Considérations clés liées à l authentification pour votre stratégie mobile

Transcription

1 Considérations clés liées à l authentification pour votre stratégie mobile

2 Le besoin d authentification mobile atteint sa masse critique À en croire un vieil adage, les clients s expriment par le biais de leur portefeuille. Si cette expression est en partie vraie, dans quelques années nous pourrons en dire autant de leurs périphériques mobiles. L utilisation de ces derniers est en effet en pleine explosion. Selon le cabinet d études Forrester Research, un milliard de consommateurs seront équipés de smartphones à l horizon Les consommateurs américains détiennent à eux seuls 257 millions de smartphones et 126 millions de tablettes. 1 Les habitudes d achat en sont profondément bouleversées, comme l attestent les récentes statistiques de consommation de Nielsen 2 : 79 % des propriétaires de smartphones et de tablettes aux États-Unis ont utilisé leurs appareils mobiles dans le cadre d activités commerciales ou assimilées. Parmi ces activités, 36 % des utilisateurs de smartphones ont échangé des coupons mobiles. Par ailleurs, 29 à 42 % des utilisateurs de smartphones et de tablettes ont acheté des articles par ce biais. La recherche et la localisation de points de vente figurent parmi les activités commerciales les plus fréquentes chez l ensemble des utilisateurs. Face à de telles données, vous comprendrez aisément pourquoi la mobilité est de plus en plus souvent considérée comme le nouveau visage de l engagement client. Le cabinet d études Forrester estime que d ici 2016, les dépenses mobiles s élèveront à 1,3 trillion $ et le marché des applications mobiles à 55 milliards $. 1 Les entreprises réagissent en multipliant le nombre d applications mobiles Avec pour enjeu la fidélité des clients et pour contexte une concurrence toujours plus féroce, de plus en plus d entreprises augmentent les budgets et les efforts consacrés au développement d applications mobiles. Elles espèrent ainsi pouvoir non seulement améliorer leur capacité à impliquer les clients, mais également tirer parti d un modèle métier moins onéreux. 1 «Mobile is the New Face of Engagement», Forrester Research, Inc., 13 février «How U.S. Smartphone and Tablet Owners Use Their Devices for Shopping» 3 mars 2012, nielsen.com. 02

3 Le besoin d authentification mobile atteint sa masse critique suite La «consumérisation de l informatique» fait son entrée aussi sur le lieu de travail. Poussées à la fois par les dirigeants et les employés désireux de travailler à distance, les initiatives autour du «Bring Your Own Device» (BYOD) sont en pleine croissance au sein d entreprises de toutes tailles. La capacité à les supporter correctement nécessite toutefois une stratégie d authentification flexible en raison du nombre et de la variété des périphériques concernés. 52 % des employés du secteur informatique utilisent trois périphériques ou plus dans le cadre de leur travail. 60 % de ces appareils servent à la fois à des usages professionnels et privés. 3 Inquiétudes quant à la sécurité : % de réponse «Très importantes» Risque de vol des appareils et donc d exposition des données de l entreprise Risque d introduction de logiciels malveillants au sein du réseau de l entreprise Exigences de conformité Transmission des données stockées sur le périphérique au nouvel employeur de l utilisateur 41 % 48 % 61 % 58 % Il était bien plus facile de protéger vos données d entreprise et vos transactions lorsque vos employés accédaient aux systèmes métier uniquement par le biais de leurs postes de travail sur site. Une récente étude de CA Technologies met en lumière les différents problèmes de sécurité auxquels les RSSI sont actuellement confrontés suite à l essor du BYOD. Problèmes légaux quant à la détention des données Manque d intégration avec les systèmes IT traditionnels 35 % 29 % Coût du support technique 26 % n=353 Source : CA Spring 2012 Security Market Survey, juin «Info Workers Using Mobile And Personal Devices For Work Will Transform Personal Tech Markets» Forrester Research, Inc., 22 février

