L authentification forte : un must pour tous les utilisateurs



Documents pareils
étendre l authentification unique Web à des environnements Cloud et mobiles agility made possible

DOSSIER SOLUTION Amélioration de la planification de la capacité à l aide de la gestion des performances applicatives

agility made possible

Garantir une meilleure prestation de services et une expérience utilisateur optimale

Comment assurer la gestion des identités et des accès sous forme d un service Cloud?

Comment optimiser l utilisation des ressources Cloud et de virtualisation, aujourd hui et demain?

RSA ADAPTIVE AUTHENTICATION

agility made possible

FICHE DE PRÉSENTATION DE LA SOLUTION

Dossier Solution - Virtualisation CA arcserve Unified Data Protection

Plate-forme Cloud CA AppLogic pour les applications d entreprise

Est-il possible de réduire les coûts des logiciels pour mainframe en limitant les risques?

Gestion de projets et de portefeuilles pour l entreprise innovante

Comment mettre en oeuvre une gestion de portefeuille de projets efficace et rentable en 4 semaines?

UNIFIED. Nouvelle génération d'architecture unifiée pour la protection des données D TA. dans des environnements virtuels et physiques PROTECTION

Utilisation de ClarityTM pour la gestion du portefeuille d applications

CA Mainframe Chorus for Security and Compliance Management version 2.0

UPSTREAM for Linux on System z

Meilleures pratiques de l authentification:

Arcserve unifié UNE SOLUTION UNIQUE

7.1.2 Normes des réseaux locaux sans fil

Présentation de la solution SAP SAP Technology SAP Afaria. La mobilité d entreprise comme vecteur d avantage concurrentiel

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Alcatel-Lucent VitalQIP Appliance Manager

Trusteer Pour la prévention de la fraude bancaire en ligne

Suite NCR APTRA. La première plateforme logicielle libre-service financière au monde.

UNIFIED D TA. architecture nouvelle génération pour une restauration garantie (assured recovery ) que les données soient sur site ou dans le cloud

Voulez-vous offrir le service libre-service bancaire ultime?

Gérez-vous vos serveurs virtuels et physiques en tant que partie intégrante de votre infrastructure sous-jacente?

Playbook du programme pour fournisseurs de services 2e semestre 2014

Guide d administration de Microsoft Exchange ActiveSync

Le nuage : Pourquoi il est logique pour votre entreprise

Fiche Technique. Cisco Security Agent

CA Workload Automation Agent pour implémentation mainframe Systèmes d exploitation, ERP, bases de données, services applicatifs et services Web

RENDEZ VOS CLEFS OU L AUTHENTIFICATION FORTE SANS SUPPORT PHYSIQUE

CA Automation Suite for Data Centers

agility made possible Sumner Blount, Merritt Maxim

Sécurité sur le web : protégez vos données dans le cloud

Concept Compumatica Secure Mobile

Perspectives pour l entreprise. Desktop Cloud. JC Devos IBM IT Architect jdevos@fr.ibm.com IBM Corporation

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance

externalisation sécurisée vers le Cloud : cinq éléments clés à prendre en compte

Optimisation des niveaux de service dans le cadre de déploiements de Clouds publics

5 éléments qu une solution de gestion de mobilité pour l entreprise (EMM) doit avoir

Symantec MessageLabs Web Security.cloud

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

Stratégies gagnantes pour les prestataires de services : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants

Les plates-formes informatiques intégrées, des builds d infrastructure pour les datacenters de demain

Amélioration de la sécurité SAP grâce à CA Identity and Access Management

CA Mainframe Application Tuner r8.5

Tirez plus vite profit du cloud computing avec IBM

Pourquoi toutes les entreprises peuvent se priver de centrale téléphonique?

Comment choisir la solution de gestion des vulnérabilités qui vous convient?

Le VDI et au-delà : répondre aux principaux défis informatiques pour favoriser l'agilité et la croissance

Engagez vos clients mobiles tout en assurant la protection des données sensibles

10 bonnes pratiques de sécurité dans Microsoft SharePoint

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC)

Pour bien commencer avec le Cloud

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en

Que peut m apporter la gestion des identités et des accès dans le domaine de la conformité PCI?

