RSA AUTHENTICATION MANAGER EXPRESS Présentation de solution
Les risques liés à l authentification par simple mot de passe sont parfaitement connus. Pourtant, 44 % des entreprises restent aujourd hui fidèles aux mots de passe pour sécuriser l accès distant de leurs collaborateurs et sous-traitants 1. Or, la sophistication des menaces et la recrudescence des cas de violation de données mettent en évidence l extrême vulnérabilité des systèmes protégés par mot de passe statique. Pour sécuriser l accès aux données et applications critiques, l authentification forte s impose comme une solution unanimement reconnue. Toutefois, la mise en place de solutions de sécurité relève souvent du défi dans les petites et moyennes entreprises, qui ne disposent généralement pas des ressources nécessaires pour bien protéger leur réseau et qui ont tendance à sous-estimer les menaces qui les guettent. En effet, d après une enquête récente menée par la National Cyber Security Alliance américaine, 85 % des PME interrogées estimaient être moins ciblées par les cybercriminels que les grandes entreprises 2. En réalité, les cybercriminels savent bien que les grands groupes sont beaucoup mieux protégés que les structures de moindre importance. Ces dernières constituent donc une proie facile pour subtiliser des données confidentielles. Authentification forte : les obstacles à surmonter Pour plaider en faveur de l authentification à deux facteurs, les petites et moyennes entreprises doivent surmonter plusieurs obstacles. Parmi ces difficultés à contourner, on notera trois majeures : Coûts élevés Perturbations pour les utilisateurs Complexité du déploiement et de la gestion Coûts élevés Le coût des solutions proposées sur le marché est souvent cité par les PME comme le plus gros obstacle à l adoption de l authentification forte. Par exemple, le déploiement d une solution à mot de passe à usage unique (OTP) suppose des investissements matériels, notamment un serveur d authentification et éventuellement des tokens matériels pour les utilisateurs finaux. Viennent ensuite s ajouter les frais de maintenance relatifs au support technique et aux mises à jour logicielles. Leur budget informatique étant limité, la plupart des PME optent pour une protection des accès basique limitée à un nom d utilisateur et un mot de passe. Perturbations pour les utilisateurs Lors du choix d une solution d authentification forte, l ergonomie et la commodité pour l utilisateur constituent des facteurs importants. La question est alors de savoir si un niveau de sécurité supplémentaire va nuire à la productivité des utilisateurs et se heurter à leurs réticences. Autre élément à prendre en compte : le risque d inflation du coût global de la solution en cas de hausse des appels d assistance au helpdesk. Déploiement et gestion Le déploiement initial d une solution d authentification forte peut mobiliser une grande partie des ressources informatiques. Il convient ensuite de tenir compte de la gestion au jour le jour, comme notamment le provisioning et le déprovisioning d utilisateurs, ou encore la diffusion des matériels ou logiciels liés à l authentification. Les ressources informatiques des PME étant par essence limitées, le temps et l investissement humain nécessaires à la gestion d une stratégie d authentification forte peuvent dissuader des équipes informatiques déjà surchargées. 1 Forrester Research, Best Practices: Implementing Strong Authentication in Your Enterprise, juillet 2009 2 Enquête NCSA/Visa Inc. 2010 sur les petites/moyennes entreprises. PAGE 2
Authentification forte pour Petites et moyennes entreprises RSA Authentication Manager Express répond aux contraintes de coûts, de gestion et de commodité des PME pour offrir une solution économique et pratique, sans compromis sur la sécurité. Cette plate-forme d authentification forte multi-facteurs fournit un accès distant sécurisé à une base d utilisateurs pouvant compter jusqu à 2 500 personnes. Compatible avec les principaux VPN SSL et applications Web, RSA Authentication Manager Express permet aux PME de déployer une technologie d authentification forte et un accès sécurisé à leurs applications et données protégées. RSA Authentication Manager Express s appuie sur la technologie d authentification basée sur les risques (RBA) signée RSA. Au cœur du dispositif RBA se trouve le moteur RSA Risk Engine, un système sophistiqué qui évalue chaque tentative de connexion et chaque activité en temps réel. Il surveille et passe au crible des dizaines d indicateurs pour attribuer