Qu'est-ce que l'authentification unique (SSO) et en quoi est-elle importante ?

L'authentification unique (SSO, Single Sign-On) est un système d'identification des utilisateurs qui leur permet d'utiliser un seul jeu d'identifiants sur plusieurs sites Web et applications.

Traditionnellement, la connexion à un compte utilisateur nécessitait deux identifiants de connexion : un nom d’utilisateur et un mot de passe. La gestion de dizaines d'identifiants de connexion ralentit les utilisateurs et augmente les risques. L'authentification unique (SSO) résout ce problème en leur permettant de se connecter une seule fois pour accéder à toutes les applications et à tous les systèmes dont ils ont besoin.

Plutôt que d’avoir à mémoriser ou à gérer plusieurs mots de passe, les clients et les employés peuvent accéder aux systèmes essentiels à l’aide d’un seul jeu d’identifiants. 

Lisez la suite pour tout savoir sur l’authentification unique, comprendre son importance et son fonctionnement, et apprendre à protéger votre configuration SSO.

• L'authentification unique (SSO) permet aux utilisateurs d'utiliser un seul jeu d'identifiants sur plusieurs plateformes et applications.
• Cette authentification devient de plus en plus essentielle pour la sécurité des systèmes et des données à mesure que les attaques par IA et d'autres tactiques sophistiquées se multiplient.
• Les organisations choisissent les normes SSO en fonction de leur environnement et des fonctions de leur système.
• Les avantages du SSO sont notamment une meilleure expérience pour l'utilisateur, une sécurité renforcée et une gestion simplifiée des identités.
• L'ajout de l'authentification multifactorielle, de l'« hygiène » des mots de passe et d'autres couches de sécurité renforce l'efficacité du SSO.
• Les tendances futures susceptibles d'affecter le SSO comprennent les progrès de la biométrie, les identités décentralisées et les menaces alimentées par l'IA.

L'authentification unique permet aux utilisateurs d’accéder à plusieurs applications à l’aide d’un seul jeu d’identifiants de connexion. Par exemple, lorsqu’un employé saisit ses informations d’identification pour se connecter à son poste de travail, l’authentification unique l’autorise également à accéder à ses applications, ses logiciels, ses systèmes et ses ressources dans le cloud.

L'authentification unique renforce la sécurité dans les organisations qui traitent des informations privées ou sensibles, telles que les administrations publiques, l'industrie biopharmaceutique et les établissements de santé, tout en offrant une expérience utilisateur fluide sur différentes plateformes ou institutions associées. Par exemple, un employé de banque peut l'utiliser pour se connecter une seule fois et accéder au CRM de l'entreprise, à son compte de messagerie et au portail des ressources humaines. Des couches de sécurité telles que l'authentification multifactorielle (MFA) complètent ce dispositif.

Pourquoi l’authentification unique est-elle si importante ?

L'authentification unique est essentielle pour les organisations, car elle renforce la sécurité, rationalise les opérations et améliore l'expérience des utilisateurs en leur permettant d'accéder à plusieurs applications à l'aide d'un seul jeu d'informations d'identification. Cela réduit la lassitude liée aux mots de passe et le risque d'hameçonnage ou de compromission des informations d'identification, en particulier lorsqu'elle est associée à l'authentification multifactorielle. L'authentification unique simplifie également le provisionnement et le déprovisionnement des utilisateurs, réduit les coûts d'assistance informatique et favorise la conformité grâce au contrôle d'accès centralisé et au suivi des activités. Composante essentielle de la gestion des identités et des accès (GIA) et du modèle Zero Trust, l'authentification unique garantit une authentification sûre, efficace et évolutive dans les environnements d'entreprise.

L'authentification unique est d'autant plus importante que les applications et services cloud utilisés sur le lieu de travail sont nombreux. Selon les dernières estimations, l'entreprise moyenne utilise environ 1 400 applications basées sur le cloud. En limitant le nombre d'identifiants utilisés par les employés dans le cadre de l'authentification unique, il est possible de réduire considérablement les vulnérabilités en matière de cybersécurité.

