L’authentification unique : l’équilibre entre le pouvoir et la responsabilité

François Amigorena, fondateur et PDG d’IS Decisions, partage son expertise sur le sujet.

Mais comme l’Oncle Ben de Peter Parker l’a dit « un grand pouvoir implique de grandes responsabilités » et le pouvoir potentiel de la SSO est effectivement très grand.

Connaitre les risques de sécurité de la SSO

Etant donné que l’objectif principal de la SSO est de fournir l’accès plutôt que de le restreindre, il y a forcément de nombreux risques (comme avec n’importe quelle autre forme d’accès).

Mais quels sont précisément les risques de sécurité de la SSO ?

• Un compte pour plusieurs accès

Du point de vue utilisateur, c’est l’idéal. Mais côté IT il s’agit d’une crainte et de potentiels risques supplémentaires.

• A un clic du désastre

Il ne s’agit pas d’être dramatique, mais un clic accidentel de la part d’un membre de l’équipe technique peut donner à des utilisateurs des accès à des données sensibles qu’ils n’ont pas à avoir dans le cadre de leur fonction au sein de l’entreprise.

• Une extension instantanée du périmètre de sécurité

Il est loin le temps où l’entreprise était définie par quatre murs de béton. L’infrastructure IT moderne de l’entreprise et plus particulièrement la SSO, donnent aux utilisateurs sur site ou à distance la possibilité d’accéder instantanément aux applications de l’entreprise sur le web et dans le cloud.

• Une vulnérabilité pour les mouvements latéraux

Une fois que des attaquants externes ont un pied au sein de votre entreprise (généralement un terminal infecté par un malware), leur prochain but sera de pénétrer dans l’intégralité du réseau de l’entreprise. Cette action nécessite généralement de nouvelles informations de connexion. En d’autres termes, elles essaieront d’accéder aux applications et données à partir du terminal contaminé. Cela vous rappelle quelque chose ? Un peu comme ce que fait exactement la SSO ? Tout à fait, la SSO permet l’accès aux applications et données dont les utilisateurs ont besoin dans le cadre de leur fonction (à condition que l’équipe informatique la mette en place sans erreur…), mais il s’agit aussi d’une porte ouverte sur de nombreuses opportunités pour les attaquants.

Cela veut-il dire que la SSO est une mauvaise idée ? Bien-sûr que non. Mais il est important de connaitre les risques liés à la SSO.

C’est logique quand on y pense : lorsque vous simplifiez les accès de plusieurs applications pour les utilisateurs à travers le monde et sur chaque appareil, cela représente un risque potentiel pour un catastrophe (souvenez-vous du grand pouvoir…)

Assumer les responsabilités informatiques

Une fois que l’équipe informatique connait et couvre les risques itinérants liés à la SSO, elle peut alors tirer parti du plein pouvoir et des bénéfices de la SSO. La SSO n’augmente pas seulement la productivité des utilisateurs, une équipe informatique astucieuse saura l’employer de sorte à augmenter la sécurité de leur organisation.

Par conséquent, quelles sont les responsabilités de l’équipe informatique, compte tenu de la grande puissance de la SSO ?