07/04/2000
Single
Sign On : problématique comprise mais non prioritaire
Un
seul mot de passe pour accéder à l'ensemble
des applications de l'entreprise : le rêve de nombre
de responsables de la sécurité des systèmes
d'information. En effet, selon une étude publiée
le mois dernier par le cabinet de conseil Arthur Andersen,
près de 65 % des répondants (responsables
de la sécurité informatique ou directeurs des
systèmes d'information) estiment entre 4 et 10
le nombre de mots de passe par utilisateur dans leur entreprise.
Or, à chacun d'eux correspond un système différent
pour l'authentification, qui comporte ses propres faiblesses
et complique le travail de l'administrateur
Arthur Andersen
a posé la question du critère prépondérant
incitant les entreprises à s'équiper d'un système
de SSO (Single Sign On) pour regrouper tous les accès
derrière un seul et unique mot de passe. 35 %
des sondés apparaissent ainsi motivés par les
faiblesses de sécurité inhérentes à
l'utilisation de mots de passe multiples. Devant la profusion
d'accès non centralisés, 32 % fustigent
la complexité de l'administration des comptes, et
26 % rejettent le manque de convivialité pour
les utilisateurs. Ces critères de choix correspondent
en fait aux bénéfices attendus de la mise en
place d'une solution de SSO. De ce côté, la sécurisation
accrue des accès et la standardisation de la politique
de sécurité quant à l'authentification
arrivent ex-aequo à 29 %, suivies par l'amélioration
de la convivialité pour les utilisateurs à 25 %.
Ce dernier point concernant les utilisateurs n'est pourtant
pas le moindre problème car une partie conséquente
des risques liés à la sécurité
des systèmes d'information provient de l'erreur humaine.
Or, comme il est difficile de retenir un très grand
nombre de mots de passe, certains collaborateurs peuvent choisir
de disposer d'une liste écrite afin de les répertorier.
Dans ce cas, le risque est évident si la liste est
interceptée ou tout simplement consultée par
un tiers malveillant. D'un autre côté, certains
serveurs peuvent enregistrer les erreurs lors de la frappe,
comme la saisie d'un mauvais mot de passe. Si l'utilisateur
tente d'essayer ses différents mots de passe les uns
après les autres, à chaque fois en renseignant
un fichier log, les personnes pouvant lire ce dernier auront
à leur disposition une liste, probablement exhaustive,
de ses codes d'accès.
Dans le même temps, pour près de la moitié
(49 %) des responsables informatique et sécurité,
l'installation d'un système de SSO n'est pas une priorité.
En revanche, 21 % prévoient d'en déployer
un à court ou moyen terme. Mais aucune solution ne
répondrait aux attentes de 15 % d'entre eux. Notons
que si une grande majorité des répondants semblent
hésiter, la raison primordiale pourrait se situer dans
les difficultés du travail en amont. Avant d'unifier
les procédures d'accès aux différents
systèmes, il paraît indispensable de mettre à
plat l'ensemble des droits d'accès des utilisateurs
aux différentes ressources de l'entreprise. En amont,
46 % des répondants jugent indispensable d'effectuer
un audit général du système d'information,
devant 26 % en faveur d'une étude sur les procédures
de gestion des comptes utilisateurs, et 20 % qui se contenteraient
d'une étude sur l'attribution des droits. Ainsi, les
difficultés techniques liées au déploiement
sont citées en tête des freins au démarrage
d'un projet SSO (34 %), suivies par les implications
organisationnelles (27 %) et les coûts (14 %)
qui varient notamment en fonction des difficultés d'intégration.
Enfin, à l'inverse des freins, le développement
de la technologie des méta-annuaires, qui unifie l'accès
aux différents annuaires de l'entreprise, sera pour
35 % un facteur déterminant dans le processus
de démocratisation du Single Sign On.
[François
Morel, JDNet]
|