Si tous les protocoles SSO suivent le même processus général, certains fonctionnent un peu différemment en fonction du cas d'utilisation et d'autres facteurs. Voici les standards les plus courants :

• Security Access Markup Language (SAML) : la configuration SSO SAML est une norme ouverte permettant d’encoder du texte en langage machine et de transmettre des informations sur l’identité. Il s’agit d’un protocole d’authentification largement applicable, alors que d’autres sont conçus pour des cas d’utilisation spécifiques d’accès sécurisé. Le langage SAML est également la principale norme utilisée pour écrire les jetons SSO.
• Open Authorization (OAuth) : OAuth est un protocole standard ouvert qui chiffre les informations d’identité et les transmet entre les applications, afin que les utilisateurs accèdent aux données d’autres applications sans vérification manuelle de leur identité.Cependant, il ne gère pas directement l'authentification. Il est souvent utilisé en tandem avec l'OIDC pour les cas d'utilisation SSO.
• OpenID Connect (OIDC) : en tant qu'extension d'OAuth, OIDC authentifie l'identité de l'utilisateur, permettant à plusieurs applications d’utiliser une même session de connexion.
• Kerberos : ce protocole d'authentification réseau utilise des tickets cryptés au lieu de mots de passe pour mettre en œuvre l'authentification unique via un centre de distribution de clés (KDC).

Ces normes et protocoles SSO sont utilisés pour différentes configurations, selon la fonction et l'environnement numérique :

• L'authentification unique d'entreprise offre une expérience de connexion unifiée pour les systèmes internes d'une organisation, permettant aux utilisateurs d'accéder de manière fluide à plusieurs bases de données, plateformes et applications.
• L'authentification unique fédérée relie les identités de différentes organisations ou domaines.
• L'authentification unique basée sur le cloud fournit un accès SSO à travers plusieurs services et applications basés sur le cloud, tels qu'AWS ou Office 365.
• L'authentification unique mobile permet d'accéder à plusieurs applications mobiles avec un seul identifiant.
• L'authentification unique sociale permet de se connecter à une application ou à une plateforme à l'aide d'un compte de réseau social, tel que Facebook ou LinkedIn.

Considérations clés lors du choix d'un protocole SSO

Lors de la sélection d'un protocole SSO, il convient d'aller au-delà des spécifications techniques et de s'assurer qu'il correspond aux objectifs de votre organisation en matière de sécurité, de conformité et d'expérience de l'utilisateur :

• Niveau de sécurité et modèle de menace : faites correspondre les points forts du protocole aux types d'attaques contre lesquelles vous avez le plus besoin de vous protéger, comme le phishing ou le vol de données d'identification.
• Alignement réglementaire : confirmez que le protocole prend en charge les normes de conformité que vous devez respecter, comme le RGPD, la loi HIPAA ou FedRAMP.
• Intégration avec les systèmes existants : recherchez des protocoles qui fonctionnent harmonieusement avec vos fournisseurs d'identité, vos applications et votre infrastructure actuels sans qu'il soit nécessaire de procéder à un remaniement coûteux.
• Évolutivité et performances : examinez la manière dont le protocole gère la croissance, à la fois en termes de volume d'utilisateurs et de nombre de services intégrés.
• Expérience utilisateur : trouvez un juste milieu entre la sécurité et une connexion rapide et intuitive pour les employés, les partenaires ou les citoyens.
• Soutien des fournisseurs et de la communauté : un protocole bien pris en charge, avec un développement actif et des modèles de déploiement éprouvés, réduit les risques à long terme. 

Le choix du protocole approprié relève autant d'une décision commerciale que d'une décision technique. Le bon choix protégera votre organisation, vous permettra de rester en conformité et facilitera la vie des personnes qui en dépendent chaque jour.

L’authentification unique est souvent considérée comme une fonction de « fédération d’identité ». En termes simples, la fédération d’identité est un système de confiance entre deux parties pour l’authentification des utilisateurs et l’échange d’informations nécessaires pour autoriser leur accès à certaines ressources. Le plus souvent, cela implique l’utilisation de l’autorisation ouverte (OAuth), un cadre qui donne aux applications le pouvoir d’accorder un accès sécurisé sans révéler les informations de connexion réelles.

