Single Sign On : problématique comprise mais non prioritaire

Un seul mot de passe pour accéder à l'ensemble des applications de l'entreprise : le rêve de nombre de responsables de la sécurité des systèmes d'information. En effet, selon une étude publiée le mois dernier par le cabinet de conseil Arthur Andersen, près de 65 % des répondants (responsables de la sécurité informatique ou directeurs des systèmes d'information) estiment entre 4 et 10 le nombre de mots de passe par utilisateur dans leur entreprise. Or, à chacun d'eux correspond un système différent pour l'authentification, qui comporte ses propres faiblesses et complique le travail de l'administrateur

Arthur Andersen a posé la question du critère prépondérant incitant les entreprises à s'équiper d'un système de SSO (Single Sign On) pour regrouper tous les accès derrière un seul et unique mot de passe. 35 % des sondés apparaissent ainsi motivés par les faiblesses de sécurité inhérentes à l'utilisation de mots de passe multiples. Devant la profusion d'accès non centralisés, 32 % fustigent la complexité de l'administration des comptes, et 26 % rejettent le manque de convivialité pour les utilisateurs. Ces critères de choix correspondent en fait aux bénéfices attendus de la mise en place d'une solution de SSO. De ce côté, la sécurisation accrue des accès et la standardisation de la politique de sécurité quant à l'authentification arrivent ex-aequo à 29 %, suivies par l'amélioration de la convivialité pour les utilisateurs à 25 %.

Ce dernier point concernant les utilisateurs n'est pourtant pas le moindre problème car une partie conséquente des risques liés à la sécurité des systèmes d'information provient de l'erreur humaine. Or, comme il est difficile de retenir un très grand nombre de mots de passe, certains collaborateurs peuvent choisir de disposer d'une liste écrite afin de les répertorier. Dans ce cas, le risque est évident si la liste est interceptée ou tout simplement consultée par un tiers malveillant. D'un autre côté, certains serveurs peuvent enregistrer les erreurs lors de la frappe, comme la saisie d'un mauvais mot de passe. Si l'utilisateur tente d'essayer ses différents mots de passe les uns après les autres, à chaque fois en renseignant un fichier log, les personnes pouvant lire ce dernier auront à leur disposition une liste, probablement exhaustive, de ses codes d'accès.

Dans le même temps, pour près de la moitié (49 %) des responsables informatique et sécurité, l'installation d'un système de SSO n'est pas une priorité. En revanche, 21 % prévoient d'en déployer un à court ou moyen terme. Mais aucune solution ne répondrait aux attentes de 15 % d'entre eux. Notons que si une grande majorité des répondants semblent hésiter, la raison primordiale pourrait se situer dans les difficultés du travail en amont. Avant d'unifier les procédures d'accès aux différents systèmes, il paraît indispensable de mettre à plat l'ensemble des droits d'accès des utilisateurs aux différentes ressources de l'entreprise. En amont, 46 % des répondants jugent indispensable d'effectuer un audit général du système d'information, devant 26 % en faveur d'une étude sur les procédures de gestion des comptes utilisateurs, et 20 % qui se contenteraient d'une étude sur l'attribution des droits. Ainsi, les difficultés techniques liées au déploiement sont citées en tête des freins au démarrage d'un projet SSO (34 %), suivies par les implications organisationnelles (27 %) et les coûts (14 %) qui varient notamment en fonction des difficultés d'intégration. Enfin, à l'inverse des freins, le développement de la technologie des méta-annuaires, qui unifie l'accès aux différents annuaires de l'entreprise, sera pour 35 % un facteur déterminant dans le processus de démocratisation du Single Sign On. [François Morel, JDNet]