ert SOLUTIONS D’IDENTITÉ D’UTILISATEUR
Image
motif hexagonal violet

Traditionnellement, la connexion à un compte utilisateur nécessitait deux identifiants de connexion : un nom d’utilisateur et un mot de passe. Mais aujourd’hui, avec des dizaines d’applications, de ressources et de services à prendre en compte, fournir un accès sécurisé n’est pas si simple.

La bonne nouvelle, Plutôt que d’avoir à mémoriser ou à gérer plusieurs mots de passe, les clients et les employés peuvent accéder aux systèmes essentiels à l’aide d’un seul jeu d’identifiants. C’est ce qu’on appelle l’authentification unique (SSO).

Lisez la suite pour tout savoir sur l’authentification unique, comprendre son importance et son fonctionnement, et apprendre à protéger votre configuration SSO.

Qu’est-ce que l’authentification unique ?

Single sign-on is a federated identity management function that enables users to access multiple applications with just a single set of login credentials. For example, when an employee enters their identity credentials to log in to their workstation, SSO authentication also provides access to their apps, software, systems, and cloud-based resources.

De même, supposons qu’une personne se connecte à un service Google tel que Gmail. L’authentification unique l’authentifie automatiquement. Il peut alors utiliser d’autres applications Google, telles que YouTube ou Google Sheets à l’aide de son compte utilisateur. Et s’il se déconnecte de l’une de ces applications, il est automatiquement déconnecté des autres.

Pourquoi l’authentification unique est-elle si importante ?

À la base, une solution SSO est un service d’authentification, qui est un élément essentiel de la gestion des identités et des accès (GIA). Elle constitue également le fondement du modèle de sécurité « Zero Trust », un cadre qui prône l’absence de confiance implicite et exige une authentification permanente de l’utilisateur.

Pourquoi cela est-il important ? Si un système ne connait pas l’identité d’un utilisateur ou d’une entité, il n’a aucun moyen d’autoriser ou de restreindre ses actions, ce qui crée un risque majeur pour la sécurité des données. Cette situation est d’autant plus problématique que les applications et services cloud se multiplient et que chacun d’entre eux nécessite son propre jeu d’identifiants.

Selon les dernières estimations, en moyenne, l’entreprise utilise 210 services cloud et de collaboration distincts et l’employé recourt à 36 services cloud au travail. Cela fait beaucoup de mots de passe à gérer et, malheureusement, de nombreuses entreprises disposent d’une infrastructure informatique bien trop fragmentée pour le faire de manière appropriée.

Heureusement, l’authentification unique apporte une solution. La réduction des mots de passe multiples à un seul jeu d’identifiants de connexion améliore non seulement l’expérience de l’utilisateur, mais favorise également une meilleure hygiène de cybersécurité pour tous.

Quels sont les avantages de la SSO ?

La mise en œuvre de l’authentification unique offre plusieurs avantages aux utilisateurs, aux entreprises et aux clients. Par exemple :

Une meilleure expérience utilisateur, une hausse de la productivité et une baisse des coûts

En rationalisant le processus de connexion avec un seul jeu d’identifiants au lieu des nombreux mots de passe différents, les employés exploitent les ressources bien plus rapidement. C’est un enjeu crucial dans un environnement de travail hybride, où les applications critiques sont de plus en plus souvent sur site ou dans le cloud.

À terme, cette accélération du flux de travail se traduit par des gains de productivité pour les employés. Mieux encore, même un petit gain de temps grâce à l’authentification unique peut avoir un impact financier tangible. Selon des études, un gain de trois minutes sur le temps de travail d’un employé permet à une entreprise de 5 000 personnes d’économiser environ 1,5 million de dollars par an.

De plus, une solution SSO minimise les tâches improductives, telles que les demandes de réinitialisation de mot de passe au service d’assistance informatique.

Amélioration de la sécurité grâce à une meilleure hygiène des mots de passe

Au moins 45 % des failles de sécurité sont le résultat d’identifiants de connexion compromis et, dans la plupart des cas, de mots de passe faibles. Lorsqu’il faut se souvenir de plusieurs combinaisons de nom d’utilisateur et de mot de passe, nous avons tendance à réutiliser les mêmes pour différents comptes.

