Chez Ducrand et Lapoigne, la sécurité informatique repose depuis toujours sur l’utilisation de mots de passe. Pour les utilisateurs, l’accès aux applications repose donc sur leur capacité à mémoriser les mots de passes qui leur sont assignés par le service informatique.  Les menaces se renforcent ? Pas de souci, on remplace les mots de passe par d’autres plus compliqués alternant majuscules, minuscules et caractères cabalistiques… Et surtout on les renouvelle de plus en plus fréquemment. Le résultat : des utilisateurs de plus en plus perdus qui pour éviter d’oublier leurs mots de passes les notent sur des post-it ou dans des fichiers sur leur ordinateur. En fait de sécurité, c’est un peu comme si l’on faisait installer une serrure dernier cri sur sa porte et que l’on laissait volontairement la clé sur le palier.

Ce scénario vous rappelle quelque chose ? Il est malheureusement le quotidien de millions d’utilisateurs de petites et grandes entreprises partout dans le monde. Le pire est que cette pratique n’est pas limitée aux seuls accès locaux au système d’information. Dans le monde, plus de 44 % des entreprises utilisent aussi des mots de passe pour permettre à leurs salariés d’accéder à distance à leur système d’information.

Pourquoi un tel état de fait ? Une étude récente menée par la NSA aux États-Unis auprès d’un échantillon de PME montre qu’elles s’estiment moins visées par les cybercriminels que les grands groupes. La réalité est en fait assez différente. Les cybercriminels ont compris depuis longtemps que s’il est compliqué de pirater un grand groupe, il est considérablement plus simple d’obtenir les plans de ses derniers systèmes chez ses sous-traitants, des PME qui sont souvent bien moins protégées. De même, les spécialistes du renseignement économiques à la DCRI (ex-DST) en France, passent leur temps à tenter d’avertir les PME sur les risques informatiques, car ce sont souvent ces PME qui sont les plus innovantes dans des secteurs clés comme l’énergie, les nouveaux matériaux, la santé, l’électronique et l’informatique…

Il est donc urgent pour les PME de renforcer leurs défenses en mettant en place des systèmes d’authentification fiables et réellement sécurisés capables, au passage, de simplifier la vie des utilisateurs.

Adopter l’authentification forte

Le concept d’authentification forte n’est pas nouveau. Il s’agit de coupler quelque chose que l’utilisateur connaît (comme un mot de passe par exemple) avec quelque chose qu’il possède ou qu’il est comme un token USB, un générateur de mot de passe aléatoire sur clé ou sur téléphone mobile, ou une empreinte digitale. Le problème est qu’historiquement les systèmes mettant en œuvre l’authentification forte étaient soit trop coûteux, soit trop compliqués, soit peu fiables (par exemple pour la reconnaissance d’empreinte).

L'appliance RSA Authentication Manager Express est une solution d'authentification forte prête à l'emploi pour les PME

Aujourd’hui ce n’est plus le cas. RSA, le leader mondial des solutions d’authentification a ainsi développé RSA Authentication Manager Express, une nouvelle plate-forme d’authentification centralisée, conçue spécifiquement pour les petites et moyennes entreprises. Cette solution unique ne s’appuie pas sur des tokens matériels qui sont souvent un facteur de coût insupportable pour le budget des PME. Et surtout, RSA Authentication Manager Express a été conçu pour répondre aux soucis de simplicité, de flexibilité et de convivialité mis en avant par les PME. Le logiciel fournit ainsi un accès distant sécurisé au Système d’information pour des PME ayant jusqu’à 2 500 salariés. Compatible avec les principaux systèmes VPN du marché cette solution permet aux PME de déployer une technologie d’authentification forte et un accès sécurisé à leurs applications et données sensibles.

RSA Authentication Manager express s’appuie sur la technologie d’authentification basée sur les risques (RBA), une innovation de RSA pour offrir une authentification forte totalement transparente pour les utilisateurs. La solution agit en arrière plan pour évaluer un score de risque pour chaque utilisateur et l’authentifier en silence dès lors que ce score est inférieur ou égal à un seuil défini par l’entreprise. En effet, au cœur du dispositif RBA se trouve le moteur RSA Risk Engine, un système sophistiqué qui surveille et passe au crible en temps réel des dizaines d’indicateurs pour attribuer un niveau de risque à chaque tentative de connexion d’un utilisateur.

RSA Authentication Manager Express permet aux entreprises peuvent de définir des politiques d’authentification en fonction de leur propre échelle de risque pouvant aller de faible à élevé, mais également d’appliquer différentes politiques en fonction des profils des utilisateurs et de leur relation avec l’entreprise. Par exemple, les entreprises peuvent se montrer plus tolérantes pour l’accès de leurs salariés que pour l’accès des clients ou partenaires. Si le moteur de risque contenu dans RSA Authentication Manager Express détermine que le niveau de risque d’une demande d’accès se situe en deçà du seuil défini, l’utilisateur est authentifié en toute transparence. En revanche, s’il estime que le seuil de risque est dépassé, l’utilisateur sera alors invité à fournir une preuve d’identité additionnelle.