4 La mobilité induit de nouvelles inquiétudes en termes de sécurité Des consommateurs aux employés, la «consumérisation de l informatique» est une tendance durable. Pour être tout à fait honnête, elle complexifie nettement la sécurité. Des quantités impressionnantes d utilisateurs emploient désormais un large éventail de systèmes d exploitation, de périphériques et d applications mobiles pour accéder à des données sensibles et pour effectuer des transactions. Ces activités doivent être protégées de manière appropriée de sorte à prévenir tout vol d identité et toute perte de données de l organisation. Cependant, à mesure que votre organisation intensifie la promotion de l engagement client en ligne et que les règles encadrant le BYOD sur le lieu de travail deviennent omniprésentes, les risques auxquels est confrontée la sécurité mobile peuvent rapidement prendre de l ampleur de par le simple nombre d utilisateurs et de points d accès potentiels. Ces questions de sécurité sont atténuées par la généralisation des services Cloud pour la collaboration entre employés et partenaires. Dans de telles conditions, la protection des données de vos consommateurs et de votre entreprise nécessite une stratégie de sécurité robuste, à même de fournir des mécanismes d authentification mobile efficaces. Les préoccupations traditionnelles, telles que la sécurité, la convivialité et les coûts ont toujours joué un rôle dans la sélection d une stratégie d authentification. Toutefois, avec la mobilité, la convivialité revêt une importance capitale. Par ailleurs, à mesure que le nombre d utilisateurs mobiles augmente, les demandes d accès peuvent atteindre des records : l évolutivité devient alors un besoin critique. Enfin, la perte de périphérique et les questions d authentification y afférents se sont également hissées au sommet de la liste des priorités. Préoccupations traditionnelles Sécurité Convivialité Coût Nouvelles dynamiques CONVIVIALITÉ ÉVOLUTIVITÉ Perte de périphérique Pas ou peu de contrôle sur les périphériques Protection des informations d identification Coûts de support Flexibilité/délai de mise à disposition Aide à la décision 04

5 Vers une stratégie de sécurité mobile unifiée Toute stratégie de sécurité mobile globale doit répondre à un certain nombre de défis pour protéger les données. Il peut toutefois être utile de commencer par concentrer vos efforts sur la gestion de l authentification et des accès. Dans le cadre de vos efforts de limitation des risques dans ce domaine, mieux vaut avoir une vue globale de l ensemble des initiatives mobiles mises en œuvre au sein de votre organisation. Par exemple : Quelles sont les applications mobiles actuellement en cours de développement? Qui est le public cible? Comment y accéder? Comment les équipes de développement d applications mobiles, réparties dans différents pays ou différentes business units, résolvent-elles les problèmes de sécurité et d authentification auxquels elles sont confrontées? Serez-vous amené à permettre, à l avenir, une authentification sécurisée à partir de périphériques non traditionnels, tels que des kiosques ou des voitures? Une fois que vous aurez collecté les détails concernant les opérations existantes et les exigences futures, vous serez en mesure d identifier les violations de sécurité ou les obstacles devant être résolus avant de poursuivre vos efforts. Avoir connaissance des exigences futures est indispensable pour élaborer une stratégie d authentification mobile offrant une protection à long terme des applications et des services mobiles utilisés en interne et en externe. 05