GOUVERNANCE DES IDENTITES ET DES ACCES ORIENTEE METIER : IMPORTANCE DE CETTE NOUVELLE APPROCHE

fiche technique Smart Access Management Service de Ruckus MIGRER LE SMART WI-FI SUR LE CLOUD CARACTÉRISTIQUES ET AVANTAGES

Citrix CloudGateway Présentation du produit. Citrix CloudGateway

Citrix XenDesktop avec la technologie FlexCast. Citrix XenDesktop : la virtualisation des postes de travail pour tous.

fourniture de ressources à tous les terminaux en tant que services

LES ENTREPRISES PROSPÈRES SE TRANSFORMENT GRÂCE À DES SOLUTIONS SAP FLEXIBLES

Concilier mobilité et sécurité pour les postes nomades

IBM Business Process Manager

SOLUTIONS INTELLIGENTES DE PRÉVENTION DES FRAUDES

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Présentation KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Stratégie de mobilité

CA ARCserve Backup r12

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec

Résumé. IronPort Web Reputation : protection et défense contre les menaces à base d URL

& comportement utilisateur

DOSSIER SOLUTION CA ERwin Modeling. Comment gérer la complexité des données et améliorer l agilité métier?

Des collaborateurs mobiles sans infrastructure sur site complexe et coûteuse

Guide pratique de la sécurité dans le Cloud

Solution de gestion des journaux pour le Big Data

BANQUE NEUFLIZE OBC LES BONNES PRATIQUES INTERNET ET MESSAGERIE

Intelligence d affaires nouvelle génération

Pourquoi toutes les entreprises peuvent se priver de centrale téléphonique?

Guide de référence pour l achat de Business Analytics

La convergence des contrôles d accès physique et logique

pour Une étude LES DÉFIS DES DSI Avril 2013

Cortado Corporate Server

Performance et usage. La différence NETGEAR - R7000. Streaming HD illimitée

AUTHENTIFICATION ADAPTATIVE

Stratégies gagnantes pour la fabrication industrielle : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants

Les cinq raisons majeures pour déployer SDN (Software-Defined Networks) et NFV (Network Functions Virtualization)

UserLock Quoi de neuf dans UserLock? Version 8.5

CONDITIONS GENERALES D UTILISATION DU SERVICE DE BANQUE EN LIGNE

Une représentation complète

What we do 4. Packages 6. CMD.mail 8. CMD.hosting 12. CMD.box 16. CMD.phone 20. CMD.desktop 24. CMD.services 28

Fiche technique: Sécurité des terminaux Symantec Endpoint Protection La nouvelle technologie antivirus de Symantec

Transcription:

L authentification forte : un must pour tous les utilisateurs

L authentification : arrêt sur image Les tendances actuelles du marché (adoption du Cloud, mobilité accrue, montée en puissance des réseaux sociaux et hausse des données partagées en ligne) rendent urgent l établissement d une authentification forte. Pour garantir la sécurité, un département informatique ne peut plus se contenter de mettre en place un réseau dans un périmètre bien défini, ni se fier uniquement à l identification par nom d utilisateur et mot de passe. Avec toujours plus d utilisateurs, d informations et de points d entrée, les besoins en protection s accentuent. La mise en ligne de données et d applications stratégiques requiert une authentification forte pour chaque utilisateur afin de protéger et de faciliter les activités. 02

