La fédération d’identités face aux nouveaux défis de la sécurité

L’ouverture du système d'information constitue un défi pour la sécurité. Les DSI doivent décliner de nouvelles politiques de sécurité afin de gérer un nombre grandissant d’identités d’utilisateurs de toutes origines. La fédération d’identités peut apporter une réponse pertinente et pragmatique.

Selon certaines études récentes, le marché français des logiciels et services liés au Cloud Computing dans son ensemble devrait atteindre 3,3 Milliards d’euros en 2013, avec un taux de croissance annuel moyen de plus de 20 % (contre seulement 3 à 4 % pour l'ensemble du marché des logiciels et services informatiques). Les entreprises qui n’ont pas encore eu recours au Cloud citent la sécurité comme étant un frein majeur.

Celui-ci redéfinit en effet les frontières classiques du SI : les schémas de mobilité et de Cloud deviennent alors des facteurs aggravant pour une vraie maîtrise de l’accès aux informations. Les questions de provisioning ou de de e-provisioning d’identités, de confiance, de fédération, d’audit, … à savoir celles de la gestion des identités et des accès, ne se limitent plus à l’interne. Les entreprises doivent gérer les collaborateurs, internes ou externes, qui accèdent à des applications, elles-mêmes internes ou externes, tout en maintenant un niveau de sécurité élevé.

L’ouverture du SI constitue ainsi un nouveau défi en matière de sécurisation pour les DSI, qui doivent décliner de nouvelles politiques de sécurité pour toutes sortes d’utilisateurs. L’intérêt des outils de SSO (Single Sign-On) et, au-delà, de fédération d’identités, consiste à résoudre ces différentes problématiques aussi bien dans des contextes B2B que B2C.

La fédération dans un contexte B2B permet en particulier de créer des ‘cercles de confiance’, constitués de plusieurs organisations décidant de collaborer dans un objectif commun, tel que développer des partenariats commerciaux ou partager des processus qui dépassent les frontières de chaque entité.

Elle fournit un système normalisé et sécurisé d’échange de données d’identités numériques entre domaines distincts, chacun gardant la maitrise de la gestion de ses propres identités. Elle contrôle les accès des utilisateurs en fonction des relations de confiance établies, de la validité de l’identité présentée et de l’authentification qui a été réalisée auprès d’un des partenaires du cercle de confiance.

Elle peut également transmettre des habilitations applicatives, certifiées par le partenaire qui a fourni l’identité, grâce aux informations portées par la session de l’utilisateur. Du point de vue de ce dernier, l’ouverture des applications auxquelles il accède se fait de manière totalement transparente, sans réauthentification, reprenant les principes bien connus de Single Sign-On (SSO). Forte de la mise en place de ces éléments, l’entreprise peut, d’une part, aménager des infrastructures de gestion d’identités par entité opérationnelle (par exemple, dans des cas de réorganisation, joint-venture, fusion/acquisition, externalisation…) et, d’autre part, organiser la collaboration avec ses partenaires autour de plates-formes informatiques sécurisées.

Les gains, à très court terme, se situent dans la facilité d’accès aux services applicatifs, pour tout type de population, au sein d’organisations complexes ou de cercles de partenaires. Du point de vue utilisateur, l’accès est totalement transparent et sécurisé. : la solution renforce en effet la sécurité d’accès aux ressources fédérées, tout en facilitant les phases d’authentification au quotidien.

Prenons le cas du groupe Société Générale, qui a lancé le programme SAFE (Service d'Authentification Fédérateur d'Entreprise) : il s'agit concrètement d'ouvrir en toute sécurité le système d'information de la banque à des partenaires, et de simplifier les procédures d'authentification. La première utilisation de SAFE a eu pour objectif d'offrir un service d'accès fédérateur, via une authentification unique, à un bouquet d'applications dédié à la gestion de la monétique, et confié à une filiale commune de La Banque Postale et de Société Générale, nommée Transactis. Ce choix permet de rationaliser la gestion des multiples dispositifs d'authentification existants sur une population importante et un parc applicatif varié. L'enjeu pour Société Générale est d'améliorer la sécurité en offrant un service homogène et une utilisation simplifiée pour les collaborateurs, et ce au meilleur coût.

La plate-forme dispose d’une interface de fédération SAMLv2 permettant aux utilisateurs externes de la Banque Postale d’accéder aux applications via le web SSO.

La fédération dans un contexte B2C, quant à elle, permet à un internaute, qui possède en moyenne une douzaine de comptes numériques(1), entre adresses de messageries, réseaux sociaux, et sites de transactions ou d'e-commerce,  de ne s’authentifier qu'une seule fois, au lieu de 12, et de bénéficier de sa première authentification sur les autres sites. Au-delà du confort utilisateur, elle répond à des enjeux business forts. Par l’amélioration de l’ergonomie de navigation elle le fidélise, lui évite les contraintes d’inscription ou d’authentification répétitives et lui permet de profiter du service en toute simplicité.

Détaillons le cas d’un groupe audiovisuel. En mettant en place un cercle de confiance avec certains réseaux sociaux, tels que Facebook, Twitter, etc., l’identité des internautes est propagée entre les sites partenaires.

De façon pratique, le visiteur authentifié sur Facebook peut accéder directement au site du groupe audiovisuel et à son contenu, sans avoir à s’authentifier une nouvelle fois, et inversement. Le groupe audiovisuel limite ainsi les risques de « perdre » l’internaute et il lui est possible d’adapter le contenu de sa page d’accueil par exemple en fonction du profil Facebook de l’utilisateur (intérêt, âge, etc. ;). La fédération d’identités répond ici à des enjeux marketing et les métiers doivent être impliqués dans ces projets.

Le Cloud, les réseaux sociaux et la mobilité des utilisateurs offrent de nouvelles opportunités à l’entreprise qui est contrainte de s’ouvrir. Mais la clé du succès réside dans l'art et la manière de sécuriser les échanges. La fédération des identités apporte une réponse pertinente et pragmatique face à ces nouvelles pratiques.

(1)Journal La Croix, 28 juin 2011