Principe de fonctionnement de RSA Authentication Manager Express
RSA Authentication Manager Express est une authentification forte multi-facteurs. Cela signifie que pour valider l’identité d’un utilisateur le système va
faire appel à 3 facteurs :

  • Ce que connaît l’utilisateur (nom d’utilisateur et mot de passe existants, par exemple)
  • Ce que possède l’utilisateur (ordinateur portable, pc de bureau ou téléphone mobile par exemple)
  • Ce que fait l’utilisateur (activité récente enregistrée sur son compte, par exemple).

 

Principe de fonctionnement de RSA Authentication manager Express

Ainsi, face à un schéma d’utilisation standard, l’authentification multi-facteurs de RSA Authentication Manager Express s’opère en toute transparence pour l’utilisateur, qui n’a aucune autre information à saisir que son mot de passe.
En revanche si une demande d’accès a un score de risque dépassant le seuil de risque établi par l’entreprise, RSA Authentication Manager Express exigera une preuve supplémentaire d’identité. L’utilisateur par exemple entrer un code additionnel à 8 chiffres qui a été envoyé par SMS en temps réel sur ton téléphone mobile, ou autre possibilité le recours à une question « challenge » spécifique (telle que le nom d’un animal domestique, l’âge d’un enfant…). Notons que l’authentification par SMS hors bande présente des avantages notables : elle est compatible avec tous les téléphones mobiles et ne nécessite aucun achat de matériel ni installation de logiciel côté l’utilisateur. Elle est de plus facilement compréhensible par tous les utilisateurs.

 

RSA Risk Engine : comment ça marche ?

RSA Risk Engine emploie en temps réel une combinaison d’analyses comportementales et matériels lors d’une demande d’accès utilisateur pour confirmer ou infirmer son identité .
A partir de l’analyse matériel, RSA Risk Engine détermine si l’équipement correspond à une machine précédemment associée au titulaire du compte et peut donc être jugée digne de confiance. Si c’est le cas l’équipement de l’utilisateur constitue un facteur complémentaire d’authentification qui confirme en silence l’identité de l’utilisateur.  En revanche, si la machine n’est pas reconnue, l’utilisateur est prié de fournir des preuves d’identité supplémentaires.
A partir de l’analyse comportementale, RSA Risk Engine, détermine si le comportement de l’utilisateur est à risque en le comparant un profil historique, à ceux d’une même population et aux comportements caractéristiques des tentatives d’accès non autorisées. Si le risque est jugé faible, le comportement de l’utilisateur suffit à constituer un facteur d’authentification additionnel qui permet de confirmer de manière silencieuse l’identité du titulaire du compte.

Profilage matériel : ce que possède l’utilisateur

Le profilage matériel permet d’observer de manière discrète, dynamique et systématique le PC fixe ou portable de l’utilisateur à chaque tentative d’authentification. Le profilage matériel porte principalement sur l’identification matérielle unique et l’identification matérielle statistique. Il s’appuie notamment sur un système de cookies cryptographiques unique à RSA et sur un système d’identification du matériel (par calcul d’une empreinte unique pour chaque machine) qui permet d’associer statistiquement un utilisateur à une machine donnée. Ce système d’identification matériel utilise notamment des éléments comme la version du système d’exploitation, la résolution d’écran, version du navigateur, la version des logiciels, les paramètres d’affichage (taille et profondeur de couleurs), le fuseau horaire, les paramètres régionaux et linguistiques ou l’adresse IP.

 

Profilage comportemental : ce que fait l’utilisateur

RSA Authentication Manager express observe le comportement de l’utilisateur avant d’attribuer un niveau de risque à sa demande d’accès. Le profil comportemental sert à identifier les connexions à risque en tenant compte d’éléments tels que la vélocité, l’adresse IP, les demandes d’authentification précédentes et l’activité sur le compte (par exemple, un changement récent du profil utilisateur ou plusieurs tentatives d’authentification rejetées). De fait, si un utilisateur se connecte habituellement depuis un bureau de New York, puis tente soudainement de se connecter depuis Moscou, le système peut considérer ce comportement comme suspect. Toutefois, si l’utilisateur voyage souvent et se connecte régulièrement depuis divers endroits dans le monde, ce comportement peut être considéré comme normal.

Des avantages « clés »

RSA Authentication Manager Express est une solution rapide à mettre en œuvre car elle est fournie sous forme d’appliance plug and play, immédiatement prête à l’emploi avec les principaux VPN SSL et serveurs Web. Et grâce à la configuration rapide RSA Quick Setup, le serveur peut être opérationnel en quelques étapes seulement. La solution est aussi économique car elle requiert pas l’achat de dispositifs matériels dédiés à l’authentification. Sa tarification est adaptée aux besoins et aux budgets des PME.

Surtout, RSA Authentication Manager Express se révèle pratique et ergonomique pour les utilisateurs. Dans la majorité des cas, il est transparent et authentifie les utilisateurs par leur nom d’utilisateur et mot de passe habituels. Seules les demandes d’accès jugées à risque font l’objet d’une demande de preuve d’identité supplémentaire à fournir par l’utilisateur.

La technologie, enfin, est largement éprouvée. La technologie RBA mise en œuvre pour évaluation des risques est déjà déployée par plus de 8 000 entreprises dans des secteurs comme les services financiers, la santé, les assurances, la grande distribution ou les services publics. Actuellement, la technologie RBA de RSA protège plus de 250 millions d’identités utilisateurs et sécurise l’accès à toute une palette d’applications et de systèmes, parmi lesquels des sites et portails Web ou applications VPN SSL.