• Assurez la sécurité des applications de la bonne manière! Détectez, protégez, surveillez, accélérez et plus encore…
  • SSO est un excellent outil de productivité et de sécurité, mais il laisse des lacunes de sécurité liées aux mots de passe.

    Les solutions d'authentification unique (SSO) gagnaient rapidement en popularité avant même que la pandémie de COVID-19 n'entraîne une course folle vers le cloud. Désormais, l'authentification unique est plus populaire que jamais en raison des avantages de commodité et de sécurité qu'il offre aux entreprises avec des effectifs répartis, notamment:

    • Un seul mot de passe à retenir pour les employés. L'élimination de la «fatigue des mots de passe» est l'un des principaux moteurs de l'adoption de l'authentification unique. Au lieu d'un mot de passe différent pour chaque application et service, les employés n'ont qu'à mémoriser leur mot de passe de connexion unique.
    • Un seul mot de passe à saisir, une fois par jour. En plus de ne pas avoir à se souvenir de plusieurs mots de passe, les employés n'ont pas besoin de saisir plusieurs mots de passe tout au long de la journée de travail. Ils entrent leur mot de passe SSO une fois, au début de leur journée de travail, éliminant ainsi le temps perdu à taper des mots de passe tout au long de la journée de travail.
    • Réduisez de moitié les tickets d'assistance. Le groupe Gartner estime que la réinitialisation du mot de passe représente jusqu'à 50% des tickets d'assistance. SSO promet d'éliminer pratiquement ces tickets, permettant aux employés du support de passer plus de temps à aider les utilisateurs finaux avec des problèmes plus complexes.
    • Déploiement plus facile de l'accès et de la gestion des identités (IAM). L'authentification unique réduit la complexité de la configuration de l'authentification et des contrôles d'accès, permettant un déploiement plus rapide et plus simple des solutions IAM, ainsi qu'un chemin plus rapide vers un confiance zéro environnement.
    • Rapports de conformité plus faciles. De nombreux frameworks de conformité courants nécessitent des pistes d'audit utilisateur pour les données de connexion des utilisateurs. L'authentification unique facilite l'inclusion de ces données dans les rapports de conformité.

    Lacune de SSO: lacunes de sécurité liées aux mots de passe

    Le but de l'authentification unique est de faciliter l'accès aux ressources. C'est excellent pour la productivité, mais pas du point de vue de la sécurité:

    • Un mot de passe unique équivaut à un point de défaillance unique. Si un employé perd ou oublie un mot de passe pour un seul compte, il est verrouillé hors de ce compte. S'ils oublient leur mot de passe SSO, ils sont exclus de tous leurs comptes. Plus inquiétant encore, si un cybercriminel obtient un mot de passe SSO, il peut accéder à tous les comptes liés au travail de l'employé. Verizon estime que plus de 80% des violations de données réussies résultent de mots de passe compromis, ce qui est un énorme inconvénient.
    • Les anciennes applications métier (LOB) ne prennent pas en charge l'authentification unique. Bien que la pandémie COVID-19 ait accéléré les efforts de transformation numérique de plusieurs années, la plupart des organisations utilisent encore au moins quelques applications LOB héritées qui ne prennent pas en charge l'authentification unique. Parce qu'ils sont si vieux, les moderniser n'est pas réaliste; parce qu'ils sont très spécialisés, leur remplacement n'est pas possible non plus.
    • Toutes les applications modernes ne prennent pas en charge l'authentification unique. Les applications héritées ne sont pas le seul point de friction. De nombreuses applications et services modernes ne prennent pas en charge l'authentification unique non plus, en particulier les applications de bureau. Il est rare que le déploiement SSO d'une organisation couvre toutes les applications utilisées par leurs employés, en particulier dans les grandes entreprises, où des centaines d'applications peuvent être utilisées.
    • Différentes applications peuvent utiliser différents protocoles SSO. Vos employés peuvent avoir besoin d'utiliser des applications qui utilisent un protocole différent de celui utilisé par le fournisseur d'identité (IdP) de votre organisation. Par exemple, si votre IdP utilise le protocole SAML, votre solution SSO ne prendra pas en charge les applications qui utilisent OAuth.
    • Aucun contrôle sur les habitudes de mot de passe des utilisateurs. Les déploiements SSO ne fournissent aucune visibilité sur les mauvaises pratiques de sécurité des mots de passe. Les employés peuvent choisir un mot de passe faible ou précédemment compromis pour leur connexion SSO, ou ils peuvent réutiliser un mot de passe qu'ils utilisent sur plusieurs comptes supplémentaires. Ils peuvent faire la même chose pour toutes les applications que votre déploiement SSO ne prend pas en charge. Ils peuvent également partager leurs mots de passe avec des parties non autorisées.
    • Aucune protection pour les utilisateurs ou sessions privilégiés. En règle générale, les utilisateurs doivent entrer des informations d'identification distinctes pour accéder aux systèmes et aux données particulièrement sensibles, mais le but de l'authentification unique est de donner aux utilisateurs un laissez-passer d'accès complet avec une authentification unique.

