12
Livre Blanc Quelle alternative pour les déçus des tokens ? Le SAAS et la mobilité permettent enfin de populariser l’usage de l’authentification forte... Et d’en réduire drastiquement la facture. © 2012 In-Webo Technologies www.in-webo.com

Quelle alternative pour les déçus des tokens?

Embed Size (px)

DESCRIPTION

Le SaaS et la mobilité permettent enfin de populariser l'usage de l'authentification forte...Et d'en réduire drastiquement la facture.

Citation preview

Page 1: Quelle alternative pour les déçus des tokens?

Livre Blanc

Quelle alternative pour les déçus des tokens ?

Le SAAS et la mobilité permettent enfin de populariser l’usage de l’authentification

forte... Et d’en réduire drastiquement la facture.

© 2012 – In-Webo Technologies

www.in-webo.com

Page 2: Quelle alternative pour les déçus des tokens?

2 Quelle alternative pour les déçus des tokens ?

Table des matières

......................................................................... 1 Quelle alternative pour les déçus des tokens ?

L’authentification, un besoin qui grandit, grandit… ................................................................ 3

Les réponses classiques ........................................................................................................ 5

Le cahier des charges pour l’authentification des utilisateurs ............................................... 6

Qu’est-ce que l’authentification forte SaaS ? ......................................................................... 6

Quid de la disponibilité du service ? ................................................................................... 7

Quid de la sécurité des données stockées dans la plate-forme d’authentification en

mode SaaS ? ...................................................................................................................... 7

Quid de la capacité à changer de fournisseur ? ................................................................. 7

Quid de la politique de sécurité ? ....................................................................................... 8

La comparaison des coûts de possession ............................................................................. 8

Le business case d’une migration réussie ............................................................................. 9

La solution InWebo ............................................................................................................... 10

Du point de vue de l’utilisateur ......................................................................................... 10

Du point de vue de l’entreprise ......................................................................................... 10

En matière de sécurité ...................................................................................................... 11

Pour aller plus loin … ........................................................................................................... 12

Page 3: Quelle alternative pour les déçus des tokens?

3 Quelle alternative pour les déçus des tokens ?

L’authentification, un besoin qui grandit, grandit…

L’économie du web est là et bien là. La première conséquence de la généralisation du

Réseau des réseaux est que les points d’entrée au SI se sont démultipliés, faisant

littéralement exploser les périmètres traditionnels. L’accès au SI représente donc le premier

risque informatique majeur auquel l’entreprise doit faire face.

Selon une étude de Mandiant en 2012, 100% des attaquants se sont introduits

dans les systèmes en utilisant des identités légitimes.

Les impératifs du métier et l’exigence de rentabilité imposent désormais une réactivité à

laquelle les procédures et outils classiques de sécurité informatiques peuvent

difficilement répondre, car ils avaient été fondamentalement pensés pour protéger des

périmètres stables et bien définis.

Or la généralisation des usages basés sur le web et les réseaux mobiles augmente la

“porosité” des périmètres du SI :

la notion d’employé ne suffit plus à caractériser l’utilisateur du SI de l’entreprise :

celui-ci peut aussi bien être un employé d’un contractant temporaire, parfois situé

dans un pays étranger, et qui doit cependant accéder à des ressources stratégiques

de l’entreprise ;

dans une économie de service, de nombreux employés peuvent eux-mêmes être en

délégation permanente chez les clients ;

Page 4: Quelle alternative pour les déçus des tokens?

4 Quelle alternative pour les déçus des tokens ?

de plus en plus d’agents économiques sont amenés à travailler ensemble

temporairement sur un projet donné, et à échanger des données confidentielles. Une

même personne peut faire partie de plusieurs groupes de travail simultanément ;

de plus en plus d’utilisateurs du SI sont nomades et amenés à se connecter depuis

de multiples endroits (chez eux, en voiture..) et par de multiples moyens (plusieurs

PC, téléphones portables, tablettes…) ;

les applications elles-mêmes quittent le périmètre protégé par l’entreprise : passage

d’une informatique en mode SAAS, initialement pour les fonctions support,

bureautique, messagerie, CRM.

Ce mouvement touche en priorité les plus petites entreprises, qui n’ont traditionnellement

pas les moyens d’internaliser les fonctions non “cœur de métier”. Cependant de plus en plus

de grandes entreprises, sont elles aussi confrontées à l’ouverture tous azimuts de leur

périmètre, lié à la généralisation de la sous-traitance, de l’externalisation, et des outils de

mobilité.

Par ailleurs, la solution consistant à tout centraliser derrière le VPN devient le plus en

plus difficile à implémenter, dans un contexte où les métiers tendent à externaliser

l’exploitation de leurs applicatifs (souvent de façon non contrôlée par la DSI).

