Certifier l identité utilisateur pendant une rupture business

Transcription

1 Livre blanc Certifier l identité utilisateur pendant une rupture business Appliquer une politique cohérente d authentification forte aux programmes de Continuité d Activité

2 L importance du maintien d une politique d authentification à deux facteurs en cas de perturbation majeure Ce livre blanc explique à quel point il est essentiel de maintenir une politique cohérente d authentification à deux facteurs pendant les perturbations majeures et comment développer des plans pour «reconnecter» rapidement et économiquement les utilisateurs à leurs habilitations en cas d urgence sans pour autant altérer la politique de sécurité, fragiliser l entreprise face aux attaques potentielles, ni gréver les budgets informatiques. Introduction Les entreprises sont confrontées à la délicate et récurrente question de la prise en charge d équipes hétérogènes et réparties géographiquement tâche d autant plus difficile en cas d interruption de l'activité normale, notamment dans les situations de crise ou de catastrophes naturelles, où de nombreux utilisateurs doivent travailler à distance. Face à la mondialisation des échanges et à la nécessité d offrir un accès ininterrompu à leurs systèmes métier, les entreprises doivent s équiper de solutions flexibles pour supporter les utilisateurs distants, maximiser leur productivité et préserver un système d authentification à deux facteurs pour protéger leurs ressources en toutes circonstances. En effet, l absence de certification de l identité des utilisateurs accédant aux systèmes peut exposer l entreprise à des risques considérables (activités frauduleuses, utilisations inappropriées des comptes, etc.). De nouveaux modèles business complexifient encore la tâche des équipes de sécurité En effet, les applications auparavant réservées aux collaborateurs opérant à l intérieur des pare-feux sont désormais «repoussées» hors du périmètre de l entreprise et étendues à une large base d utilisateurs externes (clients, partenaires, fournisseurs, etc.). Face à cette diversité, la vérification de l identité des utilisateurs souhaitant accéder aux ressources réseau pendant une période de perturbation ou de crise n est plus une option mais un véritable impératif. Ce livre blanc a pour objectif de définir une stratégie pertinente et équilibrée face à l impératif de maintenir une politique d authentification à deux facteurs pendant les perturbations majeures en développant des plans pour reconnecter rapidement et économiquement les utilisateurs à leurs habilitations en cas d urgence sans pour autant altérer la politique de sécurité, fragiliser l entreprise face à des attaques potentielles, ni gréver les budgets informatiques. Ce livre blanc a donc pour vocation de répondre aux questions suivantes : Quelle est la nature des menaces susceptibles d affecter l entreprise? Quels sont les utilisateurs et entités nécessitant une authentification à deux facteurs en situation d urgence? De quelles options l entreprise dispose-t-elle pour maintenir une politique de sécurité renforcée en cas d urgence? Comment s assurer que tous les utilisateurs ont des habilitations et mettre en œuvre une authentification forte lors d une perturbation majeure sans pour autant gréver les budgets informatiques? Comme authentifier les utilisateurs sans tokens matériels ni logiciels lors des perturbations? Existe-t-il une solution économique pour émettre rapidement et simplement des habilitations pour d importants groupes de nouveaux utilisateurs? Selon une étude IBM Global CFO, 62% des entreprises réalisant plus de 5 milliards de dollars de chiffre d affaires reconnaissent avoir été déjà confrontées à un incident majeur.