En général, le processus d’authentification unique est simple et rapide :

1. Tout d’abord, l’utilisateur demande l’accès à une ressource via la configuration SSO, ce qui déclenche le processus de connexion via le Web ou une application mobile.
2. Le fournisseur de services de la ressource, tel que le site web hôte, redirige l’utilisateur vers un fournisseur d’identité, comme Entrust.
3. Le fournisseur d’identité vérifie l’identité de l’utilisateur en contrôlant ses identifiants à l’aide d’un des nombreux protocoles SSO.
4. Après vérification de l’identité de l’utilisateur, le fournisseur d’identité génère un jeton SSO (également appelé jeton d’authentification). En résumé, c’est une ressource numérique qui représente la session authentifiée de l’utilisateur.
5. Le fournisseur d’identité renvoie le jeton SSO au fournisseur de services, qui en vérifie la validité. Si nécessaire, l’application, le système ou le fournisseur de services peut effectuer une vérification approfondie en émettant une demande d’authentification supplémentaire.
6. Une fois l’identité de l’utilisateur confirmée, le fournisseur de services lui accorde l’accès à sa ressource ou à son application.

L'utilisateur peut désormais utiliser toutes les autres applications configurées dans le cadre du SSO, à moins que la session n'expire ou qu'une réauthentification ne soit nécessaire.

La mise en œuvre de l’authentification unique offre plusieurs avantages aux utilisateurs, aux entreprises et aux clients. Par exemple :

Une meilleure expérience utilisateur, une hausse de la productivité et une baisse des coûts

La réduction de plusieurs mots de passe à un seul jeu d'identifiants simplifie les connexions et réduit la nécessité pour les employés de suivre plusieurs comptes. C’est un enjeu crucial dans un environnement de travail hybride, où les applications critiques sont de plus en plus souvent sur site ou dans le cloud.

À terme, cette accélération du flux de travail se traduit par des gains de productivité pour les employés. Mieux encore, même un petit gain de temps grâce à l’authentification unique ou à l'authentification multifactorielle peut avoir un impact financier tangible. Selon une étude, la réinitialisation des mots de passe prend en moyenne 10 minutes aux employés. Si chaque employé d'une entreprise de 100 personnes doit réinitialiser son mot de passe deux fois par an, cela représente plus de 33 heures perdues, soit presque une semaine complète de travail.

De plus, une solution SSO minimise les tâches improductives, telles que les demandes de réinitialisation de mot de passe au service d’assistance informatique.

Amélioration de la sécurité grâce à une meilleure hygiène des mots de passe

Dans une étude, 41 % des connexions réussies sur les sites Web impliquaient des mots de passe volés qui avaient été divulgués précédemment lors de violations de données. Lorsqu’il faut se souvenir de plusieurs combinaisons de nom d’utilisateur et de mot de passe, nous avons tendance à réutiliser les mêmes pour différents comptes. En outre, les utilisateurs peuvent ne pas prendre la peine de changer de mot de passe même s'ils sont avertis que leurs informations d'identification ont été volées ou qu'elles sont compromises.

On parle alors de « lassitude liée aux mots de passe », et c'est une autre raison pour laquelle l'authentification unique est importante : ce comportement présente un risque important pour la sécurité, car si un compte est compromis, tous les autres services peuvent l’être également. En d’autres termes, il est possible de se servir du même mot de passe pour pirater les autres applications de la victime.

La mise en œuvre de l’authentification unique atténue la lassitude liée aux mots de passe en réduisant toutes les connexions à une seule. Même si un compte est compromis, les administrateurs peuvent rapidement prendre des mesures pour bloquer l'accès, limitant ainsi l'étendue des dommages potentiels aux systèmes ou la quantité de données volées.

En réalité, ce n’est pas toujours le cas. C’est pourquoi il est préférable d’accompagner votre solution SSO de mesures de sécurité supplémentaires, mais nous y reviendrons plus tard.