Les utilisateurs ne sont pas contents : last but not least, les utilisateurs sont récalcitrants

à utiliser des systèmes vécus comme intrusifs ou handicapant. Or, il est bien connu que la

sécurité est une affaire de comportements avant d’être une affaire de technologies.

C’est tout le problème actuel de l’authentification de l’utilisateur.

72% des salariés équipés d’un smartphone en profitent pour travailler avec sur leur

temps personnel, selon une étude IDC pour Bouygues Telecom Entreprises réalisée

au premier semestre 2012

51% des salariés utilisent leur smartphone personnel à des fins professionnelles

61% des salariés équipés de smartphones « télétravaillent » alors que le télétravail

officiel est de 9%

Tandis que 65% des responsables informatiques interrogés déclarent ne pas

autoriser la connexion au système d’information via les outils personnels des salariés

(principalement pour des raisons de sécurité).

Page 5: Quelle alternative pour les déçus des tokens?

5 Quelle alternative pour les déçus des tokens ?

Les réponses classiques

Parmi les diverses technologies disponibles, les systèmes à base de mots de passe à

usage unique (One Time Password - OTP) sont les plus répandus. Ils permettent

notamment de s’affranchir de la mise en place d’une architecture de confiance à base

d’échanges de certificats complexe, lourde et onéreuse.

Au moment de se connecter, l’utilisateur est amené à saisir dans son navigateur un code

alphanumérique dédié à chaque utilisation, qui lui est fourni par un dispositif spécialisé, dont

l’intégrité ne peut être garantie que par la distribution d’un dispositif matériel (de type token,

clé USB ou calculette) présentant des frais d’acquisition et de gestion importants.

L’utilisateur ne peut pas se connecter s’il n’a pas le dispositif sur lui, ce qui est souvent perçu

comme une contrainte de plus.

Token Calculette Clé USB

Et cela tourne au cauchemar s’il faut provisionner des contractants extérieurs : la

procédure peut parfois prendre plus de temps que la mission elle-même !

Tout cela va à l’encontre des demandes des métiers, pour plus d’agilité et de disponibilité

des moyens informatiques.

Pour ces raisons la diffusion de cette solution reste confidentielle et réservée à certaines

populations sensibles des grandes organisations.

Ceci est regrettable, car le dispositif de l’OTP (Mot de passe à usage unique) est

clairement le meilleur compromis entre les besoins des populations d’utilisateurs

flexibles et mobiles, et les exigences de sécurité.

Pour être adopté par tous, il faut qu’il puisse s’intégrer de manière fiable dans l’outil

quotidien de l’utilisateur (téléphone portable, divers PC, etc...), de façon non-intrusive.

L’envoi d’un code de confirmation par SMS sur le téléphone portable de l’usager constitue

une première approche de cet idéal.

Ce système est surtout utilisé par les banques (paiement 3D Secure). Malheureusement

cette solution rencontre des contraintes d’usage qui en limitent la validité : joignabilité réseau

Page 6: Quelle alternative pour les déçus des tokens?

6 Quelle alternative pour les déçus des tokens ?

du téléphone portable, interruption de la séquence de navigation, garantie que la personne

qui ressaisit le code est bien le possesseur de la ligne….et le coût d’envoi des SMS reste

prohibitif.

Le cahier des charges pour l’authentification des

utilisateurs

Une telle solution doit répondre aux critères suivants :

Simplicité : le dispositif fournissant l’OTP doit être au plus près des outils de

l’utilisateur, c’est à dire embarqué dans le téléphone portable, ou dans le navigateur,

ou intégré dans l’application elle-même. Sa mise en œuvre par l’utilisateur doit être

très intuitive.

Sécurité : le dispositif fournissant l’OTP doit apporter le même niveau de sécurité

que les dispositifs matériels évoqués ci-dessus, et en particulier être insensible au

reverse engineering, c’est à dire à la possibilité pour un hacker de capturer les

éléments permettant de créer de nouveaux OTP valides.

Agilité : le dispositif doit s’intégrer simplement et rapidement à la gestion du cycle de

vie des utilisateurs (enrôlement/modification/suppression) et aux applications du

fournisseur de service.

Economie : la facturation du service doit être fonction de son l’usage. De manière

générale le coût de la solution doit être très bas afin de permettre d’en diffuser

l’usage pour le plus grand nombre.

Qu’est-ce que l’authentification forte SaaS ?

Le modèle gagnant est celui d’une solution permettant de combiner les avantages de la

dématérialisation sécurisée des outils d’authentification, avec la mutualisation d’une

infrastructure informatique spécialisée, disponible sous forme d’un service en mode SaaS

(software as a service).

Dans un tel service, la fonction d’authentification est délivrée par un opérateur tiers

spécialisé, ce qui entraîne plusieurs questions :

Page 7: Quelle alternative pour les déçus des tokens?

