En termes simples, le SSO (Single Sign-On) est la possibilité pour une application, appelée fournisseur d’identité, de dire à d’autres applications, appelées fournisseurs de services, qui vous êtes. Dans ce contexte, les fournisseurs d’identité sont des systèmes qui contiennent des informations sur l’identité numérique des utilisateurs (Active Directory de Microsoft est l’un de ces fournisseurs d’identité), et les fournisseurs de services sont toutes les applications que les employés utilisent pour travailler. Les employés peuvent utiliser le sso authentification pour accéder aux applications de bureau telles qu’Outlook ou Skype® for Business, et aux applications Web telles que SharePoint et Outlook Web App, sans avoir à se connecter à chaque application. Avec le SSO, les employés utilisent un point d’authentification unique et sécurisé pour se connecter au fournisseur d’identité, qui leur donne ensuite accès aux apps individuelles.
Plus de questions
Le SSO rend-il mon entreprise plus sûre ?
Une enquête de 2014 commandée par Intermedia a révélé que la grande entreprise moyenne donne aux employés l’accès à 15 applications. Ajoutez à cela les milliers d’apps web telles que QuickBooks, Twitter et Salesforce auxquelles les employés peuvent s’inscrire (en informant ou non le service informatique). Cette prolifération d’applications et de leurs mots de passe rend très difficile pour le service informatique de protéger le réseau et toutes les données de l’entreprise qu’il contient. En permettant aux employés de n’utiliser qu’une seule ouverture de session, le SSO résout le problème informatique de la gestion d’un nombre beaucoup trop important de mots de passe.
Mais ce qui rend le SSO si pratique pour les utilisateurs comme pour les services informatiques est ce qui peut aussi le rendre dangereux. En permettant aux employés d’accéder à toutes les apps qu’ils ont été autorisés à utiliser avec un seul login, les SSO peuvent potentiellement donner ce même large accès aux pirates. Pour profiter pleinement des avantages du SSO en matière de sécurité, les services informatiques doivent d’abord mettre en place une forme de gouvernance des identités. De nombreuses entreprises le font en centralisant l’authentification de l’identité sur des serveurs spéciaux qui agissent comme des gardiens du SSO. Lorsqu’un employé se connecte, son authentification passe par le serveur SSO, qui transmet ensuite l’identifiant qu’il a stocké pour authentifier cette personne afin qu’elle puisse utiliser cette app.
Pour rendre le SSO encore plus sûr, de nombreuses entreprises mettent en place une authentification à deux facteurs (2FA) ou multifactorielle ;(MFA). Ces deux approches améliorent la sécurité en demandant aux utilisateurs de fournir un ou plusieurs facteurs d’authentification supplémentaires en plus de leur connexion SSO. Ce facteur supplémentaire peut provenir d’un logiciel sur le smartphone de l’utilisateur, d’une empreinte digitale ou vocale ou d’un code de sécurité transmis à l’utilisateur par e-mail ou SMS. Avec ces protections en place, les pirates qui mettent la main sur un login SSO devraient toujours fournir le ou les facteurs supplémentaires pour accéder aux données sensibles de l’entreprise, des clients ou des partenaires.
Comment le SSO peut-il encore faciliter le travail de l’IT ?
L’une des plus grandes menaces de sécurité auxquelles les entreprises sont confrontées commence avec les mots de passe créés par les employés. Les mots de passe simples sont faciles à retenir et à craquer. Mais même les mots de passe forts peuvent rapidement tomber dans l’escarcelle de pirates armés de GPGPU ;(general purpose graphics processing units) massivement parallèles. Certains outils de craquage de mots de passe sont capables de produire plus d’un demi-milliard de mots de passe par seconde et de déjouer même les mots de passe les mieux construits. Et plus les services informatiques demandent aux employés de construire des mots de passe très complexes, plus ils doivent répondre aux demandes d’assistance des utilisateurs. Dans le même temps, les tactiques d’ingénierie sociale telles que l’appât, le phishing, le spear phishing, pretexting et scareware peuvent inciter les employés à donner des codes d’accès à de mauvais acteurs. Un SSO correctement mis en œuvre, fonctionnant sur des serveurs sécurisés enfouis profondément dans l’architecture informatique d’une entreprise et derrière plusieurs pare-feu, peut réduire considérablement la capacité des pirates à utiliser ces outils et ces stratagèmes.
Une autre menace potentielle pour la sécurité apparaît lorsque les employés (en particulier les mécontents) quittent une organisation. Pour maintenir la sécurité, le service informatique doit généralement passer en revue et mettre hors service l’accès de l’employé à des dizaines (ou plus) d’applications de bureau et/ou basées sur le cloud. Ce processus est rendu encore plus difficile lorsque l’accès à ces services a été accordé au niveau départemental sans que le service informatique en soit informé. Avec le SSO, les administrateurs informatiques n’ont qu’à désactiver le compte du fournisseur d’identité de l’employé. Sans ce compte, l’employé (ou le pirate) ne peut accéder à aucune des applications qu’il avait été autorisé à utiliser – que ce soit par l’IT, son département ou lui-même – et utiliser cet accès pour compromettre le réseau.