La fédération d’identité devient incontournable pour les applications Web d’entreprise

Par Hervé Prot, Fondateur et Président de Symeos

Dans de nombreux domaines, les applications Web pour l’entreprise ont su se rendre incontournables. Plus rapide et moins coûteuses à mettre en œuvre, délivrant souvent les entreprises de la complexité d’administration de l’infrastructure, les applications Web permettent aussi de simplifier, d’accélérer et d’amplifier les échanges entre l’entreprise et ses partenaires, clients ou fournisseurs. Accessible en tous lieux ou presque, l’application Web automatise en grande partie la transmission d’information entre, par exemple, un revendeur local et sa centrale d’achats. Outre une plus grande réactivité, elle autorise également de collecter plus facilement un plus grand nombre d’informations telles que, pour le revendeur, les stocks disponibles et les délais de réapprovisionnements, ou, pour la centrale d’achats, les volumes de vente au jour le jour, la liste des clients fidèles et le nombre de points qu’ils ont acquis, etc… Les applications Web sont ainsi rapidement devenues un point d’échange pour des informations doublement critiques, non seulement parce qu’elles sont au coeur de l’activité de l’entreprise, mais aussi en raison de leur valeur concurrentielle.

Une perte de productivité

En contrepartie de ces avantages, les entreprises doivent accepter des contraintes de sécurité d’autant plus élevées que le secteur dans lequel elles opèrent est concurrentiel. Si elles reconnaissent la nécessité absolue de sécuriser les échanges sur le réseau ouvert d’Internet, elles sont aussi nombreuses à en payer le prix fort, principalement en termes de productivité, mais aussi en matière de sécurité. Dans une entreprise locale affiliée à une marque de distribution nationale par exemple, telle un concessionnaire automobile multimarque ou une enseigne de distribution spécialisée, il est fréquent de trouver jusqu’à 10 applications Web différentes, répondant chacune aux impératifs de l’un ou l’autre des fournisseurs ou d’une direction de rattachement. Bien souvent, ce sont les mêmes personnes dans l’entreprise qui accèdent successivement à ces applications tout au long de la journée dans le cadre de leur activité. Il peut s’agir de passer une commande, de vérifier un délai de livraison, de valider une action de co-marketing, etc… A chacune de ces multiples connexions, l’utilisateur doit fournir un identifiant et un mot de passe spécifiques à la plateforme Web visitée. Chaque utilisateur doit ainsi retenir plus d’une dizaine d’identifiants et de mots de passe, plus ou moins complexes selon les exigences de sécurité du partenaire.

Un risque de sécurité

Les conséquences de l’inévitable perte de l’un de ces mots de passe, particulièrement lorsque ceux-ci sont renouvelés régulièrement par le fournisseur, sont souvent mal quantifiées par les entreprises. Il ne s’agit pas seulement du temps perdu par l’employé habilité, qui devra patienter jusqu’à ce que l’administrateur concerné, chez le fournisseur, puisse régénérer un nouveau mot de passe. Il faut aussi prendre en compte le coût de cette gestion pour le fournisseur et l’impact en termes d’image du client chez le fournisseur. Que penser d’un client, partenaire ou revendeur qui vous appelle toutes les cinq minutes pour un employé qui a perdu son mot de passe ? De façon symétrique, le fournisseur se trouve tenu à une disponibilité quasi permanente de ses équipes informatiques pour accomplir une tâche sans réelle valeur ajoutée. Quel peut-être l’état d’esprit d’un client qui doit attendre un à deux jours l’identifiant et le mot de passe qui permettra à son nouveau collaborateur de se mettre au travail ? Ces contraintes pratiques sont souvent à l’origine de failles de sécurité sur ce qui reste le maillon le plus faible de la chaîne de sécurisation des systèmes d’information d’entreprise. Les cas sont nombreux ou l’identifiant et le mot de passe d’une seule personne se trouvent utilisés par d’autres collaborateurs, faisant perdre toute traçabilité des transactions réalisées. De plus, plus un mot de passe est diffusé, moins il remplit sa mission de restriction d’accès.