Simplification de l’application des politiques et de la gestion des identités

L’authentification unique fournit un point d’entrée unique pour les mots de passe, ce qui permet aux équipes informatiques d’appliquer plus facilement les politiques et les règles de sécurité. Par exemple, les réinitialisations périodiques de mots de passe sont beaucoup plus simples à gérer avec l’authentification unique, car chaque utilisateur n’a qu’un seul identifiant à modifier.

Plus important encore, si elle est correctement mise en œuvre, la gestion fédérée des identités stocke les identifiants de connexion en interne dans un environnement contrôlé, tandis que les entreprises enregistrent les combinaisons traditionnelles de nom d’utilisateur et de mot de passe en externe, avec peu de visibilité sur la façon dont elles sont gérées, par exemple dans une application tierce. Il est donc plus difficile de s’assurer que les identifiants sont gérés conformément aux meilleures pratiques en matière de sécurité des données.

La prise en charge de la conformité

L'authentification unique joue un rôle crucial en aidant les organisations des secteurs hautement réglementés à respecter les normes de conformité importantes, telles que celles imposées par la loi HIPAA, le RGPD et SOC 2.

La gestion centralisée des accès permet une application cohérente des politiques de sécurité dans l'ensemble de l'infrastructure technologique, y compris les applications connectées. Un ensemble unifié de règles de sécurité simplifie également les autorisations des utilisateurs, ce qui permet de faciliter le contrôle des personnes autorisées à accéder aux données et ressources sensibles conformément aux exigences de conformité.

La gestion des accès avec l'authentification unique permet aussi d'appliquer le principe du moindre privilège, en garantissant que les utilisateurs ne peuvent se connecter qu'aux outils et systèmes dont ils ont besoin dans le cadre de leurs fonctions. Ces limitations peuvent contribuer à limiter les dommages en cas de violation. 

Enfin, les solutions d'authentification unique fournissent des journaux d'audit détaillés qui retracent l'activité des utilisateurs, et qui peuvent être utilisés pour répondre aux exigences de conformité en matière de contrôle et de rapport, ou en cas d'enquêtes.

L'authentification unique est sûre, dès lors qu'elle a été mise en œuvre de manière efficace. Si votre authentification unique consiste en un mot de passe unique sans authentification multifactorielle pour plusieurs applications, vous avez rendu vos utilisateurs plus productifs, mais vous avez multiplié les risques. Par exemple, si une personne malveillante compromet un compte SSO, toutes les autres applications de la même configuration lui sont intégralement ouvertes.

Même en cas d'implémentation de l'authentification multifactorielle, les utilisateurs peuvent ressentir une certaine lassitude à l'égard des messages push, et ainsi approuver de fausses demandes push émanant de pirates informatiques sans les évaluer avec soin. 

Une mauvaise configuration de l'authentification unique et des intégrations d'applications peut également créer des vulnérabilités, en particulier si les organisations ne surveillent pas ces types de risques de sécurité.

Pour réduire les risques, il est préférable que les organisations complètent l’authentification unique par des couches de sécurité supplémentaires. Entrust renforce l'authentification unique avec des fonctionnalités telles que :

• La révocation du jeton et la réauthentification si le système détecte un accès ou un comportement inhabituel à partir de données contextuelles, par exemple si une personne tente de se connecter à partir d'un appareil inconnu ou non géré.
• L’authentification sans mot de passe basée sur des identifiants, qui remplace les mots de passe traditionnels par des données biométriques ou des jetons pour un accès rapide et sans friction. Et ce n’est pas tout. Pas de mot de passe, rien à voler : aucun moyen de franchir les défenses.
• Le contrôle centralisé de la durée de vie des sessions, permettant aux administrateurs de sécurité de définir et d'appliquer la durée de validité d'une session authentifiée avant que les utilisateurs ne doivent s'authentifier à nouveau avec l'authentification multifactorielle.