7 Quelle alternative pour les déçus des tokens ?

Quid de la disponibilité du service ?

L’architecture du SaaS doit être multi-redondée auprès de d’hébergeurs de 1er niveau

(disposant des certifications les plus avancées), avec un SLA minimum de 99,9%. La

disponibilité d’un serveur Cloud ou SaaS est généralement supérieure à celle d’une

architecture propriétaire non-dédiée.

Quid de la sécurité des données stockées dans la plate-forme

d’authentification en mode SaaS ?

Le service SaaS doit être transparent sur son architecture et sur sa politique de sécurité. Il

doit donner toutes les garanties sur le caractère anonyme des données, ainsi que sur leur

stockage sécurisé. Dans l’attente de standards similaires à ceux imposés aux émetteurs de

certificats électroniques, une bonne pratique amenée à émerger sur le marché est la mise en

œuvre par l’opérateur d’équipements de sécurité1, associée à une politique de sécurité

plaçant le service rendu sous le contrôle de l’entreprise cliente.

Ce type de dispositifs spécialisés et de bonnes pratiques entraîne des investissements

importants. Il constitue un niveau de sécurité qui n’est pas accessible conventionnellement

auprès des acteurs traditionnels de l’authentification, récemment convertis à la mode du

Cloud.

Quid de la capacité à changer de fournisseur ?

Côté serveur : l’adhérence technique au SaaS est minime car les éléments sensibles

tels qu’identités, données, et éléments de sécurité, sont sous le contrôle du client ;

Côté utilisateur : les applications logicielles peuvent être remplacées du jour au

lendemain. Se pose quand même la question des procédures organisationnelles liées

au déploiement et à l’utilisation du service ;

Côté financier : le modèle de coût étant basé sur l’usage, l’entreprise est affranchie

des contraintes habituelles d’amortissement et de maintenance.

1 Hardware Security Modules, HSM

Cas d’usage : « En choisissant une méthode d’authentification forte en SAAS, le

service informatique d’un grand industriel français peut s’assurer de l’authentification

forte de ses contractants en Inde lorsqu’ils se connectent pour des opérations de TMA

sensibles de durée limitée sur son SI ».

Page 8: Quelle alternative pour les déçus des tokens?

8 Quelle alternative pour les déçus des tokens ?

Quid de la politique de sécurité ?

La politique de sécurité doit rester intégralement sous le contrôle de l’entreprise. Elle doit

être paramétrable par les divers responsables de services (métiers) sous le contrôle de la

politique générale de sécurité de l’entreprise.

La comparaison des coûts de possession

Le coût est le nerf de la guerre. La comparaison du coût de possession d’une solution

d’authentification forte « classique » comparée à une solution SaaS (In-Webo) est éloquente.

Les chiffres sont donnés par utilisateur pour un parc de 1000 utilisateurs.

Sur 1 an Sur 3 ans

Tokens classiques SaaS Tokens classiques SaaS

Coût d'acquisition des tokens 60 € 0 60 € 0

Backoffice (Licences Serveur +

Backup) 66 € 20 € 66 € 60 €

Maintenance logicielle 14 € 0 € 42 € 0 €

Coût du support utilisateur

(désynchronisation, PIN oublié) 15 € 5 € 45 € 15 €

Coût de gestion des tokens

(expédition/pile/perte) 5% par

an

3 € 0 € 9 € 0 €

Administration : 1 ETP / 1000

pers - 60K€ chargé 60 € 12 € 180 € 36 €

Total 218 € 37 € 402 € 111 €

SaaS / tokens & serveurs

17,0 %

27,6 %

Résultat : une économie de 291 000 euros sur 3 ans !

En sécurité comme ailleurs, le SaaS introduit un vrai changement de paradigme : il

est désormais possible de se protéger efficacement et à moindre coûts contre

l’usurpation d’identité dans un monde ouvert et agile. Ce faisant, la sécurité devient un

moteur du business au lieu d’être vécue comme un frein.

Page 9: Quelle alternative pour les déçus des tokens?

9 Quelle alternative pour les déçus des tokens ?

Cette analyse s’appuie sur les coûts constatés auprès de plusieurs entreprises, ainsi que sur les informations

publiées par les fournisseurs eux-mêmes.

Le business case d’une migration réussie

Analyse de ROI pour une migration tokens & serveurs vers mode SaaS sur 3 ans.

