Comment évaluer les intégrations d’identité pour réduire les risques de sécurité

Chez Ping, nous proposons plusieurs produits et services, lesquels incluent des pratiques standard comme le single sign-on (SSO) et l'authentification multi-facteurs (MFA), mais aussi des offres uniques telles que l’intelligence des API et la gouvernance des données. Mais ce qui nous distingue sur le marché, ce sont nos intégrations. Nos intégrations complètes sont la raison pour laquelle tant de grandes entreprises internationales, dont plus de 60 % des sociétés du Fortune 100, nous choisissent pour leurs besoins d’identité.

Les organisations établissent un partenariat avec Ping non pas pour une fonctionnalité en particulier, mais pour notre vision d’un écosystème autour de l’identité. C’est ce que nous appelons une « autorité d’authentification », elle agit comme un organe central unique et assez puissant pour gérer toutes vos transactions d’identité. Lorsque son architecture est bien faite, cette autorité d’authentification fournit les points d’intégration nécessaires pour connecter n’importe quel utilisateur sur n’importe quel appareil, à n’importe quelle application ou n’importe quel cloud.

En raison des exigences uniques des grandes entreprises, il est impératif d’avoir la bonne architecture. Ces exigences incluent souvent les éléments suivants :

• Une technologie déployée sur le cloud et sur site
• Plusieurs types d’utilisateurs, comme des partenaires et des fournisseurs
• Un portefeuille d’applications incluant des logiciels développés localement, des applications « maison », des API et SaaS 

C’est en raison de ces nuances qu’il est fondamental que les entreprises comprennent parfaitement les fonctionnalités d’intégration de leurs fournisseurs potentiels pour s’assurer qu’ils répondront à leurs besoins.  

Vous avez avant tout besoin que les intégrations du fournisseur soient sécurisées. Pour vous en assurer, vous devez comprendre comment elles gèrent la sécurité des mots de passe.

2020 Verizon Data Breach Report, le vol d’identifiants et les attaques par force brutale représentent 80 % des tentatives réussies de piratage. Cela est logique lorsque l’on pense au comportement des utilisateurs. Malgré le fait qu’ils soient éduqués et avertis, nous savons que les utilisateurs continuent d’avoir des pratiques risquées en réutilisant leurs mots de passe ou en les écrivant sur papier.

Vous pourriez toutefois être surpris d’apprendre que certains fournisseurs de sécurité en font de même. Ils font ce qui équivaut à écrire les mots de passe et à les réemployer en utilisant le vaulting des mots de passe, qu’on appelle aussi « password replay » ou « gestionnaire de mots de passe ». Le vaulting de mots de passe s’appuie sur le stockage de mots de passe sur un annuaire, souvent sur le cloud, et leur utilisation sur l’application à chaque événement d’authentification.

Le vaulting des mots de passe pose d’importants risques de sécurité car les mots de passe peuvent être facilement corrompus, ce qui conduit les organismes de standards et les experts du secteur à être très vigilants à leur égard. Certains fournisseurs d’identité continuent pourtant d’avoir recours à cette pratique, tout en la dissimulant avec des termes tels que « authentification sécurisée sur le web ».

Pour éviter ce risque, vous devez vous assurer que votre fournisseur utilise la fédération pour authentifier les utilisateurs en toute sécurité. En remplaçant les mots de passe par l’échange de jetons, la fédération minimise les risques d’attaques.

La fédération est la base de l’autorité d’authentification, en donnant un contrôle inégalé sur l’accès aux ressources. Lorsque votre fournisseur procure une autorité d’authentification qui agit comme un centre d’identité fédéré, vous pouvez être sûr que vos applications et vos appareils utilisateurs seront authentifiés en permanence et en toute sécurité.

Une autorité d’authentification permet à vos employés et aux autres collaborateurs d’accéder en toute sécurité aux applications dont ils ont besoin, depuis n’importe quel appareil. Elle permet une intégration facile aux applications de l’entreprise, aux sources d’authentification tierces, à divers annuaires d’utilisateurs et aux systèmes IAM existants, tout en prenant en charge les versions actuelles et antérieures des standards d’identité tels que OAuth, OpenID Connect, SAML et WS-Federation.

Pour réaliser la vision de l’autorité d’authentification, vous devez intégrer trois facettes clés de votre entreprise : les applications, une authentification forte et les magasins d’identité. Ce faisant, vous procurerez une expérience cohérente à vos employés tout en vous assurant qu’ils sont productifs et qu’ils travaillent en toute sécurité. Cette intégration garantit également d’avoir un système informatique assez agile pour répondre aux besoins évolutifs de l’entreprise, comme le passage soudain au télétravail qui est survenu cette année.

Applications

Le Single sign-on est une fonctionnalité clé qui vous permet de donner aux utilisateurs un accès fluide et en un clic à leurs applications sans être confrontés à plusieurs connexions et plusieurs mots de passe. Pour que le SSO augmente la productivité et la commodité, il doit être présent sur chaque application. Mais plusieurs systèmes d’identité rencontrent des difficultés lorsqu’il s’agit d’intégrer les différents types d’applications que l’on trouve dans les grandes entreprises. Ces systèmes ont un poids important sur l’informatique pour pouvoir prendre en charge le SSO pour les applis SaaS, mobiles, existantes et maison, ainsi que les API.

