La gestion des identités
Alors que se sont tenues à Monaco du 30 septembre au 3 octobre les Assises de la Sécurité et des Systèmes d’information, la gestion des identités n’a pas manqué de continuer à faire parler d’elle. L’heure est surtout à la fédération d’identités, à l’administration pour et par le Cloud, au cycle de vie des applications de plus en plus ouvertes et utilisées à la demande. Le point avec 7 acteurs de la sécurité qui étaient présents à cet événement référent sur la scène internationale.
La gestion des identités a toujours été un élément fédérateur aux Assises de la Sécurité depuis leur création, il y a quinze ans déjà. Gestion des clés, des PKI, des jetons d’accès, des autorités de confiance et des annuaires sécurisés…. rien n’a changé, ou presque, sur le fond pour l’édition 2016. Pour les applications à double identification, utilisées dans le Cloud, on y a retrouvé des techniques promues depuis longtemps par RSA, pour prendre un exemple parmi d’autres. Le plus efficace dans ce domaine est certainement le site d’Amazon, qui dispose d’une méthode d’achat en ligne en un seul clic, protégée par un brevet. Mais l’heure était surtout à la fédération d’identités, à l’administration pour et par le Cloud, au cycle de vie des applications de plus en plus ouvertes et utilisées à la demande. L’implication croissante de l’Etat français a permis de faire comprendre l’utilisation des nouveaux outils et ceux en particulier de la filière française Hexatrust qui rassemble plusieurs spécialistes dont Ilex, l’un des pionniers dans ce domaine.
Ilex joue la carte de la fédération
Pour Olivier Morel directeur avant-ventes d’Ilex international, la fédération d’identité reste toujours une solution fiable et éprouvée. « C’est un moyen pour différentes organisations de partager des informations à propos d’un même utilisateur. Le but étant que ce dernier puisse naviguer entre différents services après s’être authentifié une seule et unique fois auprès d’un tiers de confiance qui sera garant de son identité », nous indiquait-il. L’application contrôle les accès des utilisateurs en fonction des relations de confiance établies, de la validité de l’identité présentée et de l’authentification qui a été réalisée auprès du partenaire de confiance. L’identité des utilisateurs est transmise aux applications par des protocoles de fédération (SAML v2 pour la plupart). « Pour les applications en Saas, la DSI doit trouver les moyens d’homogénéiser sa politique d’accès à ce type d’applications. Par exemple, externaliser son système de messagerie pour passer sur Office 365 ou Google Apps sans ressources internes, ou presque, se généralise ». La firme citait parmi ses grands clients le groupe Canal+, qui s’appuie sur les principaux protocoles de fédération d’identité (OAUTH V2) afin de permettre l’inscription, l’authentification des utilisateurs et l’accès à leurs services à partir de leurs identifiants personnels (via Facebook notamment).
Ping Identity, les objets devront avoir une identité précise
Luc Caprini, directeur Europe du Sud de Ping Identity nous précisait. « On montre aussi, comme certains de nos confrères, l’intérêt des fédérations d’identité, en particulier dans le cadre de fusion de services ou d’entreprises. Ici, dans un atelier, Mr Mason, responsable Global Infrastructure de Lafarge Service Group a donné son retour d’expérience sur la fusion Lafarge Holcim, et montré le rôle essentiel de la fédération dans ce contexte. À l’occasion des assises, ici, nous mettons aussi en avant notre plate-forme Identity defined security ». Cette architecture fédérée supporte les protocoles standards d’identifications tels que SAML, OAuth, OpenID Connect, SCIM afin « de fournir des solutions sécurisées de gestion des identités et accès ». Elle peut être déployée sur site, dans le Cloud ou dans un environnement hybride.
Citrix : virtualisation et chiffrement protègent les utilisateurs
Pour Citrix, le spécialiste des applications virtualisées, la solution passe aussi par un portail de gestion des applications. Mais celui-ci devra fonctionner sur l’hyperviseur Xen et une solution de SSO. Alex Dos Santos, Lead Systems Engineer, nous expliquait que la sécurité était aussi l’affaire des boîtiers Netscaler qui compressent et chiffrent les données dans un tunnel VPN. Servant de Load balancer le trafic à la demande est optimisé. On passe ainsi d’un environnement virtualisé sur les postes clients à des applications virtualisées sur le serveur. La nouveauté tient au logiciel Xen Mobile, qui intègre la sécurité dans une technologie de containérisation sur le logiciel MDX de Citrix. Celui-ci permet aux applications personnelles et professionnelles de se côtoyer sur un même terminal mobile. La version 10 simplifie aussi sa console d’administration et d’expérience utilisateur, tout en renforçant la sécurité.