L’authentification unique peut être un atout majeur pour la productivité, mais il comporte également des risques. Ainsi, pour vous assurer que votre mise en œuvre du SSO est aussi sûre que possible, prenez en compte les meilleures pratiques suivantes :

1. Mappage de vos applications : identifiez les logiciels, systèmes, applications et services à inclure dans votre configuration SSO.
2. Choisir un protocole d'authentification : choisissez une norme d'authentification unique compatible avec les systèmes existants et répondant aux normes requises pour l'ensemble des plateformes et des applications.
3. Choix du fournisseur d’identité : optez pour une solution SSO flexible, qui ne dépend pas d’une plateforme particulière et compatible avec tous les navigateurs. Plus important encore, assurez-vous que votre fournisseur d’identité propose également plusieurs fonctions de sécurité afin de garantir que votre déploiement est bien protégé.
4. Vérification des privilèges des utilisateurs : comme dans un cadre Zero Trust, établissez vos décisions de contrôle d’accès sur le principe du « moindre privilège ». Elle doit pouvoir accorder à chaque utilisateur uniquement les autorisations minimales dont il a besoin pour s’acquitter de ses responsabilités professionnelles. De cette façon, si un pirate prend le contrôle d’un compte, il sera limité à certaines applications.
5. Tester et surveiller : testez l'authentification unique sur l'ensemble du système avant le déploiement pour vous assurer qu'elle fonctionne comme prévu. Après sa mise en œuvre, il faut surveiller en permanence les risques, les vulnérabilités et les comportements ou activités inhabituels.

Au fur et à mesure que les risques évoluent et changent, le SSO continuera d'évoluer avec eux. Les évolutions et les tendances qui pourraient influencer la manière dont il est utilisé à l'avenir sont les suivantes :

• MFA renforcée : le SSO peut être utilisé en combinaison avec les scans rétiniens, la reconnaissance faciale ou les empreintes digitales pour renforcer l'authentification. La MFA adaptative implique des vérifications supplémentaires basées sur des facteurs tels que le comportement, la localisation, l'appareil ou d'autres signaux.
• Identités décentralisées : la blockchain et d'autres technologies émergentes réduisent la dépendance à l'égard des informations d'identification stockées de manière centralisée, ce qui minimise davantage les risques et améliore la confidentialité des données des utilisateurs.
• Sécurité des jetons et des sessions : les pirates ciblant de plus en plus les jetons d'authentification utilisés par le SSO par le biais de logiciels malveillants ou d'interception, les meilleures pratiques évoluent pour intégrer une rotation plus fréquente des jetons et des périodes de validation plus courtes. Il est également judicieux de surveiller de manière proactive les signes de compromission des jetons.
• Modification des environnements cloud et hybrides : la complexité des technologies organisationnelles modernes exige des plateformes SSO qu'elles soient plus performantes que jamais, notamment qu'elles s'adaptent de manière fluide aux différentes plateformes, qu'elles automatisent des tâches telles que le provisionnement des utilisateurs et qu'elles appliquent de manière cohérente les politiques de sécurité.

Un système SSO robuste permet aux utilisateurs d'accéder rapidement et facilement à plusieurs plateformes et applications à l'aide d'un seul identifiant, tout en les protégeant contre le phishing et autres attaques. Il doit comporter des fonctions de sécurité supplémentaires, telles que l'authentification multifactorielle, et être conforme aux exigences en matière de confidentialité et de sécurité des données.

Les utilisateurs doivent pouvoir y naviguer facilement et les équipes informatiques doivent pouvoir surveiller l'activité, les paramètres et d'autres caractéristiques à partir d'un tableau de bord centralisé afin d'identifier les problèmes de manière proactive et de réagir rapidement aux menaces de sécurité.

Les solutions SSO d'Entrust éliminent la nécessité de gérer les informations d'identification séparément pour chaque application unique dans le cloud, sur site et héritée. Mieux encore, elles fournissent toutes les capacités essentielles dont vous avez besoin pour mettre en place une architecture Zero Trust, notamment :

• Authentification multifactorielle
• Accès sans mot de passe
• Flexibilité du déploiement
• Intégration transparente
• Gestion centralisée

L'authentification de l'identité avec le SSO est une fonctionnalité essentielle des solutions modernes de gestion des identités et des accès, qui joue un rôle de plus en plus important dans la protection des organisations contre les attaques de phishing et les vulnérabilités. Découvrez plus d'informations sur les stratégies de sécurité centrées sur l'identité que les entreprises adoptent pour assurer la sécurité de leurs données et de leurs utilisateurs.