Remplacement de tous les anciens tokens (30% sont encore valides pour 1 an)

Cas d'usage : accès VPN

1000 utilisateurs

Année 1 Année 2 Année 3 Total

Amortissement Tokens matériel 6 667 €

Amortissement backoffice 22 000 €

Cout de retrait des tokens matériels 10 000 €

Frais d'intégration fonctionnelle de la

nouvelle solution 2 250 €

Accompagnement des utilisateurs 5 000 €

TCO Solution SAAS 1 an 37 000 € 37 000 € 37 000 €

Cout du Projet 82 917 € 37 000 € 37 000 € 156 917 €

Coût du statu quo 133 860 € 133 860 € 133 860 € 401 580 €

Gain cumulé 50 943 € 147 803 € 244 663 €

ROI (mois) 7,37

Sur 3 ans le coût d’une solution d’authentification forte en SAAS est 4 fois inférieur à

celui d’une solution classique d’authentification à base de tokens matériels. Selon le

scénario de montée en charge, à périmètre égal, la transition d’une solution à l’autre,

projet inclus, sera payée dans les 8 mois !

Page 10: Quelle alternative pour les déçus des tokens?

10 Quelle alternative pour les déçus des tokens ?

La solution InWebo

InWebo est une solution d’authentification forte et multi-facteurs, basée sur le principe du

Mot de passe à Usage Unique (OTP).

Du point de vue de l’utilisateur

InWebo est soit une application, téléchargeable gratuitement directement dans le téléphone

portable, le smartphone, la tablette ou l’ordinateur (via Appstore et équivalents), soit une

technologie intégrée de façon transparente pour lui à ses applications. Lors de l’activation

initiale, l’utilisateur crée son propre code PIN respectant la politique de l’entreprise, et le tour

est joué.

InWebo est vu comme un service permettant de retrouver tous ses services sur tous ses

terminaux et équipements, et de ne se rappeler que d’un mot de passe maître ou PIN.

InWebo fournit un mot de passe unique (OTP) dédié à chaque service et respectant sa

politique de sécurité propre.

Sur un téléphone portable, l’OTP est obtenu sans connexion ni SMS, supprimant les

limitations techniques et économiques inhérentes à ces dispositifs ; l’utilisateur doit le

ressaisir sur son écran d’ordinateur. Sur les terminaux utilisés pour se connecter

(smartphones, tablettes, ordinateurs personnels), InWebo remplit automatiquement tous les

champs de saisie pour l’utilisateur, évitant la ressaisie.

L’utilisateur peut disposer d’autant de dispositifs qu’il le souhaite (PC bureau, PC maison,

téléphone portable, tablette) ou qu’on l’y autorise. Il aura accès à tous ses services où qu’il

soit. Les moyens d’authentification InWebo sont donc particulièrement adaptés à la vague du

BYOD.

Du point de vue de l’entreprise

InWebo est un service d’autorisation externe, opéré dans un data center hautement

sécurisé. La mise en œuvre d’In-Webo ne nécessite pas l’achat d’une infrastructure

informatique, et son intégration technique est une affaire d’heures.

L’entreprise dispose d’un jeu de connecteurs, sous forme de webservices facilement

intégrables ou configurables, permettant de gérer le cycle de vie complet des utilisateurs et

des applications In-Webo, de synchroniser avec les annuaires internes, et d’inter-fonctionner

avec les points d’accès internes (VPN, Extranets, mobilité) et externes (Cloud) de

l’entreprise. Celle-ci n’est facturée que pour son usage réel du service d’authentification.

Page 11: Quelle alternative pour les déçus des tokens?

11 Quelle alternative pour les déçus des tokens ?

En matière de sécurité

InWebo est basée sur des technologies de génération et de synchronisation de clés

aléatoires qui rendent impossible pour un hacker de recréer des OTP valides sur la base

d’informations qu’il aurait pu obtenir par reverse engineering, même en mobilisant des

ressources computationnelles importantes.

L’infrastructure de services InWebo est conçue pour assurer une haute disponibilité (multi-

sites, multi-hébergeurs). Elle intègre des équipements de sécurité (HSM) et est mise en

œuvre selon une politique de sécurité permettant en particulier de placer le service rendu

sous le contrôle exclusif de l’entreprise cliente.

Cette architecture de sécurité fait l’objet de brevets et a été certifiée par l’ANSSI.

Page 12: Quelle alternative pour les déçus des tokens?

12 Quelle alternative pour les déçus des tokens ?

Pour aller plus loin …

Une vidéo qui présente l’authentification forte dématérialisée In-Webo

Une description succincte des cas d’usages de la solution InWebo Enterprise

La fiche produit des solutions InWebo

La mise en place en quelques clics de la solution Enterprise pour un test gratuit

www.in-webo.com

A propos d’In-Webo Technologies :

Créé en 2008, In-Webo Technologies propose une solution unique d’authentification

forte multi-facteurs reposant sur une architecture de sécurité brevetée et certifiée par

l’ANSSI.

In-Webo France, EMEA & Asie :

3 rue de Montyon

75009 Paris

France

Tél. : +33 (0)1 46 94 68 38

In-Webo US & Canada :

11 Marty Drive

Merrimack, NH – 03054

USA

Tél. : +1 (603) 429-9402