6 La fragmentation des pratiques de sécurité présente de nouveaux défis Certaines pratiques de développement actuelles peuvent entraver la fourniture d applications mobiles sécurisées, plutôt que la faciliter. Pour commencer, votre organisation se trouve peut-être dans une situation délicate ne permettant pas le développement et le déploiement de nouvelles applications. Par ailleurs, si vous travaillez en dehors des autres groupes de développement, vous manquez peut-être d une approche d entreprise coordonnée dans les phases intenses, notamment à l approche de délais. Cette situation peut donner lieu à différents problèmes : Différentes méthodes d authentification et règles de sécurité sont employées pour les périphériques mobiles, Web et non traditionnels (p. ex. des distributeurs automatiques), ce qui se traduit par une hétérogénéité des exigences de maintenance, de support et de gouvernance. Le développement d une solution de sécurité de la gestion des identités et des accès distincte pour chaque application ou service est particulièrement inefficace. En effet, cela retarde la mise à disposition des applications, ce qui peut se révéler critique dans un contexte hautement concurrentiel. Le manque de coordination des efforts de développement aboutit à une expérience utilisateur incohérente en termes d authentification selon la méthode d interaction utilisée, à savoir le Web, le Web mobile et les applications mobiles natives. Du point de vue de la sécurité et des connaissances métier et marketing, il peut être compliqué voire impossible de suivre l activité des utilisateurs lorsqu ils changent de méthodes d interaction. Employés, partenaires, clients Règle de sécurité Web, navigateur mobile, applications mobiles Hébergement de l application dans le Cloud, sur site L adoption d une approche coordonnée pour l authentification et les accès doit inclure l ensemble de vos méthodes d interaction, mobiles ou en ligne, de sorte à protéger les données sensibles, quelle que soit la méthode utilisée pour y accéder. 06

7 Déploiement d une approche d authentification mobile efficace À l inverse, lorsque vous normalisez et unifiez les processus d authentification mobiles au sein de votre stratégie de sécurité globale, vous vous dotez d une capacité à impliquer les clients et les employés, de bout en bout. Groupes d utilisateurs mobiles Points d accès Centralisation de la sécurité de l ensemble des canaux Accès sécurisé Le déploiement de règles d accès pouvant être appliqué à de multiples méthodes d interaction offre une expérience à la fois plus conviviale et plus cohérente, tout en simplifiant leur administration et en réduisant leurs coûts de support. Employés Web Référentiel d identités Accès Web Partenaires Navigateur mobile Authentification forte Gestion de sessions Application Clients Applications mobiles natives Règles Fonctionnalités Règle commune de sécurité de la gestion des accès Capacité à tirer parti du référentiel d identités existant Règle de sécurité unique pour l ensemble des accès, des navigateurs PC, des navigateurs mobiles et des applications natives Multiples méthodes de gestion de sessions pour le support des différents canaux Avantages Accélération du déploiement des applications Obtention d une piste d audit commune à tous les points d accès Réduction des efforts de développement grâce à une sécurité unique à toutes les plates-formes Support des périphériques d entreprise ou personnels 07

8 Déploiement d une approche d authentification mobile efficace suite À mesure que vous mettez en œuvre vos initiatives de mobilité en vue d accroître l accès aux applications d entreprise, vous pouvez commencer à intégrer les utilisateurs mobiles à votre solution existante de gestion des identités et des accès (IAM). Vous pourrez ainsi tirer rapidement parti des fonctionnalités de gestion centralisée, tout en fournissant une expérience utilisateur commune. Le choix de l approche à adopter pour l authentification dépend alors de l application, et de l utilisation que vous prévoyez d en faire. Par exemple : À quelles plates-formes de périphériques mobiles (ou non) devez-vous vous adapter pour permettre aux clients et aux employés d accéder à l application? S agit-il d une application mobile native ou d une application Web? Ces deux types d applications présentent différentes exigences en matière de support. De quelle manière les utilisateurs seront-ils amenés à interagir avec l application? Devront-ils accéder à une autre application pour effectuer une transaction donnée? Dans quelle mesure les données et les transactions relatives à l application sontelles sensibles? Une fois que vous avez apporté une réponse à ces questions et que vous avez déterminé les facteurs de convivialité et le volume d utilisateurs prévu, vous pouvez les mettre en correspondance avec l approche d authentification la plus adaptée aux exigences de sécurité de l application. 08