Évolution des tendances, évolution des menaces Pour garantir une sécurité appropriée contre les risques à l échelle de l entreprise, ses responsables doivent comprendre l importance d une authentification forte dans le contexte des tendances technologiques majeures : Explosion du nombre et des types d utilisateurs Dans la plupart des entreprises, la base des utilisateurs finaux a été étendue aux employés, aux sous-traitants, aux partenaires et aux clients ; le département IT doit donc prendre en compte l éventail complet des situations d utilisation, des scénarios d accès et des privilèges. «De nombreuses entreprises (près de 70 %) autorisent une certaine forme de BYOD pour les smartphones. Cette proportion va certainement augmenter pour atteindre plus de 80 % d ici 2020.» Gartner, «Tracking Changes in Enterprise Smartphone Preferences», Ken Dulaney, David A. Willis et Heather Keltz, 22 novembre 2013 Réseaux sociaux L utilisation des identifiants de connexion aux réseaux sociaux pour faciliter le processus d inscription ou de connexion constitue une stratégie désormais répandue permettant d augmenter la fidélisation des utilisateurs et de simplifier leur expérience. Cela dit, il est possible de compléter cette stratégie au moyen de méthodes conviviales d authentification forte pour protéger les données et transactions plus sensibles. Mobilité Avec l avènement des ordinateurs portables, des tablettes et des smartphones, les utilisateurs peuvent désormais accéder aux données à tout moment, où qu ils se trouvent. Cloud L utilisation croissante du Cloud et des services Web rend obsolète la notion même de «périmètre réseau». Accroissement des menaces Les fraudes, le vol d identités et les attaques ciblées sur différents secteurs d activité sont de plus en plus fréquents et sophistiqués. 03

Les nombreux défis de sécurité Les entreprises doivent affronter de nombreux défis de sécurité, dont les suivants : Contrôler l accès aux applications Web Garantir la sécurité sur les appareils mobiles Ne pas se laisser déborder par l évolution des atteintes à la protection des données Se conformer à la réglementation du secteur Déployer une solution de sécurité évolutive tout en maîtrisant les coûts L ère du mot de passe est-elle révolue? «Même si votre mot de passe apparaît sous forme obscurcie et hachée, il reste vulnérable aux pirates qui parviennent à le convertir en texte brut. Ce risque est particulièrement élevé pour les mots de passe faibles, mais nous avons pu constater qu il est possible de déchiffrer même des mots de passe relativement forts. Si des pirates parvenaient à décoder un mot de passe que vous utilisez sur plusieurs sites, ils pourraient accéder à votre messagerie, à vos relevés de compte et à vos profils de réseaux sociaux.» Jon Brodkin «The secret to online safety: Lies, random characters, and a password manager» Ars Technica, 3 juin 2013 04

Le maillon faible Il suffit de regarder les actualités pour constater que les attaques visant les données en ligne sont fréquentes. La combinaison «nom d utilisateur/mot de passe» pose désormais problème, car elle représente le maillon faible de la stratégie de sécurité d une entreprise. Ainsi, les experts du secteur constatent : des attaques par hameçonnage de plus en plus fréquentes et sophistiquées ; des vols et publications de mots de passe ininterrompus (plus de 100 millions de mots de passe ont été publiés en ligne sous forme de texte brut ou chiffré) ; une augmentation de la réutilisation des mots de passe. Selon le groupe d experts APWG (Anti-Phishing Working Group, groupe de travail contre l hameçonnage), la durée de vie moyenne des attaques par hameçonnage a augmenté d environ 70 % au premier semestre 2013 1, ce qui indique clairement que les pirates continuent à cibler les noms d utilisateur et les mots de passe en raison de leur vulnérabilité. S il est vrai que rapidité et simplicité sont deux raisons valables qui expliquent pourquoi les entreprises restent attachées au système «nom d utilisateur/mot de passe», un nombre croissant d organisations s intéressent aux nouvelles méthodes d authentification pour renforcer leurs défenses. Que signifie l expression «dommage collatéral»? À l ère de la connectivité tous azimuts, il est indispensable de limiter les dégâts causés par le vol de noms d utilisateur et de mots de passe. Un utilisateur Web lambda gère 25 comptes avec seulement 6,5 mots de passe pour les protéger. 3 Sans protocoles de sécurité adaptés, en cas de vol, ces mots de passe peuvent être utilisés pour compromettre des douzaines d autres comptes. En mai 2013, l Allemagne est devenue le principal pays au monde pour l hébergement de chevaux de Troie et de programmes de téléchargement basés sur l hameçonnage, détrônant ainsi les États-Unis. C était la première fois que l Allemagne arrivait en tête de ce classement ; en juin 2013, les États-Unis sont revenus à la première place. 2 En savoir plus >> 1 «Global Phishing Survey: Trends and Domain Name Use in 1H2013», APWG, 16 septembre 2013 2 «Phishing Activity Trends Report: Q2 2013», APWG, 5 novembre 2013 3 Ars Technica, «Why passwords have never been weaker and crackers have never been stronger», 20 août 2012 05