Le chiffrement prime chez Prim’x
Prim’x, autre membre de l’équipe française Hexatrust, est connu pour son outil de chiffrement Zone central. Lors des assises à Monaco, on a pu découvrir un outil Cryhod To Go, qui chiffre intégralement l’ordinateur de bureau installé sur les clés Windows To Go, une solution prônée par Microsoft. Pour Nicolas Bachelier, directeur commercial, « ces clés USB bootables, nativement étanches aux terminaux hôtes, et les données qu’elles contiennent restent toujours protégées lors des déplacements, à la maison, partout. Windows To Go est exécutable sur n’importe quel ordinateur hôte vis-à-vis duquel il est étanche ». Cryhod To Go associe la technologie Windows To Go et le logiciel de chiffrement au boot Cryhod (certifié EAL3+).
Cisco : évaluer les risques d’abord
Christophe Jolly, responsable commercial France des solutions de sécurité de Cisco, mettait en avant la position unique de l’entreprise : « Elle est la seule proposer une stratégie de protection centrée sur l’évaluation de la menace : avant, pendant et après ». L’attaque peut se conjuguer avec sa présence dans de nombreux projets de Cloud, d’infrastructure, de datacenters, de communication unifiée. Pour la gestion des identités, c’est Cisco Identity Services Engine (ISE), la plate-forme de gestion des stratégies de sécurité, qui automatise et met en place un contrôle d’accès sécurisé en tenant compte du contexte aux ressources du réseau. Cette offre devrait prochainement évoluer pour mieux prendre en compte les partenariats de Cisco avec différents opérateurs dans une optique du BYOD, l’expression à la mode qui cette année s’est faite rare. Cisco, à travers sa branche sécurité Talos, présentait, comme l’an passé, ses outils d’analyse comportementale pour détecter les événements anormaux, en complément des signatures d’attaque.
Atos : suivre le cycle de vie des identités
Chris Moret, vice-président pour la cybersécurité chez Atos, expliquait sur son stand l’intérêt de la nouvelle offre renforcée d’Evidian, société du groupe Bull, qui intègre désormais les outils de gestion d’identité Dirx d’Atos. Elle comprend des solutions et des services de Cloud pour la Gestion des identités et la Gouvernance des accès, l’Authentification unique Enterprise et la Fédération, l’analyse des données, ainsi que les Services d’annuaires. Bull Evidian a lancé également la version 6 de son logiciel Evolution 6 Identity & Access Manager, dotée d’une interface utilisateur améliorée. Elle s’intègre au cycle de vie des identités couvrant le Big Data, la veille économique, la mobilité et le Cloud. Elle devrait faciliter la prise en main des applications SaaS de manière sécurisée Pour la plupart des éditeurs, l’heure de la réforme a sonné avec une prise en compte croissante du Cloud et des applications SaaS.
GlobalSign : les soucis viendront des objets connectés
La nouveauté chez GlobalSign tenait à l’arrivée de l’Internet des Objets. L’échelle et l’hétérogénéité des « écosystèmes IoT » impliquent de nouvelles hiérarchies, des délégations et des inscriptions automatiques. GlobalSign veut prendre en charge ces authentifications et des autorisations solides à partir de normes reconnues, telles que OAuth2 et SAML. La société, en outre, mettait en avant ses études sur les difficultés engendrées par trop de sécurité sur les sites Web. Selon ces dernières, les sites marchands connaissent généralement un taux d’abandon de panier d’environ 70 % lorsque l’obligation de s’enregistrer est complexe. Pour résoudre ce problème, GlobalSign propose d’utiliser les identités sociales comme Facebook, Google ou LinkedIn qui permettent de capter en un clic l’identité des utilisateurs en transmettant leur nom et adresse e-mail. Néanmoins, la société souligne aussi que les identités de Facebook sont souvent douteuses : jusqu’à 11 % des identités du réseau social seraient fausses. Pour les transactions, il faut à l’entreprise une information supplémentaire ; il est donc nécessaire de demander aux visiteurs d’un site d’au moins saisir leurs données de carte bancaires.