3 Les challenges de la Continuité d Activité La planification de Continuité d Activité soulève deux défis majeurs : le premier consiste à maintenir la productivité des employés dans le cas où ils devraient temporairement travailler de l extérieur (par exemple à domicile) avec un ordinateur portable de l entreprise accédant au réseau à travers Internet et des réseaux VPN (Virtual Private Networks) voire avec leurs propres PC et navigateurs pour accéder aux portails d (Outlook Web Access). Ces méthodes permettent ainsi aux employés de travailler pour quelques jours à partir de leur domicile. Le second défi souvent plus délicat consiste à certifier l identité des utilisateurs distants tentant d accéder au réseau. Il s'agit là d'un double challenge de risque et de sécurité. En ne procédant pas à cette vérification, une entreprise s'expose en effet à des risques considérables de responsabilité et de dommage à son image de marque en cas de fraude ou d'accès non-autorisé. L authentification à deux facteurs s est imposée comme le standard de référence pour protéger toutes les entreprises devant sécuriser les accès distants à leur système d information (voir encadré). Cette approche dépasse la connexion par une simple combinaison d identifiant/mot de passe, en exigeant de l utilisateur qu il saisisse un élément en sa possession (le mot de passe à usage unique fourni par son token) et une information qu il connaît (un code PIN). Une question se pose alors : pourquoi ne pas déployer des solutions matérielles et logicielles d'authentification à deux facteurs pour tous les employés afin que le réseau reste protégé dans n importe quelle situation? Une étude récente conduite par RSA démontre qu en moyenne, les authentificateurs matériels et logiciels ne couvrent que 20 à 40 % du personnel d une entreprise type. Ces faibles niveaux d équipement s expliquent essentiellement par le coût d acquisition et de gestion des authentificateurs physiques qui doivent être fournis à chaque utilisateur. En fait, seuls certains groupes d employés travaillant en dehors du pare-feu en sont équipés (généralement les employés nomades), en revanche, ceux qui ne sortent que rarement de leurs bureaux en sont dépourvus. Cependant, l extension de l accès réseau à un nombre croissant d'utilisateurs externes et les risques encourus en cas de perturbation majeure conduisent de nombreuses entreprises à réévaluer leur politique quant à l octroi de systèmes d'authentification à deux facteurs. Qu est-ce que l authentification (forte) à deux facteurs? Face à la mondialisation et à la mobilité croissante des équipes, les entreprises doivent fournir de plus en plus d accès distants à leurs données critiques. Il est crucial de protéger ces vecteurs d accès à l information par une authentification forte capable de certifier l identité de tous les utilisateurs afin de prévenir tout accès nonautorisé. L authentification forte n est pas uniquement essentielle pour les accès distants ; elle est également vitale pour s assurer que les utilisateurs de l entreprise sont bien ceux qu ils prétendent être. Les entreprises doivent en effet sécuriser l identité des utilisateurs internes et distants un challenge d autant plus complexe, que leurs réseaux sont désormais ouverts aux clients, partenaires et fournisseurs. De plus, en exigeant des accès «de partout et tout le temps», les utilisateurs créent de nouveaux défis notamment en cas de situation d'urgence (incendie, catastrophe naturelle, crise majeure, etc.). Les entreprises peuvent généralement arbitrer entre de multiples options d authentification, en fonction de différentes métriques (portabilité, importance des informations accessibles à un groupe d utilisateurs donné, etc.). Les considérations financières entrent naturellement en ligne de compte à travers les coûts d'acquisition, de déploiement et de support. La sécurisation des accès distants par authentification à deux facteurs présente de multiples avantages. Tout d abord, il s agit d une solution économique, disponible sous de nombreux formats et permettant de faire un choix rationnel en fonction des budgets et des besoins des utilisateurs. De plus, il s agit d une solution portable offrant aux utilisateurs des possibilités d accès de partout et à tout moment. Enfin et surtout, elle garantit une sécurité renforcée contre les accès illicites bien plus efficace que de simples mots de passe. 1 RSA SecurID Customer Survey Q4, 2007 Livre Blanc RSA 1