9 Méthode d authentification mobile L utilisation de noms d utilisateurs et de mots de passe basiques, voire l absence d authentification, peuvent convenir pour l accès à vos applications mobiles à faible risque. Toutefois, lorsqu une application renferme des données sensibles relatives aux clients ou à l entreprise, il est recommandé de mettre en œuvre un mécanisme d authentification plus performant. L approche en couches, qui vous permet d évaluer plusieurs facteurs de risques avant de mettre en œuvre le mécanisme d authentification approprié, offre davantage de sécurité et est ainsi mieux à même de protéger vos données et vos transactions sensibles. Analysons à présent les différentes tactiques que vous pouvez utiliser pour supporter vos exigences en termes d authentification forte. 1 3 Hors bande 4 2 Applications Cloud Applications sur site Authentification hors bande à deux facteurs. Cette méthode est utile lorsque les utilisateurs tentent d accéder à vos applications Web depuis un ordinateur portable, une tablette ou un poste de travail et lorsque vous souhaitez authentifier leur identité au-delà de leur couple nom d utilisateur-mot de passe. Elle nécessite l utilisation d un second périphérique (un téléphone portable) pour assurer davantage de sécurité à l authentification. Vous pouvez par exemple envoyer un OTP (One Time Password, mot de passe à usage unique) sur les smartphones des utilisateurs par courriel, par message vocal ou par SMS une fois qu ils ont fourni leurs informations d identification initiales. Cette solution permet de confirmer l identité d un utilisateur pour les opérations à haut risque ou la réinitialisation de son mot de passe. Application mobile d OTP OU Fourniture d un OTP par SMS, par courriel ou par message vocal Un mot de passe à usage unique (OTP) peut être envoyé sur le téléphone de l utilisateur afin de fournir une sécurité supplémentaire en cas d accès à une application Web depuis tout autre périphérique. 1. L utilisateur commence à se connecter 2. Un OTP est envoyé sur le téléphone de l utilisateur par SMS, par courriel ou par message vocal 3. L utilisateur saisit l OTP pour terminer la connexion 4. Il accède à l application 09

10 Méthodes d authentification mobile suite Intégration de méthodes d authentification forte aux applications mobiles natives. La première ligne de défense contre les menaces pesant sur la sécurité doit être mise en œuvre dès le développement des applications mobiles. Quel que soit le lieu de développement au sein de votre entreprise, vous pouvez tirer parti d un kit de développement logiciel (SDK, Software Development Kit) commun pour l authentification forte et intégrer les bibliothèques logicielles requises pour l établissement d un niveau de sécurité homogène à vos applications mobiles natives. Authentification basée sur les risques intégrant l identification du périphérique. Cette méthode d authentification, transparente pour l utilisateur, évalue en arrière-plan et en temps réel différents facteurs contextuels, notamment l identification, la géolocalisation, les détails transactionnels et certaines données historiques en vue de déterminer le risque. En cas de détection d activités suspectes, vous pouvez inviter l utilisateur à fournir des informations d authentification supplémentaires, programmer l envoi d une alerte ou simplement refuser l action. Signature des transactions. La signature des transactions ajoute un niveau de sécurité supplémentaire aux méthodes d authentification à deux facteurs. L utilisateur doit alors signer numériquement la transaction en cours afin d assurer une protection contre les nouvelles formes de fraude sur le Web. Dans ce scénario, l utilisateur doit confirmer la transaction en ligne en saisissant (sur son périphérique mobile) son code PIN ou toute autre information concernant la transaction, par exemple le montant, le numéro de compte ou le bénéficiaire. Une fois ces informations vérifiées, le client obtient un mot de passe dynamique à usage unique lui permettant de confirmer la transaction. Ce processus permet d éviter les attaques par interception ou par infection du navigateur, au cours desquelles les pirates tentent de modifier à des fins frauduleuses le montant de la transaction ou les informations relatives au bénéficiaire. 10