    4 façons de combler les lacunes de sécurité liées aux mots de passe laissées par l'authentification unique

    déchiffrement du mot de passe

    Malgré ces risques, les organisations soucieuses de la sécurité ne devraient pas abandonner leurs déploiements SSO. Aucune solution de sécurité n'est une panacée. En associant leurs solutions SSO à des technologies complémentaires, les entreprises peuvent combler les lacunes de sécurité liées aux mots de passe tout en conservant la productivité et la facilité d'utilisation de SSO.

    #1. Implémentez le contrôle d'accès basé sur les rôles (RBAC) avec un accès au moindre privilège pour tous les utilisateurs

    La principe du moindre privilège, qui dicte que les utilisateurs doivent avoir accès uniquement au niveau minimum de privilèges système pour faire leur travail et rien de plus, est essentiel pour réduire la surface d'attaque potentielle d'une organisation. Entrez RBAC, ce qui simplifie l'attribution et la gestion des niveaux de contrôle d'accès.

    Pour rendre les attributions de rôles RBAC plus gérables, évitez d'attribuer des rôles directement aux utilisateurs. Au lieu de cela, créez des groupes, attribuez des privilèges aux groupes et ajoutez des utilisateurs aux groupes en conséquence. En plus de réduire le nombre d'attributions de rôles, cette pratique permet de gagner du temps si une modification de privilège doit être apportée à chaque utilisateur d'un groupe. Assurez-vous que vos groupes sont réutilisables et évitez de créer trop de rôles personnalisés.

    # 2. Implémentez la gestion des accès privilégiés (PAM) avec la gestion des sessions privilégiées (PSM) pour les utilisateurs privilégiés

    Contrairement à SSO, qui vise à rendre l'accès aussi simple que possible, PAM se concentre sur la restriction de l'accès aux systèmes et aux données les plus sensibles d'une entreprise. Les organisations utilisent PAM pour restreindre et surveiller l'accès à leurs systèmes les plus critiques et les plus sensibles. Les utilisateurs privilégiés sont généralement des initiés de haut niveau de l'entreprise, tels que les administrateurs informatiques et de sécurité et les cadres de niveau C, bien que les fournisseurs et partenaires de confiance puissent également entrer dans cette catégorie.

    PAM et PSM vont de pair. Alors que PAM contrôle l'accès des utilisateurs aux ressources sensibles, PSM empêche les utilisateurs privilégiés d'abuser de cet accès en contrôlant, surveillant et enregistrant les sessions des utilisateurs privilégiés. La surveillance et l'enregistrement PSM typiques sont très granulaires et incluent des frappes, des mouvements de souris et des captures d'écran. En plus d'assurer la sécurité, les pistes d'audit PSM sont requises par plusieurs cadres de conformité, notamment HIPAA, PCI DSS, FISMA et SOX.

    # 3. Implémentez l'authentification multifacteur sur toutes les applications et services qui la prennent en charge

    Authentification multi-facteurs (2FA) est l'une des défenses les plus puissantes contre les mots de passe compromis. Même si un cybercriminel compromet un mot de passe, il ne peut pas l'utiliser sans le deuxième facteur d'authentification. 2FA protège tous les utilisateurs de ceux qui ont le moins accès aux systèmes aux utilisateurs les plus privilégiés de l'entreprise. Il améliore la confiance zéro en permettant aux organisations d'authentifier les identités des utilisateurs.

    Certaines organisations hésitent à mettre en œuvre 2FA de peur que cela n'entrave la productivité en obligeant les employés à passer par des étapes supplémentaires pour se connecter. Ce problème est facilement résolu en associant 2FA à une solution de sécurité par mot de passe moderne qui permet aux utilisateurs de stocker leurs informations d'identification 2FA avec leurs mots de passe .

    # 4. Déployez une plate-forme de sécurité et de chiffrement des mots de passe d'entreprise à l'échelle de l'entreprise

    La plate-forme de sécurité et de cryptage des mots de passe permet aux employés de stocker en toute sécurité toutes leurs informations de connexion dans un référentiel centralisé, privé et crypté. Comme SSO, les utilisateurs ne mémorisent qu'un seul «mot de passe principal», qui est utilisé pour accéder à toutes les informations d'identification de leur référentiel numérique.

    Contrairement à SSO, un bonne sécurité des mots de passe d'entreprise et la plate-forme de cryptage est conçue pour fonctionner avec tous les services et applications, y compris les anciennes applications; ils incluent des fonctionnalités supplémentaires, telles que générateurs de mots de passe forts et les outils de remplissage automatique. Ils donnent également aux administrateurs informatiques une visibilité complète sur les habitudes de mot de passe des utilisateurs et appliquent les politiques de sécurité des mots de passe. Assurez-vous de déployer une plate-forme de sécurité et de chiffrement de mot de passe de niveau entreprise qui s'intègre parfaitement à votre déploiement SSO existant et prend en charge RBAC, 2FA, l'audit et la création de rapports d'événements.

    L'authentification unique ne pose des risques de sécurité que si les entreprises la considèrent comme une solution autonome. En reconnaissant les lacunes de sécurité liées aux mots de passe inhérentes à l'authentification unique et en les compensant par la mise en œuvre de technologies complémentaires, telles que 2FA, RBAC, PAM / PSM et une plate-forme de sécurité et de cryptage des mots de passe, les organisations peuvent améliorer l'efficacité, améliorer l'expérience de l'utilisateur final, et se protéger contre les cyberattaques liées aux mots de passe.

    Écrit par Teresa Rothaar