un niveau de risque à chaque demande utilisateur. Pour déterminer ce risque, RSA Authentication Manager Express tient compte de plusieurs facteurs : Ce que connaît l utilisateur (nom d utilisateur et mot de passe existants, par exemple) Ce que possède l utilisateur (ordinateur portable ou PC de bureau, par exemple) Ce que fait l utilisateur (activité récente enregistrée sur son compte, par exemple) Avec RSA Risk Engine, les entreprises peuvent définir des politiques personnalisées, en fonction de leur propre échelle de risque pouvant aller de faible à élevé. RSA Authentication Manager Express permet ainsi de fixer des niveaux de risque par type d utilisateurs. On peut ainsi appliquer différentes politiques d authentification en fonction des profils des utilisateurs et de leur relation avec l entreprise. Par exemple, les entreprises peuvent se montrer plus tolérantes pour l accès de leurs salariés que pour l accès des clients ou partenaires. Si RSA Risk Engine détermine que le niveau de risque d une demande d accès se situe en deçà du seuil défini, l utilisateur est authentifié en toute transparence. En revanche, si RSA Risk Engine estime que le seuil de risque est dépassé, l utilisateur sera alors invité à fournir une preuve d identité additionnelle. Profilage matériel : ce que possède l utilisateur RSA Risk Engine examine les informations de chaque demande d accès utilisateur selon deux axes principaux : le profil matériel et le profil comportemental. La première composante, le profil matériel permet d authentifier la grande majorité des utilisateurs en analysant le profil matériel de l ordinateur fixe ou portable depuis lequel l utilisateur se connecte pour demander l accès, et si ce matériel a précédemment été associé à l utilisateur. Le profilage matériel porte principalement sur l identification matérielle unique et l identification matérielle statistique. L identification matérielle unique contribue à identifier un utilisateur en installant deux types d éléments sur sa machine : (a) des cookies d origine sécurisés et (b) des objets flash partagés (parfois dénommés «cookies flash»). Les cookies d origine (ou first-party cookies) sécurisés jouent un rôle important dans l identification des PC fixes et portables. Ces cookies placent un identifiant cryptographique unique sur la machine de l utilisateur, constituant ainsi le mécanisme initial d identification de l utilisateur. RSA Authentication Manager Express associe également des cookies flash aux «cookies d origine» pour fournir un second niveau de fiabilité. Le rôle des cookies flash consiste à «étiqueter» la machine d un utilisateur de la même manière que les «cookies d origine» stockent des informations pour consultation ultérieure. L avantage? Comme la plupart des utilisateurs ignorent l existence des cookies flash, ils ne sont pas supprimés aussi souvent que les cookies d origine. Même lorsque les utilisateurs en connaissent l existence, ils ne savent pas toujours comment les éliminer. PAGE 3
L identification matérielle statistique est une technologie qui utilise les caractéristiques d une machine pour statistiquement identifier et associer un utilisateur à une machine donnée. Egalement connue sous diverses dénominations anglaises (device forensics, forensic analysis, device fingerprinting), l identification matérielle statistique sert en général de mécanisme de secours en l absence d identifiant cryptographique unique (qui peut être supprimé de la machine). Parmi les éléments évalués lors du processus d identification matérielle statistique figurent notamment les données recueillies via les en-têtes HTTP et les scripts Java : version du système d exploitation (OS), niveaux de correctifs de l OS, résolution d écran, version du navigateur, données d agent utilisateur, version des logiciels, paramètres d affichage (taille et profondeur de couleurs), langue, fuseau horaire, objets de navigateur installés, logiciels installés, paramètres régionaux et linguistiques, et informations sur l adresse IP. Profilage comportemental : ce que fait l utilisateur Outre le profil matériel, RSA Authentication Manager Express observe le comportement de l utilisateur avant d attribuer un niveau de risque à sa demande d accès. Le profil comportemental sert à identifier les connexions à risque en tenant compte d éléments tels que la vélocité, l adresse IP, les demandes d authentification et l activité sur le compte (par exemple, un changement récent du profil utilisateur ou plusieurs tentatives d authentification rejetées). De fait, si un utilisateur se connecte habituellement depuis un bureau de New York, puis tente soudainement de se connecter depuis Moscou, le système peut considérer ce comportement comme suspect. Toutefois, si l utilisateur voyage souvent et se connecte régulièrement depuis divers endroits dans le monde, ce comportement peut être considéré comme normal. Figure 1 : RSA Risk Engine analyse des dizaines d éléments pour affecter un niveau de risque à chaque demande utilisateur 10.0.1.195 Informations IP Tokens specifiques au device Modèles comportementaux Profil matériel Historique d activité du compte PAGE 4