11 Le support de votre stratégie mobile nécessite une approche d authentification coordonnée Les périphériques mobiles sont largement utilisés, aussi bien par les clients que les employés. Votre organisation peut les utiliser et en faire un élément clé de votre stratégie d authentification forte. Le nombre croissant d applications mobiles natives et Web requiert par ailleurs de nouvelles formes conviviales d authentification forte pour permettre un accès direct aux applications depuis des périphériques mobiles. Pour être efficace, votre stratégie mobile doit adopter une approche d authentification coordonnée sur l ensemble des canaux. Une stratégie d authentification exhaustive vous offre les avantages suivants : Extension transparente et pratique de l accès aux applications à partir d un vaste choix de périphériques mobiles Obtention d une vue sur les divers canaux de vos clients, permettant l amélioration de l engagement client Augmentation de la productivité des employés grâce à un accès aux applications critiques à tout moment et en tout lieu Évolutivité sécurisée permettant de supporter davantage de périphériques et d applications Renforcement de la sécurité, prévention des fraudes et amélioration de la conformité 11

12 Solutions d authentification mobile de CA Technologies En travaillant avec CA Technologies, vous pouvez surmonter de nombreux défis en matière d authentification mobile. Vous pouvez en effet mettre en œuvre des solutions unifiées et ainsi réduire votre exposition aux activités malveillantes au sein de vos environnements IT, sur site et dans le Cloud. Nos solutions d authentification mobile supportent une approche de sécurité multicouche. Il s agit notamment des solutions suivantes : CA Strong Authentication propose de nombreuses méthodes d authentification forte basées sur les informations d identification et les mécanismes hors bande, vous permettant ainsi de renforcer la sécurité de vos transactions en ligne. Cette solution vous donne la possibilité d intégrer une protection multifacteur appuyée par des méthodes hors bande, des informations d identification par OTP ou par PKI (Public Key Infrastructure, infrastructure de clés publiques), afin d offrir une protection supplémentaire contre les attaques en force ou par «l homme du milieu» (man-in-the-middle). Des fonctionnalités de signature des transactions sont également disponibles et vous permettent de sécuriser les activités d achat, de transfert ou de paiement. CA Risk Authentication permet une détection transparente des fraudes et d évaluation des risques sur les divers canaux grâce à une analyse statistique basée sur les règles afin de détecter et de bloquer les fraudes en temps réel. Vous pouvez utiliser ces fonctionnalités pour créer un processus modulable d analyse des risques qui évalue le potentiel frauduleux de chaque transaction et connexion en ligne en fonction du niveau de risque, des profils utilisateur et périphérique et des règles organisationnelles. CA Single Sign-On vous apporte des fonctionnalités d authentification unique, d authentification flexible, d autorisation basée sur les règles, de gestion de sessions et d audit, afin de proposer une solution de sécurité cohérente sur l ensemble des canaux d accès et des plates-formes. CA Advanced Authentication SaaS fournit une authentification en tant que service (AaaS) offrant une solution rapide et économique pour déployer et gérer diverses méthodes d authentification forte afin de sécuriser les connexions et les transactions. 12

13 Approfondissez le sujet pour avancer en toute confiance Rendez-vous sur le site pour plus d informations. CA Technologies (NASDAQ : CA) crée des logiciels qui alimentent la transformation des entreprises et leur permettent de saisir toutes les opportunités de l économie des applications. Le logiciel est au cœur de chaque activité et de chaque industrie. De la planification au développement, en passant par la gestion et la sécurité, CA Technologies collabore avec des entreprises partout dans le monde afin de transformer la façon dont nous vivons, interagissons et communiquons, dans les environnements mobiles, de Cloud public et privé, distribués et mainframe. Pour en savoir plus, rendez-vous sur ca.com/fr. Copyright 2015 CA. Tous droits réservés. Tous les noms et marques déposées, dénominations commerciales, ainsi que tous les logos référencés dans le présent document demeurent la propriété de leurs détenteurs respectifs. CS