C’est ce qu’on appelle « la fatigue du mot de passe ». Ce comportement présente un risque important pour la sécurité, car si un compte est compromis, tous les autres services peuvent l’être également. En d’autres termes, il est possible de se servir du même mot de passe pour pirater les autres applications de la victime.

La mise en œuvre de l’authentification unique atténue la fatigue du mot de passe en réduisant toutes les connexions à une seule. Bien qu’une personne malveillante puisse accéder à d’autres services si elle parvient à compromettre un compte, l’authentification unique facilite théoriquement la création, la mémorisation et l’utilisation de mots de passe forts.

En réalité, ce n’est pas toujours le cas. C’est pourquoi il est préférable d’accompagner votre solution SSO de mesures de sécurité supplémentaires, mais nous y reviendrons plus tard.

Simplification de l’application des politiques et de la gestion des identités

L’authentification unique fournit un point d’entrée unique pour les mots de passe, ce qui permet aux équipes informatiques d’appliquer plus facilement les politiques et les règles de sécurité. Par exemple, les réinitialisations périodiques de mots de passe sont beaucoup plus simples à gérer avec l’authentification unique, car chaque utilisateur n’a qu’un seul identifiant à modifier.

Plus important encore, si elle est correctement mise en œuvre, la gestion fédérée des identités stocke les identifiants de connexion en interne dans un environnement contrôlé. En revanche, les entreprises enregistrent les combinaisons traditionnelles de nom d’utilisateur et de mot de passe en externe, avec peu de visibilité sur la façon dont elles sont gérées, par exemple dans une application tierce. Il est donc plus difficile de s’assurer que les identifiants sont gérés conformément aux meilleures pratiques en matière de sécurité des données.

Comment fonctionne la SSO ?

illustration de l’authentification unique (SSO) L’authentification unique est souvent considérée comme une fonction de « fédération d’identité ». En termes simples, la fédération d’identité est un système de confiance entre deux parties pour l’authentification des utilisateurs et l’échange d’informations nécessaires pour autoriser leur accès à certaines ressources. Le plus souvent, cela implique l’utilisation de l’autorisation ouverte (OAuth), un cadre qui donne aux applications le pouvoir d’accorder un accès sécurisé sans révéler les informations de connexion réelles.

En général, le processus d’authentification unique est simple et rapide :

  1. Tout d’abord, l’utilisateur demande l’accès à une ressource via la configuration SSO, ce qui déclenche le processus de connexion.
  2. Le fournisseur de services de la ressource, tel que le site web hôte, redirige l’utilisateur vers un fournisseur d’identité, comme Entrust.
  3. Le fournisseur d’identité vérifie l’identité de l’utilisateur en contrôlant ses identifiants à l’aide d’un des nombreux protocoles SSO.
  4. Après vérification de l’identité de l’utilisateur, le fournisseur d’identité génère un jeton SSO (également appelé jeton d’authentification). En résumé, c’est une ressource numérique qui représente la session authentifiée de l’utilisateur.
  5. Le fournisseur d’identité renvoie le jeton SSO au fournisseur de services, qui en vérifie la validité. Si nécessaire, l’application, le système ou le fournisseur de services peut effectuer une vérification approfondie en émettant une demande d’authentification supplémentaire.
  6. Une fois l’identité de l’utilisateur confirmée, le fournisseur de services lui accorde l’accès à sa ressource ou à son application.

L’utilisateur peut maintenant utiliser toutes les autres applications définies dans la configuration SSO. Si sa session est active, la solution SSO utilise le même jeton d’authentification pour lui en accorder l’accès.