La sécurisation des identités : le nouveau périmètre Les expressions du type «dans le réseau» ou «en dehors du réseau» sont de moins en moins pertinentes étant donné que le réseau est désormais partout. Aujourd hui, assurer la protection des points faibles signifie axer la sécurité de l entreprise sur les identités. Cette approche présente différents avantages : Le niveau d authentification est déterminé et demandé en amont, même s il est différent de celui que l application exige. Les professionnels IT peuvent autoriser l accès à des applications spécifiques et contrôler l activité des utilisateurs sur l ensemble de ces applications. Savoir quelles sont les informations d authentification requises en fonction du niveau de risque aide à bloquer les activités suspectes. La détection et le blocage des activités frauduleuses avant qu elles ne se produisent, sans impact négatif sur les utilisateurs légitimes et les coûts d exploitation, revêtent une importance capitale. Consommateur Applications/ plates-formes Cloud et services Web Partenaire Authentification SaaS Employé mobile Identité Employé interne Applications d entreprise 06

Cinq clés pour une authentification forte réussie En plus d accorder la priorité aux identités, une authentification forte doit être omniprésente, transparente et basée sur les risques. Pour répondre à ces critères, les organisations recherchent des méthodes d authentification efficaces et économiques qui offrent aux utilisateurs une expérience conviviale. Pour être sûres de leur méthode d authentification, les organisations doivent : 1. savoir qui sont les utilisateurs (employés, sous-traitants, partenaires, clients), et comprendre les critères et niveaux d accès de chaque groupe ; 2. fournir le niveau adapté de sécurité par authentification selon les risques inhérents à la situation ou à l activité ; 4. garder à l esprit qu il peut être nécessaire de protéger aussi bien les applications basées sur le Cloud que celles déployées sur site ; 5. rechercher des moyens de protéger les transactions contre les nouvelles menaces, par exemple les attaques par interception. 3. protéger les identités et les données sensibles dans des applications liées sans alourdir inutilement l expérience des utilisateurs ; Les départements IT doivent également être conscients des aspects suivants. Il n existe aucune approche universelle : les départements informatiques doivent donc évaluer de façon approfondie les besoins en authentification, et développer des protocoles adaptés aux utilisateurs concernés ou à la situation spécifique de l entreprise. La quantité n est pas toujours synonyme de qualité : un processus d authentification à plusieurs étapes peut certes renforcer la sécurité, mais également se révéler frustrant pour un utilisateur et avoir des conséquences négatives, comme la perte d un client. 07

L authentification basée sur les risques : le juste équilibre Les actions des entreprises visant à mettre en place une politique d authentification entendent généralement réaliser trois objectifs : Sécurité adaptée aux risques Expérience utilisateur simplifiée Réduction des coûts d admin./de support Associés correctement, ces trois paramètres peuvent aider les entreprises à verrouiller l accès à leurs données sensibles tout en simplifiant l expérience des utilisateurs qui pourront accéder à des informations et à des applications où qu ils se trouvent. 08

L authentification basée sur les risques : sécurité et transparence L authentification basée sur les risques (également connue sous le nom d authentification adaptative) intervient au niveau du serveur ; elle offre aux utilisateurs une expérience simplifiée tout en assurant la sécurité. Cette pratique consiste à évaluer un grand nombre d informations contextuelles, dont les suivantes : Identification des périphériques Géolocalisation Adresse IP Règles basées sur les périphériques L authentification basée sur les risques a, de bien des manières, évolué en même temps que le paysage informatique pour devenir plus disponible, flexible et puissante. Elle est également plus rentable que d autres méthodes d authentification forte, car elle renforce la sécurité avec un coût de déploiement moins élevé. 09

