Authentification unique (SSO) : est-ce du confort ou de la sécurité ?
Olivier Morel, Directeur Avant-vente chez Ilex, répond à la question suivante « Single Sign-on : confort ou sécurité ? » dans le dernier numéro de IT for Business.
Le lancement d’un projet d’authentification unique (ou SSO pour Single Sign-On) au sein d’une organisation est souvent lié à l’insatisfaction des utilisateurs du système d’information, qui en ont assez de devoir retenir pléthore de couples identifiants / mots de passe pour se connecter aux applications, souvent très nombreuses, qu’ils utilisent quotidiennement.
En l’absence d’une solution chargée de mémoriser ces identifiants/mots de passe et de les « jouer » sur les applications à la place des utilisateurs, ces derniers passent traditionnellement par quelques raccourcis peu conformes à ce qu’on appellerait courageusement ici une politique de sécurité : utilisation de mots de passe faibles (peu de caractères, simples à mémoriser, souvent connus de tout l’entourage, etc.), mémorisation sur des supports résistant à la dématérialisation (syndrome du Post-it), communication des mots de passe à des collègues « de confiance » lors des périodes d’absence, etc.
Accessoirement, pour le RSSI, l’absence d’une telle solution a également des répercussions : stratégies de sécurité et politiques de mots de passe incohérentes (quand elles existent) et propres à chaque application, niveaux de sécurité différents (quand il y en a), traçabilité compliquée (vive les logs…), etc.
Enfin, les coûts pour l’entreprise sont bien réels. D’éminents analystes du marché de la sécurité estiment que les opérations de réinitialisation de mots de passe par le support interne coûtent aux grandes entreprises plusieurs dizaines d’euros par utilisateur et par an.
Pour lire la suite de l’article, cliquez ici.