La fédération d’identité, un principe qui a fait ses preuves

Pour résoudre ce problème en toute sécurité tout en réduisant les coûts et en améliorant la productivité, il faudrait pouvoir reproduire à l’échelle du Web le mécanisme de fédération d’identité des réseaux fermés en environnement Microsoft. Pour tous les services offerts par un environnement Windows, le service d’annuaire Active Directory joue en effet un rôle fédérateur. C’est lui qui valide l’identifiants et le mot de passe fournis par l’utilisateur et affecte à ce dernier un ensemble d’habilitations, les groupes, qui seront utilisés ensuite par les services applicatifs (Exchange, partage de fichiers, SharePoint, etc…) pour autoriser ou non l’accès à l’information. Il est même possible de renforcer la sécurité en mettant en oeuvre un système d’authentification forte par carte à puce ou clé USB. Ce modèle de fédération d’identité avec authentification forte en option, fonctionne parfaitement dans le périmètre maîtrisé du réseau interne de l’entreprise. Mais pour être applicable, il exige d’importantes transformations du système d’information. Dans la pratique, il est difficile et très couteux, pour une entreprise de contraindre tous ses clients et partenaires à adopter une technologie unique de gestion des identités.

Adapter la fédération d’identité au contexte d’Internet

Heureusement, l’évolution des technologies fournit depuis peu un mécanisme équivalent, mais applicable au contexte Internet. Portée par Sun, l’initiative Open SSO permet d’étendre la fédération d’identité au delà des frontières de l’entreprise de façon non intrusive pour les systèmes d’information des clients ou des partenaires. Implémentation Open Source du protocole SAML (Security Access Markup Language), Open SSO réalise la validation de l’identité de l’utilisateur via un formulaire Web et la transmission sécurisée, de serveur à serveur, d’un certificat d’authenticité de l’utilisateur identifié. Cette approche permet aussi de mettre en oeuvre de façon simple, peu coûteuse et non propriétaire, un mécanisme d’authentification forte basée sur un mot de passe jetable, à usage unique. Comme l’environnement Active Directory, Open SSO permet de centraliser la gestion des identités tout en déléguant facilement la création ou la modification des comptes d’utilisateurs aux différentes entités concernées, qu’il s’agisse du service informatique d’une agence distante ou d’un client ou partenaire de longue date. Parce qu’elle s’appuie sur les technologies Web Open Source, la technologie élimine aussi la complexité d’intégration aux applications Web existantes. Quelques lignes de code suffisent pour relier l’application Web au serveur d’identification fédérée, sans remettre en cause ni le processus d’authentification existant ni l’autonomie de gestion des droits d’accès à l’application Web.

L’authentification forte pour simplifier les accès

Implémentée en technologies Open Source pour préserver la flexibilité et l’évolutivité, cette nouvelle approche de la gestion des identités permet aux utilisateurs et aux administrateurs des applications Web de se recentrer sur l’essentiel : utiliser ou faire évoluer l’application Web. Qu’il s’agisse d’un collaborateur distant ou d’un employé habilité d’un client ou  partenaire, l’utilisateur ne perd plus de temps à rechercher l’identifiant et le mot de passe. Dans certaines solutions c’est le téléphone mobile de l’utilisateur qui lui permet de
générer un mot de passe à usage unique à saisir dans le formulaire d’authentification sur la page d’accueil de l’application Web. Une fois son identité confirmée par le serveur intégré de la solution de gestion fédérée de l’identité, l’identification par l’application Web est entièrement automatique pendant une période donnée (4 heures par exemple). Le collaborateur peut ainsi naviguer d’une application Web à une autre tout au long de sa demi-journée de travail sans pertes de temps. De son côté, l’administrateur de l’application conserve la pleine maîtrise de gestion des droits d’accès pour chaque utilisateur. Débarrassé de la problématique de gestion de l’identité et rassuré, par l’authentification forte, sur la fiabilité de l’identification fournie, l’administrateur peut se concentrer sur l’optimisation de la sécurité et de la performance de son application. La solution permet ainsi de prendre pleinement en compte l’évolution de la gestion des identités dans l’entreprise. Avec la multiplication des applications Web, celle-ci est devenue centrale pour la productivité de l’entreprise. Elle doit pouvoir être gérée indépendamment des processus d’autorisation, propre à chaque application, interne ou externe.