Zoom sur l authentification basée sur les risques L authentification basée sur les risques est, dans ses fondements mêmes, différente des autres formes d authentification forte fondées sur les identifiants. Plus besoin de demander à l utilisateur de fournir des informations pour vérifier son identité, car avec l authentification basée sur les risques, ce sont de multiples informations contextuelles qui permettent d effectuer cette vérification : Où l utilisateur se trouve-t-il? Le lieu d accès est un facteur essentiel dans l évaluation de l identité. Les méthodes basées sur les risques utilisent les adresses IP pour vérifier si l utilisateur accède aux données depuis un lieu suspect ou si le périphérique employé ne correspond pas avec le type de connexion utilisé pour l accès. Quel est le système ou périphérique utilisé? L authentification basée sur les risques permet également de reconnaître le type du périphérique employé. Si l utilisateur tente un accès sur un appareil non reconnu ou jamais utilisé auparavant, le système évalue le risque potentiel. Que tente l utilisateur? L authentification basée sur les risques permet également d évaluer chaque demande particulière. Un département informatique peut ainsi définir des règles associées à différentes actions des utilisateurs (par exemple, l accès à une base de données spécifique) pour renforcer la protection des données sensibles. Si la demande d un utilisateur semble inhabituelle ou déclenche une règle spécifique, le système peut refuser l accès et marquer cette interaction pour l examiner de façon plus approfondie. Le comportement est-il cohérent? Les activités des utilisateurs sont un autre facteur clé. Tout comportement incompréhensible de la part d un utilisateur (connexions très fréquentes, tentatives d accès à de grandes quantités de données, etc.) déterminera la manière dont le système d authentification traitera la demande. 10

L authentification basée sur les risques : résumé de ses avantages Authentification hors bande à deux facteurs Dans les cas où une authentification renforcée est requise en raison d un risque accru (par exemple, des tentatives d accès sur un ordinateur non reconnu), il est possible d envoyer hors bande un mot de passe à usage unique sur le téléphone de l utilisateur (via SMS, courriel ou message vocal) pour vérifier son identité et réduire le risque de fraude. Dans la plupart des cas, les solutions d authentification basée sur les risques permettent de réaliser le juste équilibre entre sécurité, expérience utilisateur et coût. Convivialité L authentification basée sur les risques s exécute en arrière-plan, ce qui signifie que les utilisateurs n ont pas besoin de passer par des étapes supplémentaires pour s identifier. Simplicité de déploiement Les solutions d authentification basée sur les risques s exécutant côté serveur, elles sont faciles à déployer et ne nécessitent l installation d aucun client sur un téléphone portable, une tablette ou un ordinateur. Souplesse Ces solutions peuvent être adaptées aux besoins immédiats de l entreprise et à son niveau de tolérance aux risques. Elles sont aussi facilement ajustables en fonction de l évolution des menaces cybernétiques. Support multicanal Les méthodes d authentification basée sur les risques sont personnalisables pour différents canaux d interaction, par exemple les équipements mobiles ou le Web. Modélisation des règles et du comportement Grâce à l authentification basée sur les risques, un département informatique peut mettre en œuvre des règles destinées à répondre à différents profils et comportements utilisateur. Compatibilité multipériphérique Ces solutions permettent de protéger les demandes d accès et les transactions provenant d équipements et de systèmes d exploitation variés, notamment les tablettes, les téléphones portables et les PC. Rentabilité La plupart des méthodes d authentification basée sur les risques sont moins onéreuses que les méthodes classiques basées sur les jetons matériels. 11

L authentification basée sur les risques : évaluation des risques La mise en œuvre du niveau d authentification adapté exige d évaluer soigneusement les risques inhérents aux utilisateurs et à leurs activités dans leur globalité. Les organisations doivent donc s efforcer de répondre aux questions suivantes : À quel groupe l utilisateur appartient-il? Où se trouve l utilisateur lorsqu il accède à des informations/ applications? De quels périphériques l utilisateur va-t-il se servir? Quels types de données sont concernés? Quels types d activités/transactions sont possibles? 12