4 L émission d habilitations pour chaque utilisateur est perçue comme un processus bien trop long et coûteux pour la plupart des directions informatiques. De nombreuses entreprises en concluent, à tort, qu il est impossible de pérenniser une politique d authentification forte en cas de crise majeure imposant de gérer un grand nombre d utilisateurs distants et que la poursuite des opérations passe donc nécessairement par la diminution voire la désactivation pure et simple des procédures de sécurité. Prenons l exemple d une entreprise disposant de employés dans le monde, dont nomades utilisant un système d'authentification à deux facteurs pour accéder régulièrement au réseau. En cas de désastre et de fermeture des bureaux principaux pour une durée indéterminée, ce système d'authentification à deux facteurs devra être appliqué à des centaines voire des milliers d employés pour accéder au réseau et maintenir leur productivité. Votre solution d authentification à deux facteurs sera-t-elle effectivement capable de supporter ces centaines ou ces milliers de nouveaux utilisateurs? Vos équipes informatiques seront-elles capables de supporter cet afflux de nouveaux utilisateurs et de répondre à leurs demandes de tokens, de connexion, etc.? Comment assurer durablement la sécurité des informations sans épuiser les budgets informatiques? Au-delà des employés La conception d un programme efficace de Continuité d Activité implique de prendre en compte un paramètre majeur : l évaluation de l ensemble des utilisateurs distants potentiels. En effet, les entreprises étendent maintenant leurs applications critiques à de nouveaux horizons (clients, partenaires et fournisseurs) à des fins d accélération métier (voir graphique) et doivent continuer à les supporter en cas de perturbation majeure dollars de l heure Quand le plan de continuité devient un impératif stratégique Les statistiques en matière de planification de la Continuité d Activité sont révélatrices : l étude IBM Global CFO publiée en octobre 2007 indiquait que dans de nombreuses entreprises, le système formel de gestion du risque demeure très immature seulement 52 % d'entre elles indiquent disposer d'un programme formalisé de gestion du risque. Quelles entités de votre entreprise utilisent l'authentification forte RSA Ne sait pas 3% Clients 30% Partenaires 37% Prestataires ponctuels / sous-traitants 48% Employés 94% Livre Blanc RSA Face à la variété des utilisateurs réseau potentiels, les entreprises doivent élargir la définition des groupes à prendre en charge en cas de perturbation majeure de l activité.

5 Si la Continuité d Activité semble être un impératif unanime, de multiples problèmes doivent être surmontés, notamment liés à des dynamiques internes, pour élaborer un plan efficace. Selon une étude d IDG Research Services, interrogées sur les composants les plus complexes de la planification de Continuité d Activité, les entreprises citent le plus souvent le financement et les ressources humaines (respectivement : 24 et 20 %), suivis du soutien de la direction (12 %), des tests (9 %) et de l infrastructure/installation (7 %). Malgré ces challenges, de nombreuses entreprises ont pris des mesures proactives de gestion des risques en cas de perturbation majeure en développant des plans de contingence. Cependant, lorsqu il s est agi de les implémenter, beaucoup se sont avérées mal préparées. Selon la même étude IBM Global CFO, 62 % des entreprises réalisant plus de 5 milliards de dollars de chiffre d affaires reconnaissent avoir été déjà confrontées à un incident majeur. Parmi elles, plus de 40 % n étaient pas correctement préparées pour y répondre. Une catastrophe ou crise majeure peut survenir à tout moment C est pourquoi il est essentiel de disposer d un plan effectif de Continuité d Activité garantissant que les processus métier se poursuivront après la perturbation et que son impact opérationnel restera limité. Or, les entreprises sont aujourd hui étroitement dépendantes de la fiabilité des informations et tout problème d accès peut être extrêmement coûteux. D après une étude réalisée par Global Switch, un fournisseur leader de «datacenters» à hautes performances, le coût moyen des pannes informatiques des