Halte à la pléthore de mots de passe et à l'authentification multiple ! Une évidence ? On pourrait le penser, mais en 2006, il est encore fréquent de voir de nombreuses grandes entreprises continuer d’ignorer royalement l’authentification unique, ou SSO (Single Sign-On). La récente étude du Clusif, « Politiques de sécurité des systèmes d’information et sinistralité en France », est là pour le rappeler. La biométrie, le web SSO ou le provisionning ne sont pas mise en œuvre dans près de 90% des entreprises interrogées ! Je suis soufflé que le SSO figure encore au nombre des technologies royalement ignorées. Alors s’il faut marteler le message pour qu’il rentre, faisons le en rappelant les tenants et aboutissants de l’authentification unique.
Chacune des procédures d'accès à un service ou à un serveur est une vulnérabilité potentielle de la politique de sécurité. Exiger d'un utilisateur qu'il mémorise 6 ou 7 mots de passe différents et qu'il en assure la mise à jour régulière, est se garantir à terme d'usages peu sûrs (post-it sous le clavier, mot de passe unique pour toutes les sessions différentes, etc). La solution passe par le Single Sign-On. La gestion des mots de passe d'accès à des serveurs, à des ressources, est l'un des enjeux majeurs de la mise en place d'une architecture de sécurité pour les entreprises. Pour les utilisateurs, la revendication première demeure la simplicité d'utilisation donc d'accès, sans laquelle l'outil informatique devient une contrainte. Pour le responsable de la sécurité des systèmes d'information (RSSI), il lui est indispensable de maintenir un niveau optimal de sécurité en accord avec son référentiel, et d'avoir une parfaite visibilité des droits de chacun des utilisateurs. La multiplication des mots de passe, rendue nécessaire pour l'accès à tel poste de travail, tel serveur, tel service, va à l'encontre des pré-requis évoqués. En revanche la possibilité de se logger sur de multiples serveurs, de multiples services par l'entrée d'un seul mot de passe, permet la définition d'une politique d'accès sécurisée, tout en autorisant une utilisation aisée par le personnel. Le SSO permet ainsi une gestion centralisée de l'accès, tout en diminuant les coûts par la réduction des temps d'ouverture de sessions et le recours au help desk. Doit-on encore s’en convaincre ?!