Authentification additionnelle pour les demandes d accès à risque Si une demande d accès dépasse le seuil de risque établi par une entreprise, RSA Authentication Manager Express peut alors faire appel à des méthodes d authentification supplémentaires. Le cas se présente notamment lorsqu un utilisateur distant se connecte depuis une machine non reconnue et jamais utilisée auparavant pour accéder au réseau. RSA Authentication Manager Express permet aux entreprises de choisir entre deux méthodes : SMS hors bande ou questions «challenge» spécifiques. Message SMS hors bande RSA Authentication Manager Express recourt à la méthode SMS hors bande en cas de risque élevé associé à la demande d accès en cours. Dans ce cas, RSA Authentication Manager Express invite l utilisateur à fournir une preuve supplémentaire de son identité selon un processus simple. Dans un premier temps, le système lui demande de saisir le code secret (PIN) qu il a choisi au moment de son inscription ou enrôlement. Ensuite, le système génère un texto SMS automatique qu il envoie au téléphone mobile que l utilisateur a enregistré pour recevoir des messages. Le SMS en question contient un code unique à huit chiffres, que l utilisateur doit saisir dans le navigateur Web. Une fois le code vérifié par le système, l utilisateur obtient un accès immédiat. RSA Authentication Manager Express supporte aussi la remise, par e-mail, du mot de passe à usage unique. L authentification par SMS hors bande présente des avantages notables : elle est compatible avec tous les téléphones mobiles et ne nécessite aucun achat de matériel ni installation de logiciel côté l utilisateur. Questions «challenge» spécifiques Les questions spécifiques sont des questions que l utilisateur sélectionne dans une liste, et dont il donne les réponses lors de son inscription ou lors du déploiement de l authentification forte selon le choix de son entreprise. L utilisateur est invité à répondre uniquement à un sous-ensemble de questions lors du processus d authentification supplémentaire, le but étant de réduire le risque qu une personne non autorisée obtienne toutes les questions et réponses secrètes de l utilisateur. Les entreprises peuvent également définir leur propre série de questions en lieu et place de celles intégrées par défaut dans RSA Authentication Manager Express. Déploiement et gestion RSA Authentication Manager Express est fourni sous forme d appliance plug and play, immédiatement prête à l emploi avec les principaux VPN SSL et serveurs Web. Et grâce à la configuration rapide RSA Quick Setup, le serveur peut être opérationnel en quelques étapes seulement. Le déploiement aux utilisateurs finaux est tout aussi simple. Parce que RSA Authentication Manager Express se connecte directement à un serveur d annuaire existant, les utilisateurs sont automatiquement guidés dans le processus d inscription ou enrôlement lors de leur prochaine connexion. Le processus d inscription étant entièrement automatisé, les administrateurs s affranchissent des tâches fastidieuses de provisioning des utilisateurs, contrairement à d autres méthodes d authentification. PAGE 5
Avantages clés RSA Authentication Manager Express est conçu pour répondre aux impératifs d authentification forte des petites et moyennes entreprises. Économique. De par sa conception et sa tarification, RSA Authentication Manager Express répond aux besoins des entreprises comptant jusqu à 2 500 utilisateurs. Pratique et ergonomique. RSA Authentication Manager Express authentifie la majorité des utilisateurs par leur nom d utilisateur et mot de passe habituels. Dans ce cas, l authentification multi-facteurs est totalement transparente pour l utilisateur, car le moteur RSA Risk Engine opère en mode silencieux en arrière-plan. Seules les demandes d accès jugées à haut risque par RSA Risk Engine font l objet d une demande de preuve d identité supplémentaire à fournir par l