Existe-t-il différents types d’authentification unique ?

illustration de SAML

Oui, il existe plusieurs protocoles et normes SSO. Chaque configuration SSO fonctionne un peu différemment, mais toutes suivent le même processus général. Voici les plus courantes :

  • Security Access Markup Language (SAML) : La configuration SSO SAML est une norme ouverte permettant d’encoder du texte en langage machine et de transmettre des informations sur l’identité. Il s’agit d’un protocole d’authentification largement applicable, alors que d’autres sont conçus pour des cas d’utilisation spécifiques d’accès sécurisé. Le langage SAML est également la principale norme utilisée pour écrire les jetons SSO.
  • Open Authorization (OAuth) : OAuth est un protocole standard ouvert qui chiffre les informations d’identité et les transmet entre les applications, afin que les utilisateurs accèdent aux données d’autres applications sans vérification manuelle de leur identité.
  • OpenID Connect (OIDC) : OAuth est une extension OIDC et permet donc à plusieurs applications d’utiliser une même session de connexion. Par exemple, de nombreux services vous proposent de vous connecter avec un compte Facebook ou Google au lieu de vos identifiants.

L’authentification unique est-elle sûre ?

L’authentification unique peut offrir une excellente expérience à l’utilisateur, mais elle n’est pas en soi une solution parfaite. Les pirates peuvent profiter de la commodité de cette méthode si les politiques de contrôle d’accès et de mot de passe ne sont pas assez robustes.

Si votre authentification unique consiste en un mot de passe unique sans authentification multifactorielle pour plusieurs applications, vous avez rendu vos utilisateurs plus productifs, mais vous avez multiplié les risques. Par exemple, si une personne malveillante compromet un compte SSO, toutes les autres applications de la même configuration lui sont intégralement ouvertes.

Pour réduire les risques, il est préférable que les organisations complètent l’authentification unique par des couches de sécurité supplémentaires, par exemple :

  • L’authentification adaptative basée sur le risque, qui introduit un contrôle supplémentaire lorsque le contexte dénote une menace. Si une personne tente de se connecter à partir d’un appareil inconnu ou non géré, le système d’authentification peut lui demander de fournir des informations supplémentaires, telles qu’un code à usage unique.
  • L’authentification sans mot de passe basée sur des identifiants, qui remplace les mots de passe traditionnels par des données biométriques ou des jetons pour un accès rapide et sans friction. Et ce n’est pas tout. Pas de mot de passe, rien à voler : aucun moyen de franchir les défenses.

Comment mettre en œuvre l’authentification unique ?

L’authentification unique peut être un atout majeur pour la productivité, mais il comporte également des risques. Ainsi, pour vous assurer que votre mise en œuvre du SSO est aussi sûre que possible, prenez en compte les meilleures pratiques suivantes :

  1. Mappage de vos applications : identifiez les logiciels, systèmes, applications et services à inclure dans votre configuration SSO.
  2. Choix du fournisseur d’identité : optez pour une solution SSO flexible, qui ne dépend pas d’une plateforme particulière et compatible avec tous les navigateurs. Plus important encore, assurez-vous que votre fournisseur d’identité propose également plusieurs fonctions de sécurité afin de garantir que votre déploiement est bien protégé.
  3. Vérification des privilèges des utilisateurs : comme dans un cadre Zero Trust, établissez vos décisions de contrôle d’accès sur le principe du « moindre privilège » qui préconise d’accorder à chaque utilisateur uniquement les autorisations minimales dont il a besoin pour s’acquitter de ses responsabilités professionnelles. De cette façon, si un pirate prend le contrôle d’un compte, il sera limité à certaines applications.

Qu’est-ce qui rend la SSO d’Entrust différente des autres ?

Entrust Identity, notre plateforme GIA, prend en charge l’authentification unique. Vos utilisateurs peuvent ainsi accéder à toutes les applications avec un seul jeu d’identifiants fort au lieu d’utiliser des informations différentes pour chaque application dans le cloud, sur site et traditionnelle. Mieux encore, il fournit toutes les capacités essentielles dont vous avez besoin pour mettre en place une architecture Zero Trust, notamment :

  • Authentification multifactorielle
  • Accès sans mot de passe
  • Flexibilité du déploiement
  • Intégration transparente
  • Gestion centralisée

Sans oublier que, dans son Magic Quadrant™ de 2023 sur la gestion des accès, Gartner® a reconnu la capacité d’exécution et l’exhaustivité de la vision d’Entrust en nous nommant comme challenger.

