Apparu en 2000, le système d’identification unique reste encore d’une actualité brûlante
par Laurent Le Diagon
mercredi 13 février 2008
Le trader à l’origine de la fraude record de 5 milliards d’euros aurait simplement exploité les lacunes de la politique de sécurité de la Société générale. Des identifiants et mots de passe permettant l’accès à des applications sensibles n’étaient pas changés régulièrement.
Depuis de nombreuses années, les entreprises ont investi lourdement dans leur système de sécurité pour se prémunir d’attaques extérieures et s’aperçoivent que, dans 70 % des cas, le danger vient de l’intérieur. Cela va d’un post-it, comportant les mots de passe, laissé négligemment sur l’écran de l’ordinateur, l’utilisation d’un même mot de passe pour ses différents accès ou du non-respect de règles de modification régulière des mots de passe comme dans le cas de fraude à la Société générale.
Autre cas de figure : les collaborateurs sont obligés quotidiennement et à de multiples occasions de taper leur nom d’utilisateur et leurs différents mots de passe. On estime qu’une personne qui entre son login et son mot de passe en moyenne 10 à 15 fois par jour fait perdre chaque année 55 heures de travail à son entreprise. Une aberration dans un contexte de recherche de productivité.
On doit aussi parler de la complexification du travail des personnes en charge de gérer les authentifications, lors de l’arrivée d’un nouveau collaborateur ou quand il faut appliquer certaines politiques de sécurité.
Des solutions à la fois simples et économiques auraient pu éviter bien des soucis à de la Société générale : centralisation de l’authentification afin de pouvoir appliquer facilement une stratégie de sécurité vis-à-vis des mots de passe, mise en place d’un SSO au niveau des différentes applications web ainsi que des services (messagerie, serveurs de fichiers, serveur d’authentification...). Il existe aussi différentes méthodes d’authentification plus sécurisées que les mots de passe : les signatures digitales, les mots de passe à usage unique, la biométrie, voire une combinaison de plusieurs techniques qui pourront se présenter sous la forme de cartes à puce, de clés USB, de badges ou de token.
Cet article a été rédigé avec la participation de Didier Granjon, cofondateur de Simia.