Vous avez plutôt besoin d’un fournisseur pouvant s’intégrer facilement aux applications de votre entreprise. Chez Ping, nous vous garantissons de fournir le SSO à toutes les applications grâce aux éléments suivants :

• Un catalogue d’appli avec des connexions pré-configurées
• Des standards ouverts qui sont intuitifs pour les développeurs
• Des kits d’intégration complets
• La médiation et la traduction par les jetons

Authentification forte

L’identité doit représenter tous vos investissements de sécurité pour fournir une expérience fluide à vos utilisateurs et apporter plus de productivité et d’agilité. Vous pouvez profiter de ces avantages tout en protégeant vos collaborateurs et les biens précieux de l’entreprise grâce à l'authentification multi-facteurs. Le MFA adaptatif vous permet d’utiliser les signaux de risque et les données à partir de multiples sources et d’appliquer des politiques d'authentification adaptatives qui évaluent les appareils et le comportement de l’utilisateur ainsi que le contexte, en plus des mots de passe, pour évaluer les risques de manière dynamique et y répondre de manière appropriée.

L’autorité d’authentification des collaborateurs de Ping vous permet de fournir des services d’authentification forte et centralisée à n’importe quelle application, n’importe quel cloud, n’importe quel annuaire et dans n’importe quelle situation. Vous pouvez :

• Appliquer le MFA partout
• Renforcer la sécurité du VPN
• Appliquer des politiques sur les appareils par le biais de fournisseurs MDM
• Créer des politiques adaptatives et contextuelles basées sur les scores de risques tiers

Magasins d’identités

Lorsqu’il s’agit des fonctionnalités de l’annuaire, la plupart des grandes entreprises valorisent l’indépendance et le choix. C’est ce qui rend populaire Active Directory, le magasin de données professionnel que bon nombre de nos clients préfèrent. Pourtant, certains fournisseurs cherchent à forcer les entreprises à remplacer AD par leurs propres fonctionnalités d’annuaire.

Bien que Ping propose aussi des fonctionnalités d’annuaire, notre autorité d’authentification des collaborateurs est assez flexible pour répondre aux besoins de nos clients, et non l’inverse. Notre autorité d’authentification peut s’intégrer et extraire les attributs utilisateurs depuis plusieurs annuaires afin d’optimiser ce que vous avez déjà investi. Nos intégrations de magasin d’identité couvrent les besoins typiques et courants des entreprises, notamment :

• Anciens magasins de données (Microsoft, Oracle, IBM)
• Cloud (AWS, Microsoft, Google)

En évaluant les intégrations d’identité, vous constaterez que les fournisseurs qui proposent les intégrations les plus avancées et les plus sécurisées sont également ceux qui poussent l’enveloppe pour supprimer aussi les mots de passe, ainsi que les risques qui vont avec.

L'authentification sans mot de passe lvous permet de trouver le bon équilibre entre la sécurité et l’expérience utilisateur en minimisant votre dépendance aux mots de passe. Mais étant donné que cela ne rentre pas dans la boîte habituelle d’un produit ou d’une technologie, comme le MFA ou le SSO, cela peut sembler impossible à saisir.

On comprend mieux l’absence de mot de passe comme un but à atteindre. Pour l’atteindre, vous avez besoin d’avoir les bonnes technologies pour prendre en charge les cas d’usage qui réduisent voire éliminent l’utilisation des mots de passe.

Une autorité d’authentification fait de l’absence de mots de passe une réalité, y compris pour les entreprises les plus grandes et les plus complexes. En vous permettant d’utiliser le MFA adaptatif, une autorité d’authentification vous permet de minimiser l’exigence d’avoir un mot de passe en fonction du comportement de l’utilisateur.

Ping donne à ses clients des options flexibles d’absence de mot de passe et d’intégrations à des fournisseurs tiers sans mots de passe, PingZero.

Il est impératif que les entreprises comprennent de manière approfondie comment leurs fournisseurs potentiels prennent en charge les intégrations pour être sûrs que la sécurité n’est pas compromise. Des pratiques douteuses et des fonctionnalités insuffisantes peuvent engendrer des risques inutiles.

Une autorité d’authentification vous donne de la liberté d’esprit : vous êtes sûrs que vos intégrations et vos utilisateurs sont sécurisés. Elle vous donne aussi la liberté de lancer rapidement de nouveaux produits ainsi que la flexibilité nécessaire pour faire évoluer l’identité sans être bloqué par un fournisseur ou un écosystème en particulier. Avec une autorité d’authentification, vous pouvez :

• Améliorer votre posture de sécurité.
• Stimuler la productivité des employés.
• Améliorer votre agilité.

Pour découvrir comment Workforce360, l’autorité d’authentification des collaborateurs de Ping, peut vous aider à sécuriser votre entreprise, lisez le livre blanc.