Bonnes pratiques appliquées à la sécurité informatique

Parmi les bonnes pratiques à appliquer en priorité, il convient de ne pas limiter l’authentification à l’utilisation de mots de passe, en couplant ces derniers à une stratégie de sécurité multi-niveaux. En règle générale, les entreprises se sont surtout attachées à sécuriser le périmètre réseau et utilisent des mots de passe statiques pour authentifier les utilisateurs à l’intérieur du pare-feu. Ces précautions sont insuffisantes au regard de l’extrême diversité des Menaces Permanentes Avancées (Advanced Persistent Threats, APT), des piratages occasionnels et des risques internes liés à l’adoption du phénomène BYOD (Bring Your Own Device). Parce que les mots de passe statiques sont parfois le meilleur moyen d’aller droit à la catastrophe, les entreprises devraient généraliser le recours à l’authentification forte qui couvre les applications et les serveurs, sans oublier les systèmes basés dans le cloud.

Une approche de sécurité multi-niveaux doit englober l’authentification multi-facteurs, l’authentification des équipements, la protection des navigateurs et l’authentification des transactions. Elle exige une plate-forme d’authentification universelle intégrée et une détection des menaces en temps réel. Exploitée depuis quelque temps dans la banque en ligne et le commerce électronique, la technologie de détection des menaces devrait gagner le secteur des entreprises et y constituer une couche de sécurité supplémentaire pour les scénarios d’accès distant de type VPN ou postes de travail virtuels.

Les mécanismes d’authentification à deux facteurs, habituellement confinés aux tokens OTP, « display cards » et autres dispositifs physiques, sont aujourd’hui remplacés par des « tokens logiciels » qui peuvent être stockés, côté utilisateurs, sur des supports tels que des téléphones mobiles, tablettes et navigateurs. Les entreprises peuvent ainsi remplacer un token de sécurité dédié par le smartphone de l’utilisateur, ce qui permettra de faciliter et de développer l’utilisation d’un second facteur d’authentification (« un élément que l’utilisateur possède »). Soit une application sur le téléphone génère un mot de passe unique (OTP), soit celui-ci est envoyé sur le téléphone par SMS. Pour plus de sécurité, l’authentifiant est stocké sur le composant sécurisé du terminal mobile, la puce SIM (Subscriber Identity Module). Les tokens mobiles peuvent également être associés aux mécanismes d’accès à authentification unique des applications cloud, et allier ainsi l’authentification classique à deux facteurs et un accès simplifié à de multiples applications cloud en un seul et même équipement.

À mesure que la gestion des identifiants évolue vers le cloud, d’autres éléments décisifs doivent être pris en compte. À l’heure actuelle, le débat sur la sécurité qui s’articule autour de ce modèle porte essentiellement sur la sécurisation de cette plate-forme, mais étant donné que les entreprises continuent à migrer leurs applications dans le cloud et à tirer parti du modèle SaaS (Software as a Service), il sera crucial de remédier aux difficultés posées par l’activation et la révocation des identités utilisateurs à l’échelle de plusieurs applications cloud, en garantissant une connexion sécurisée et fluide à celles-ci. Le secteur devra également définir de bonnes pratiques appliquées à la gestion et à la prise en charge de l’afflux de terminaux mobiles personnels dans l’environnement BYOD. Être à même de s’authentifier à partir d’un équipement personnel pour accéder à une application sur un réseau d’entreprise ou dans le cloud deviendra un impératif clé. De même, il sera essentiel de préserver le droit à la vie privée des utilisateurs BYOD et, en même temps, de protéger l’intégrité des données et ressources de l’entreprise.

Bonnes pratiques appliquées à la sécurité physique

Pour les applications de contrôle d’accès physique, la technologie des cartes à puce sans contact, qui utilise l’authentification mutuelle et des mécanismes de protection cryptographique avec clés secrètes, fait référence. Ces cartes doivent également reposer sur des normes ouvertes, et interagir avec un large éventail de produits au moyen d’un protocole de messages sécurisés transitant par une plate-forme de communication fiable au sein d’un écosystème sécurisé. Si elles sont de plus dotées d’une interface standard et universelle, leur adaptabilité et leur interopérabilité s’en trouvent renforcées et, du fait de leur portabilité, elles seront utilisables sur smartphones ; les utilisateurs pourront ainsi déployer indifféremment des cartes à puce et des terminaux mobiles pour le contrôle d’accès physique.

