Comment le Crédit Agricole est passé au coffre fort numérique Les solutions d'identification écartées

il ne faut pas que l'accès à des données sensibles soit trop simple.
Il ne faut pas que l'accès à des données sensibles soit trop simple. © GrIDsure

"Lorsque nous avons mis notre intranet sur Internet et lancé notre extranet, des informations sensibles confidentielles devaient être convenablement protégées", raconte Hervé Dupressoir, responsable informatique et télécom de la Fédération Nationale du Crédit Agricole (FNCA).

La nécessité de protéger des données confidentielles

En effet, cette plate-forme d'expression et de représentation des caisses régionales centralise des nombreuses informations sensibles, notamment des détails sur ses ressources humaines.

Cadres et dirigeants du groupe Crédit Agricole peuvent y avoir accès. Mais, si les utilisateurs sont nombreux, plus de 3 000, ils doivent être filtrés autant que le contenu sécurisé. Et sur Internet, cette tâche se corse très vite. D'emblée, le couple identifiant / mot de passe est écarté : trop risqué. "Il suffit d'un keylogger [NDLR enregistreur de frappe] pour que le mot de passe, même le plus coriace, ne serve plus à rien ", explique Hervé Dupressoir.

Les tokens, jugés trop contraignants pour les utilisateurs

Pour garantir et sécuriser l'accès à distance aux nomades via VPN, Hervé Dupressoir veut une authentification forte, à plusieurs niveaux de protection : il pense d'abord aux tokens. Mais, le système ne sera pas adopté par les utilisateurs.

"Les utilsateurs oubliaient trop souvent leur jeton, et demandaient à ce qu'on leur fasse sauter le verrou", (Hervé Dupressoir, FNCA)

" Ils oubliaient trop souvent leur jeton, et demandaient à ce qu'on leur fasse sauter le verrou. Il nous est toujours possible de forcer l'accès, mais cela devenait trop fréquent. Autant ne rien acheter si c'est pour en arriver là", en conclut alors Hervé Dupressoir. Les jetons sont abandonnés. Le tour de table recommence.

L'empreinte digitale offre un niveau de sécurité intéressant, mais le prix est élevé et la mise en place compliquée, régie par des lois et une Cnil strictes, interdisant à l'entreprise de stocker ces données trop personnelles, pourtant capitales pour l'authentification. "Une solution certes forte, mais trop contraignante" pour le responsable informatique.

Précédent
Suivant