Les solutions d authentification forte de CA Technologies Flexible et évolutive, la solution CA Advanced Authentication incorpore à la fois des méthodes d authentification basée sur les risques, telles que l identification du périphérique, la géolocalisation et la détection de l activité de l utilisateur, et un grand nombre de données permettant une authentification multifacteur forte. Grâce à cette solution, qui inclut CA AuthMinder et CA RiskMinder, les organisations peuvent créer le processus d authentification adapté à chaque application ou transaction. Disponible sous forme de logiciel à déployer sur site ou en tant que service Cloud, elle permet de protéger l accès aux applications depuis une multitude de points d extrémité, notamment tous les appareils mobiles les plus courants. Grâce à cette solution, les organisations peuvent appliquer de manière rentable la méthode appropriée d authentification forte sur différents environnements, sans alourdir l expérience des utilisateurs finaux. 13

Pour plus d informations sur les solutions d authentification forte de CA Technologies, rendez-vous sur le site http://www.ca.com/fr/multifactor-authentication.aspx. Copyright 2014 CA. Tous droits réservés. Tous les noms et marques déposées, dénominations commerciales, ainsi que tous les logos référencés dans le présent document demeurent la propriété de leurs détenteurs respectifs. Certaines informations de cette présentation peuvent décrire l orientation générale des produits CA. Cependant, CA peut apporter des modifications à un produit, à un programme logiciel, à une méthode ou à une procédure CA décrit(e) dans cette publication à tout moment et sans préavis. Le développement, la mise en production et les délais de commercialisation des fonctionnalités décrites dans cette publication restent à la seule discrétion de CA. CA assure uniquement le support des produits référencés conformément (i) à la documentation et aux spécifications fournies avec le produit référencé, et (ii) à la politique de maintenance et de support de CA alors en vigueur pour le produit référencé. Sauf disposition contraire spécifiée, la présente publication ne doit pas (i) constituer une documentation ou des spécifications produit dans le cadre d un accord de services ou d un accord de licence écrit existant ou futur relatif à un logiciel CA, ni faire l objet d une garantie stipulée dans un tel accord écrit ; (ii) servir à affecter les droits et/ou obligations de CA ou de ses détenteurs de licence dans le cadre d un accord de services ou d un accord de licence écrit existant ou futur relatif à un logiciel CA ; ni (iii) servir à modifier la documentation ou les spécifications produit d un logiciel CA. Ce document est uniquement fourni à titre d information. CA décline toute responsabilité quant à l exactitude ou à l exhaustivité des informations qu il contient. Dans les limites autorisées par la loi applicable, CA fournit le présent document «tel quel», sans garantie d aucune sorte, expresse ou tacite, notamment concernant la qualité marchande, l adéquation à un besoin particulier ou l absence de contrefaçon. En aucun cas, CA ne pourra être tenu pour responsable en cas de perte ou de dommage, direct ou indirect, résultant de l utilisation de ce document, notamment la perte de profits, l interruption de l activité professionnelle, la perte de clientèle ou la perte de données, et ce même dans l hypothèse où CA aurait été expressément informé de la survenance possible de tels dommages. CA Technologies (NASDAQ : CA) est un éditeur de logiciels et de solutions intégrées de gestion des systèmes d information, dont l expertise couvre tous les environnements informatiques, du mainframe au Cloud Computing et des systèmes distribués aux infrastructures virtuelles. CA Technologies gère et sécurise les environnements informatiques et permet à ses clients de fournir des services informatiques plus flexibles. Grâce aux produits et aux services innovants de CA Technologies, les organisations informatiques disposent de la connaissance et des contrôles nécessaires pour renforcer l agilité métier. La majorité des sociétés du classement «Fortune 500» s appuient sur CA Technologies pour gérer leurs écosystèmes IT en constante évolution.

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back