entreprises européennes est estimé à dollars de l heure. Le risque d une pandémie De nombreuses entreprises sont particulièrement préoccupées par la possibilité d une pandémie affectant leurs opérations métier pendant des périodes de plusieurs jours voire de plusieurs semaines. Naturellement, les entreprises implantées dans le monde entier y sont particulièrement sensibles. Le virus de la grippe porcine H1N1 est un exemple récent, pouvant conduire les entreprises et agences gouvernementales du monde entier à réévaluer leurs plans de continuité d activité. Les derniers recensements indiquent que des cas ont été recensés dans plus de 45 pays. En cas d explosion pandémique, les entreprises pourraient être contraintes de faire travailler leurs employés à domicile. Les services du budget du Congrès américain (Congressional Budget Office) estiment qu en cas d'épidémie dans une zone donnée, pas moins de 40 % de la main-d œuvre serait dans l incapacité de se rendre sur son lieu de travail et ce, pendant des semaines Dans ce contexte, seul un plan opérationnel de continuité offrant aux employés distants l accès aux applications critiques depuis leur domicile, assorti d une politique d authentification forte assurant une sécurisation optimale des informations, peut éviter aux entreprises d avoir à supporter de coûteuses interruptions d activité. Différentes options pour préserver l authentification à deux facteurs L établissement d un programme de sécurité des accès en cas de panne majeure exige d intégrer plusieurs considérations essentielles notamment le fait que le système d authentification forte devra couvrir, en plus des utilisateurs existants, des utilisateurs nouveaux ou inexpérimentés ayant besoin d accéder aux systèmes pendant l interruption. Pour les utilisateurs existants, l authentification à deux facteurs peut être imposée par l utilisation d un token matériel ou logiciel qui peuvent être temporairement inaccessibles, par exemple, si le token est resté au bureau ou si il est intégré à la barre d outils du navigateur d un poste de travail situé dans un bureau fermé la nuit En cas de panne générale, ces utilisateurs habituels de l authentification forte avec mot de passe à usage unique ne pourront donc plus se connecter au réseau de manière sécurisée. Livre Blanc RSA 3

6 Pour les utilisateurs nouveaux et inexpérimentés, il peut être préférable d appliquer, selon les besoins, un système ponctuel d authentification à deux facteurs. En effet, il peut s avérer impossible, surtout en situation de crise, de doter des centaines voire des milliers d utilisateurs d authentificateurs matériels ou logiciels. Une autre solution d authentification à deux facteurs sera alors nécessaire pour prendre en charge l intégralité de ces nouveaux utilisateurs tout en maintenant la simplicité d utilisation. Un plan de Continuité d Activité ne se limite pas à fournir l'accès aux informations ; pour être efficace, il doit identifier les risques et menaces susceptibles d'entraîner une interruption des activités et offrir les moyens d y répondre efficacement. Ainsi, si un plan de continuité a essentiellement vocation à garantir la poursuite des opérations normales, le maintien de la sécurité informationnelle souvent via une politique d authentification à deux facteurs est tout aussi critique. Les mécanismes décrits ci-dessous regroupent les options le plus fréquemment envisagées par les entreprises pour implémenter une authentification forte des utilisateurs en cas de crise majeure : Un token par utilisateur. Bien que possible, cette option est peu viable d un point de vue logistique, et peut se révéler extrêmement coûteuse en cas de fortes volumétries d utilisateurs. Pratiquement, son coût et ses frais de gestion peuvent même dépasser ses avantages Émission des tokens selon les besoins. Comme dans le premier cas, une fourniture selon les besoins spécifiques crée des difficultés logistiques et d administration et se heurte généralement aux limites des budgets informatiques. Abaissement général de la politique de sécurité de l information (ou approche «sweat it out»). Une politique d authentification par nom d utilisateur et mot de passe peut sembler viable à court terme pour assurer le rétablissement des opérations mais se révéler problématique en fonction de la nature de l'incident ou de sa durée (plusieurs jours ou plusieurs semaines) et beaucoup d entreprises ne peuvent pas se permettre de courir même pour quelques heures le risque de fuite d informations stratégiques. La solution RSA : Authentification à la demande et option de Continuité d'activité* Demande de token code réalisée sur une URL Web avec RSA propose une approche innovante et unique pour une combinaison classique Identifiant/Mot de passe permettre aux entreprises de pérenniser leurs politiques d authentification à deux facteurs en RSA cas de crise, quels que soient les effectifs ou Authentication types d utilisateurs se connectant au réseau Manager vérifie VPN sans alourdir les tâches des équipes l'identité et informatiques, ni gréver leurs budgets. La génère le code clé solution RSA comporte deux composants clés : le module d'authentification à la Le code à usage unique est envoyé à l'utilisateur par SMS demande RSA SecurID et la licence optionnelle de Continuité d'activité. Authentificateur à la demande RSA SecurID Authentification à la demande Outre les conséquences financières, les utilisations non autorisées ont des effets irrémédiables tels que la perte de confiance des clients et l atteinte à l image de marque. Le module d'authentification à la demande RSA SecurID permet de sécuriser l'accès réseau aux utilisateurs ne bénéficiant pas d'habilitation préalable. Cette méthode d accès «sans token» ne nécessite ni token matériel ni logiciel et offre une grande flexibilité et simplicité de déploiement, tout en maintenant l'ensemble des structures de sécurité. 4 Livre Blanc RSA * Les fonctionnalités décrites dans ce document sont incluses dans RSA Authentication Manager 7.1.

7 Le système utilise une adresse URL Web en libre-service permettant à l utilisateur de soumettre une demande de mot de passe à usage unique. À partir d un ordinateur avec accès à Internet, l interface est accessible via la combinaison usuelle Identifiant/mot de passe. Une fois cette opération correctement effectuée, un mot de passe à usage unique est généré par le serveur RSA Authentication Manager et adressé au téléphone mobile de l utilisateur (préenregistré dans le data store) par SMS (Short Message Service) sur le réseau public de téléphonie mobile. Une fourniture par est également possible. Après avoir reçu son mot de passe à usage unique (8 chiffres), l'utilisateur le saisit, avec son code PIN, dans la zone de connexion au réseau VPN d entreprise, à l application Web, au portail Citrix ou à tout autre système ou ressource réseau. Les authentificateurs à la demande peuvent également être utilisés à des fins plus larges que la Continuité d Activité par exemple pour sécuriser les accès de partenaires ou sous-traitants. Ils constituent en effet une méthode simple et flexible, toujours disponible et utilisable dans de multiples contextes. Option de Continuité d Activité : une licence flexible à la demande Les modules d authentification à la demande peuvent être assignés aux utilisateurs individuels exactement comme les authentificateurs matériels et logiciels. La licence de Continuité d Activité va encore plus loin : elle offre une réelle fonctionnalité d expansion «à la volée» permettant de rapidement prendre en charge un grand nombre d utilisateurs soudainement contraints de travailler à distance. Il s agit donc d un élément stratégique de tout plan de Continuité d Activité ou de gestion de crise. L option de Continuité d Activité est une véritable «police d assurance sécurité». L achat d authentificateurs à la demande pour couvrir tous les utilisateurs d une entreprise qu ils l utilisent effectivement ou non peut présenter un coût prohibitif pour certaines entreprises. RSA a donc créé une licence spéciale qui peut être ajoutée à la page de licence de RSA Authentication Manager. Cette licence optionnelle de Continuité d Activité est disponible dès maintenant avec la version 7.1 de RSA Authentication Manager. Une fois l option ajoutée à la page de licence, un administrateur habilité peut très simplement visualiser, sélectionner et activer la fonctionnalité selon les besoins. Cette activation «déverrouille» le nombre correspondant d'utilisateurs serveur et d authentificateurs à la demande qui seront distribués aux utilisateurs distants souhaitant obtenir un accès au système. Bonnes pratiques de Continuité d Activité Avant de déployer l option de Continuité d Activité proposée par RSA, il est recommandé de procéder à quelques étapes importantes pour gagner du temps et simplifier la tâche. 