur une architecture de sécurité brevetée et certifiée par
l’ANSSI.
In-Webo France, EMEA & Asie :
3 rue de Montyon
75009 Paris
France
Tél. : +33 (0)1 46 94 68 38
In-Webo US & Canada :
11 Marty Drive
Merrimack, NH – 03054
USA
Tél. : +1 (603) 429-9402