utilisateur. Simplicité de déploiement et de gestion. RSA Authentication Manager Express est fourni sous forme d appliance plug and play, immédiatement prête à l emploi avec les principaux VPN SSL et serveurs Web. En outre, le processus d inscription est entièrement automatisé, affranchissant ainsi les administrateurs des tâches fastidieuses de provisioning et déprovisioning des utilisateurs. Technologie éprouvée. RSA Authentication Manager Express emploie la méthode RBA, une technologie d authentification basée sur le risque déjà déployée par plus de 8 000 entreprises dans des secteurs comme les services financiers, la santé, les assurances, la grande distribution ou les services publics. Actuellement, la technologie RBA de RSA protège plus de 250 millions d identités utilisateurs et sécurise l accès à toute une palette d applications et de systèmes, parmi lesquels des sites et portails Web ou applications VPN SSL. Conclusion RSA Authentication Manager Express permet aux petites et moyennes entreprises de prendre le virage de l authentification forte grâce à une solution économique et pratique, tant pour les utilisateurs finaux que pour les administrateurs informatiques. Avec RSA Authentication Manager Express, les entreprises sont gagnantes sur toute la ligne : prévention des accès non autorisés, réduction du risque de violation des données, respect des obligations réglementaires sans dépassement budgétaire, et prise en charge de nouveaux utilisateurs distants en toute confiance. PAGE 6
Authentification forte : la fin des idées reçues Mythe Réalité Mon entreprise utilise des mots de passe forts et nos collaborateurs doivent les changer régulièrement pour atténuer les risques. Les mots de passe forts contenant chiffres, majuscules ou symboles sont peut-être difficiles à deviner pour les cybercriminels, mais ils sont tout aussi difficiles à mémoriser pour les utilisateurs. Cet inconvénient pourrait les inciter à noter leur mot de passe sur papier ou à trouver d autres astuces qui en réalité augmentent le risque. Une véritable authentification forte ne se limite pas à un seul facteur, en l occurrence un mot de passe. Mon entreprise ne peut pas se permettre le coût d une authentification forte. Les avantages de l authentification forte n en justifient pas le coût. L authentification forte peut s avérer très économique, et pas seulement pour les grandes entreprises. Par exemple, RSA Authentication Manager Express est conçu et tarifé spécialement pour les entreprises dont le nombre d utilisateurs est restreint et le budget informatique limité. Le coût de l authentification forte est bien inférieur aux coûts auxquels votre entreprise devra faire face en cas de violation de vos données ou d amendes et pénalités pour non-conformité. En outre, l authentification forte peut contribuer à générer de nouvelles sources de revenus et à rationaliser les processus métier : le coût d une sécurité renforcée devient alors insignifiant au regard de ses avantages. Les cybercriminels ciblent uniquement les grandes entreprises et les organismes d État. Au contraire. Les cybercriminels ciblent souvent les structures de plus petite taille car elles sont généralement moins bien protégées, et donc plus vulnérables à une attaque. PAGE 7
A propos de RSA RSA, la Division Sécurité d EMC, est le premier éditeur de solutions de sécurité, de gestion des risques et de la conformité. RSA contribue au succès des plus grandes entreprises mondiales, les aidant à relever leurs défis de sécurité les plus complexes et les plus sensibles : gestion des risques organisationnels, protection des accès mobiles et du travail collaboratif, preuves de conformité, et sécurisation des environnements virtuels et Cloud Computing. RSA apporte la visibilité et la confiance à des millions d identités utilisateur, aux transactions qu elles réalisent et aux données qu elles génèrent. Pour cela, l entreprise associe des contrôles stratégiques métiers assurés par les technologies de certification des identités, de DLP( prévention des pertes de données), de chiffrement et tokenization, de protection contre la fraude et de SIEM avec des fonctions leaders d egrc (Gouvernance d entreprise) et des services de consulting. www.rsa.com RSA, le logo RSA, EMC2, EMC et where information lives sont des marques ou des marques déposées d EMC Corporation aux États-Unis et/ou dans d autres pays. Les autres marques citées sont la propriété de leurs détenteurs respectifs. 2011 EMC Corporation. Tous droits réservés. Publié aux États-Unis. AMX SB 0111