1. Vérification de la licence VPN Il faut préalablement s assurer que la licence VPN autorise de grands nombres d utilisateurs distants. De nombreux fournisseurs de solutions VPN (notamment Juniper et Checkpoint) proposent des licences flexibles, comme l option de Continuité d Activité RSA. 2. Détermination des utilisateurs exigeant de l authentification à la demande Il faut identifier les utilisateurs pour lesquels l'authentification à la demande sera nécessaire afin de réduire les appels au service de support. Par exemple, les utilisateurs existants de tokens ne nécessiteront pas d authentification à la demande. 3. Choix de la méthode de livraison La livraison est possible par SMS et par . Chaque entreprise doit déterminer quelle méthode répond le mieux à ses besoins et à ceux des utilisateurs. 4. Partenariat avec un opérateur SMS Si la méthode de livraison choisie est le SMS, une relation devra être établie avec un fournisseur SMS offrant une couverture mondiale. RSA travaille avec Clickatell, fournisseur de messagerie couvrant plus de 200 pays et 600 réseaux dans le monde. 5. Création de politiques pour faciliter l intégration de nouveaux utilisateurs Ces politiques garantissent que les utilisateurs sont enregistrés et ont saisi leurs questions personnelles afin de fournir des informations complémentaires lorsqu'ils rencontrent un problème particulier. 6. Établissement d'un plan de communication Les utilisateurs doivent être dirigés vers la console en libre-service et recevoir des instructions pour accéder au réseau à l'aide de l'authentificateur à la demande. Livre Blanc RSA 5

8 Les utilisateurs peuvent faire leur demande d authentificateurs à la demande sur le portail Web en libre-service intégré à RSA Authentication Manager 7.1. Le portail fournit aux utilisateurs un service permanent (24X7) pour gérer l'intégralité du cycle de vie de leurs tokens et faire leurs demandes d accès. Pour recevoir un authentificateur à la demande, un utilisateur doit s'identifier sur le portail en libre-service qui lui fournira ensuite un mot de passe à usage unique à une adresse prédéterminée (par exemple, un téléphone mobile). Cette méthode permet de préserver la protection de l authentification à deux facteurs RSA SecurID, basée sur une information que connaît l utilisateur (identifiant/mot de passe) et un élément en sa possession (le mot de passe à usage unique reçu par ou SMS). Synthèse Rien ne permet de prédire quand se produira une catastrophe Les entreprises doivent disposer d un plan effectif de Continuité d Activité pour garantir la reprise de leurs opérations métier dans des conditions normales et le plus rapidement possible. Le coût subi par l entreprise est en effet directement proportionnel à la durée de la panne réseau et de la restriction d accès aux informations. Et ces coûts peuvent être multipliés en cas d absence de politique d authentification à deux facteurs laissant le réseau vulnérable aux utilisations illicites. Outre les conséquences financières, ces utilisations non autorisées peuvent avoir des effets irrémédiables tels que la perte de confiance des clients et l atteinte à l image de marque. En implémentant la solution d authentification à la demande et la Continuité d Activité RSA, les entreprises peuvent assurer la reprise de leurs opérations normales dans les situations de crise, sans compromettre la sécurité, ni épuiser les équipes et les budgets informatiques. RSA propose une solution économique pour maintenir une puissante politique d authentification à deux facteurs, simple à déployer et à utiliser même pour les utilisateurs confrontés pour la première fois à cette technologie. Les entreprises doivent disposer d un plan effectif de continuité d activité pour garantir la restauration de leurs opérations métier dans des conditions normales et le plus rapidement possible RSA Security Inc. Tous droits réservés. RSA et RSA Security sont des marques ou marques déposées de RSA Security Inc. aux États-Unis et/ou dans d autres pays. EMC est une marque déposée d EMC Corporation. Tous les autres produits et services mentionnés sont des marques appartenant à leurs détenteurs respectifs. BCON WP Livre Blanc RSA