par Mel Beckman - Mis en ligne le 05/06/02
Comme un cerf ébloui par des
phares, vous voilà devant un écran
d'identification pensant « quel est mon
ID et mot de passe utilisateur sur ce
système ? Je l'ai utilisé pas plus tard que
la semaine dernière ! Pourquoi ne puisje
pas m'en souvenir ? »
Nous sommes tous passés par là et,
avec l'explosion des systèmes demandant
ce sésame (station de travail,
banque en ligne, télécommande de télévision
par câble, par exemple), nous
éprouvons de plus en plus souvent
l'amnésie du mot de passe.
Et ce n'est que l'aspect utilisateur
du problème. Le côté administrateur
est encore plus complexe. En tant que
responsable du système d'information,
vous êtes confronté à des dizaines
(voire des centaines) de services et
d'unités demandant l'administration
par mot de passe. Pour aggraver les
choses, peu de ces systèmes ont
quelque chose en commun, vous obligeant
à jongler avec les particularités de chacun, tout en maintenant une
frontière sûre pour tenir à l'écart les
masses non autorisées.
L’ajout d’un nouvel employé est un
exercice de haut vol : il faut créer des ID
et des mots de passe utilisateur multiples,
les enregistrer dans une base de
données, et les communiquer en toute
sécurité à la nouvelle recrue.
Inévitablement, l’utilisateur ou vousmême
écrivez quelques mots de passe
sensibles, ce qui augmente grandement
les risques.
Et c’est bien pire quand un employé
change de poste ou quitte la société.
A moins de maintenir des registres
extrêmement exacts, la
révocation des droits est une opération
source d’erreurs. Peu importe que
vous soyez efficaces à 99 %. Il suffit
qu’un ID et mot de passe utilisateur oublié
tombe dans les mains d’un employé
grincheux pour mettre en péril le
système et pour que vous vous mettiez
à … rédiger votre CV.
Il y a de quoi avoir peur. Si vous
n’avez pas peur, c’est parce que (1)
vous avez trouvé une solution technique
au problème ou (2) vous êtes
comme le cerf ébloui par les phares
d’une voiture, vous demandant où aller.
Malheureusement, il est fallacieux
d’affirmer qu’il existe des solutions
techniques à ce problème. La plaie de
l’authentification des utilisateurs est le
trop-plein de solutions. Or, il faut une
solution technique. Beaucoup de sociétés
admettent ce problème mais
peu d’entre elles semblent utiliser ensemble
des standards cohérents. La
seule chose qu’elles ont en commun
est le terme SSO (single sign-on). Cette
expression attrape-tout exprime bien
ce que nous recherchons tous : une ID
utilisateur et un mot de passe par utilisateur
valant pour tous les systèmes.
Malheureusement, aucune technologie
n’offre cette panacée aujourd’hui.
Il n’y a même rien qui en soit
proche. Mais il y a des produits qui tentent
de résoudre le problème et les
standards sont en effervescence. En
apprenant les meilleures actions actuelles
dans le domaine des outils d’authentification
SSO et les standards en
cours de développement, vous trouverez
la voie conduisant à un système de
notification mieux géré.
Téléchargez cette ressource
Microsoft 365 : 5 erreurs de sécurité
A l’heure où les données des solutions Microsoft 365 sont devenues indispensables au bon fonctionnement de l’entreprise, êtes-vous certain de pouvoir compter sur votre plan de sécurité des données et de sauvegarde des identités ? Découvrez le Top 5 des erreurs à ne pas commettre et les meilleures pratiques recommandées par les Experts DIB France.