La prise en compte du potentiel d’évolutivité future est importante pour plusieurs raisons. Il n’est pas exclu que les entreprises veuillent intégrer à l’avenir de nouvelles applications, comme des empreintes biométriques. Une fusion, une acquisition ou un changement peuvent commander une nouvelle stratégie de marque, une réorganisation et la création de nouveaux identifiants. Il peut également être nécessaire de mieux gérer les risques en raison de nouvelles obligations réglementaires ou de réduire les charges, en particulier si le système en place est une solution basse fréquence aisément clonable. Sans compter qu’une nouvelle législation ou de nouvelles réglementations peuvent, elles aussi, imposer de renforcer la sécurité. De même, il peut être avantageux de réunir plusieurs applications dans une seule et même solution garantissant à l’entreprise une administration centralisée et à ses collaborateurs une réelle simplicité d’emploi ; avec une seule carte, et non plus plusieurs dans ce cas, il est alors possible d’ouvrir des portes, d’avoir accès au matériel informatique, d’utiliser les systèmes de pointage horaire et d’impression sécurisée, de régler ses repas ou ses titres de transport, d’effectuer des achats au moyen d’un porte-monnaie électronique, entre autres applications. Cette formule renforce, de surcroît, la sécurité par la mise en œuvre d’une authentification multi-facteurs d’un bout à l’autre de l’infrastructure informatique, sur des systèmes et applications stratégiques, et non à son périmètre uniquement ; elle réduit également les coûts en donnant aux entreprises les moyens de tirer parti des investissements déjà réalisés en authentification pour assortir les connexions réseau d’un contrôle d’accès logique et créer une solution de sécurité multi-niveaux totalement interopérable entre les réseaux de l’entreprise, ses systèmes et ses locaux.

Place à la mobilité

Il est une autre bonne pratique performante qui consiste à conjuguer le contrôle d’accès physique et logique sur un smartphone, équipement rarement égaré ou oublié par les utilisateurs. La solution unique et pratique ainsi créée permet de pénétrer dans des bâtiments, de se connecter à des réseaux, d’utiliser des applications et des systèmes, et d’accéder à distance à des réseaux sécurisés sans autre carte, token OTP ou clé. De plus, le modèle d’activation d’identités en mode cloud lié au contrôle d’accès mobile permet d’éviter la duplication des identifiants ; et il facilite la création des identifiants provisoires, l’annulation de codes égarés ou volés, et le contrôle et la modification des paramètres de sécurité au besoin.

En dépit des atouts du contrôle d’accès mobile, il est peu probable que cette technologie remplace complètement les cartes à puce physiques dans les années qui viennent. Mais plutôt, les smartphones coexisteront avec les cartes et badges, et les entreprises pourront ainsi mettre en œuvre un choix de cartes à puce et/ou terminaux mobiles dans le cadre de leur système de contrôle des accès physiques (PACS). Il importera d’instaurer une voie de migration vers cet environnement hybride, qui garantira que les investissements réalisés dans les technologies actuelles demeurent exploitables à l’avenir. L’ajout de nouvelles capacités exige une plate-forme carte-lecteur multitechnologies évolutive et adaptable, permettant d’embarquer sur la même carte des technologies d’authentification nouvelles ou non, en prenant en charge les plates-formes smartphones.

Parallèlement, les entreprises doivent également optimiser leur production sécurisée de cartes traditionnelles. Ce qui suppose d’intégrer des technologies visuelles et logiques indispensables à une validation à plusieurs niveaux, et de recourir aux procédures de gestion correspondantes pour renforcer la sécurité tout en optimisant l’efficacité du système d’émission. La plupart des systèmes de production de cartes d’identification reposent sur une validation d’identité à deux dimensions, comparant le titulaire de la carte à des données d’identification (une photo, par exemple) qui figurent sur celle-ci. Pourquoi ne pas envisager l’intégration d’éléments plus complexes, tels que des images haute résolution ou la gravure au laser d’un signe distinctif rendant toute falsification ou modification impossible ? Circuits intégrés, bandes magnétiques et autres composants numériques ajoutent une troisième dimension de sécurité, et une plus grande capacité de stockage sur la carte permet d’inclure des données biométriques et autres pour affiner la validation. Les processus de personnalisation intégrée de cartes gèrent toutes les tâches nécessaires simultanément ; autre bonne pratique à retenir : l’intégration de lecteurs/encodeurs dans le matériel d’impression de cartes, qui pérennise les avantages applicatifs procurés par les cartes à puce pour l’entreprise.

Les bonnes pratiques applicables au contrôle d’accès physique et logique – et aux solutions réunissant ces deux fonctionnalités – imposent l’utilisation d’une technologie de carte à puce normalisée, compatible avec nombre d’applications et portable sur smartphones. En réunissant ces conditions et en prévoyant de migrer vers de nouvelles capacités, les entreprises se donnent les moyens d’exploiter ces deux types de technologies d’authentification dans leur système PACS. Elles continuent également à s’adapter à leurs nouveaux impératifs en ayant la certitude de préserver les investissements réalisés dans l’infrastructure existante.