Téléchargez le rapport pour en savoir plus sur les atouts d’Entrust qui vous aideront à tirer parti d’une mise en œuvre sécurisée de l’authentification unique.

Questions fréquemment posées (FAQ)

Qu’est-ce que l’authentification unique et à quoi sert-elle ?

L’authentification unique (SSO) permet aux utilisateurs d’accéder en toute sécurité à plusieurs applications et sites web à l’aide d’un seul jeu d’identifiants. Ils n’ont alors plus besoin de se souvenir de plusieurs noms d’utilisateur et mots de passe, et peuvent ainsi accéder facilement à tous leurs comptes sans avoir à saisir à chaque fois leurs identifiants. Grâce à l’authentification unique, il suffit d’un seul nom d’utilisateur et d’un seul mot de passe pour se connecter à tous les services associés, et donc de bénéficier d’une expérience sécurisée et transparente dans toutes les applications.

Quels sont les avantages de la SSO ?

L’authentification unique présente de nombreux avantages :

  • Amélioration de l’expérience des utilisateurs : Les utilisateurs n’ont plus à se souvenir de plusieurs noms d’utilisateur et mots de passe, et peuvent ainsi accéder plus facilement aux ressources dont ils ont besoin.
  • Sécurité renforcée : Elle réduit le risque de réutilisation des mots de passe et d’hameçonnage, rendant plus difficile l’accès des utilisateurs non autorisés aux informations sensibles.
  • Productivité accrue : Les utilisateurs accèdent plus rapidement aux ressources dont ils ont besoin, ce qui se traduit par une augmentation de la productivité et des revenus.
  • Gestion des utilisateurs optimisée : La rationalisation du processus de gestion et de maintenance des nombreux comptes utilisateurs accroît l’efficacité des équipes informatiques.
  • Réduction des coûts : Elle réduit les coûts liés à la gestion de plusieurs noms d’utilisateur et mots de passe, aux violations de données et aux incidents de sécurité.

Entrust fournit une solution d’authentification unique qui s’intègre facilement à vos systèmes et applications existants.

Comment fonctionne la SSO ?

L’authentification unique crée un serveur d’authentification central, connu sous le nom de fournisseur d’identité (IdP), qui est utilisé pour authentifier les utilisateurs de plusieurs applications ou services. Une fois qu’un utilisateur est authentifié par l’IdP, il peut accéder à toutes les applications ou à tous les services qu’il est autorisé à utiliser sans avoir besoin de noms d’utilisateur et de mots de passe supplémentaires.

Pour mettre en place l’authentification unique, l’entreprise configure généralement le service SSO et l’intègre ensuite aux applications ou services qu’elle souhaite utiliser. Une fois cela fait, lorsqu’un utilisateur tente d’accéder à une application ou à un service, il est redirigé vers l’IdP pour se connecter. Une fois connecté, il peut accéder aux applications ou aux services pour lesquels il dispose d’une autorisation sans avoir à saisir à nouveau ses identifiants de connexion.

Entrust prend en charge différentes méthodes d’authentification unique, telles que SAML, OpenID Connect et OAuth2. Nous fournissons des instructions étape par étape sur la configuration avec l’IdP, ainsi qu’une assistance et des conseils tout au long du processus.

La SSO comporte-t-elle des risques pour la sécurité ?

Bien que l’authentification unique renforce la sécurité en réduisant le risque de réutilisation des mots de passe, les entreprises doivent être conscientes qu’il existe d’autres menaces.

  • Point de défaillance unique : Si le système SSO est compromis, des utilisateurs non autorisés peuvent accéder à plusieurs applications ou services à la fois.
  • Hameçonnage : Même avec l’authentification unique, les utilisateurs restent exposés aux attaques par hameçonnage s’ils sont incités à fournir leurs identifiants de connexion à un faux site web.
  • Détournement de session : Un pirate peut voler la session d’un utilisateur et accéder à plusieurs applications ou services si la session n’est pas correctement sécurisée.
  • Accès de tiers : L’authentification unique repose sur des fournisseurs d’identité tiers et si l’un d’entre eux est compromis, cela peut entraîner une faille de sécurité.
  • Absence d’authentification multifactorielle : Il se peut que l’authentification unique n’inclue pas par défaut la sécurité supplémentaire de l’authentification multifactorielle.

Entrust a axé la conception de sa solution SSO sur la sécurité. C’est pourquoi elle est régulièrement mise à jour pour contrer les nouveaux risques au fur et à mesure qu’ils apparaissent. Nous ajoutons une couche de protection supplémentaire avec une très large gamme de facteurs d’authentification multifactorielle, comme les Grid Cards, les notifications push mobiles, les identifiants haute sécurité basés sur la PKI, le mode sans mot de passe, et bien plus encore !

En quoi l’authentification unique diffère-t-elle des méthodes d’authentification traditionnelles ?

L’authentification unique diffère à plusieurs égards :

  • Authentification centralisée : L’authentification unique utilise un serveur d’authentification central, connu sous le nom de fournisseur d’identité (IdP) pour authentifier les utilisateurs de plusieurs applications ou services. Les méthodes traditionnelles exigent généralement que les utilisateurs s’identifient séparément pour chaque application ou service.
  • Un seul jeu d’identifiants : Les utilisateurs accèdent à plusieurs applications ou services à l’aide d’un seul jeu d’identifiants de connexion, ce qui leur évite de devoir se souvenir de plusieurs noms d’utilisateur et mots de passe. Avec les méthodes traditionnelles, les utilisateurs doivent généralement se souvenir des identifiants propres à chaque application ou service.
  • Amélioration de l’expérience des utilisateurs : Les utilisateurs profitent d’une meilleure expérience, car ils n’ont plus à se souvenir de plusieurs noms d’utilisateur et mots de passe, et peuvent ainsi accéder plus facilement aux ressources dont ils ont besoin.
  • Sécurité renforcée : Elle offre une meilleure protection en réduisant le risque de réutilisation des mots de passe et d’hameçonnage, ce qui rend plus difficile l’accès des utilisateurs non autorisés aux informations sensibles.

Notre solution est conçue pour fonctionner de manière transparente avec les méthodes traditionnelles, et elle peut être facilement intégrée aux systèmes et applications existants, qu’ils soient sur site ou dans le cloud.

Quelles mesures de sécurité les entreprises doivent-elles prendre lorsqu’elles mettent en œuvre l’authentification unique ?

Lors de la mise en œuvre de l’authentification unique, les organisations doivent prendre les mesures de sécurité suivantes :

  • Sécuriser l’environnement SSO : La mise en place de pare-feu, de systèmes de détection et de prévention des intrusions ainsi que d’autres outils de sécurité protège l’environnement SSO contre les accès non autorisés.
  • Utiliser l’authentification multifactorielle : L’authentification multifactorielle ajoute une couche de sécurité pour contrer les usurpateurs d’identité. Entrust garantit des mesures de sécurité robustes en mettant en œuvre cette couche supplémentaire. Notre plateforme offre une large gamme d’options d’authentification multifactorielle, telles que les Grid Cards, les notifications push mobiles, les identifiants haute sécurité basés sur la PKI et le mode sans mot de passe, afin que seuls les utilisateurs autorisés aient accès aux ressources protégées.
  • Surveiller l’activité des utilisateurs : Il convient de surveiller les activités et d’identifier les comportements suspects afin de détecter les incidents de sécurité et d’y remédier.
  • Mettre à jour les logiciels : Le logiciel SSO, les fournisseurs d’identité et les applications doivent être régulièrement mis à jour pour intégrer les derniers correctifs et mises à niveau de sécurité.
  • Transmission de données sécurisée : Toutes les données transmises entre le serveur SSO et les applications ou services doivent être chiffrées.
  • Auditer régulièrement les contrôles d’accès : L’examen et la mise à jour des contrôles d’accès garantissent que seuls les utilisateurs autorisés ont accès aux ressources protégées.