<< Test Prénom >> << Test Nom >> L'Authentification forte est le point d'entrée de la transformation digitale ....

View this email in your browser

A&B - Newsletter Confiance Numérique N°2 - L'authentification forte

Dans ce numéro :

1. Vers la fin du mot de passe ? 2. L'authentification forte : le b.a.ba 3. L'authentification forte garantit les connexions au système d'information 4. Bénéfices business : Point d'entrée de la transformation digitale

Témoignage : Directrice Générale de ChamberSign 5. Exemples de mécanismes d'authentification forte 6. Choisir sa solution d'authentification forte 7. Le Cloud et le BYOD accélèrent le demande pour les solutions

d'authentification forte 8. Les Experts Comptables utilisent l'authentification forte par certificat sur leur

site web 9. Wikipédia adopte l'authentification par certificat en mode SaaS 10. Authentification forte et BYOD 11. Le certificat installé sur le terminal : une solution élégante 12. Gérer simplement les certificats électroniques en SaaS

Livre blanc Authentification forte

Livre blanc BOYD & Authentification forte

Vers la fin du mot de passe ?

Nous voyons régulièrement dans la presse des histoires ahurissantes de pertes de base de données de mots de passe avec des impacts désastreux (Orange, Target, etc.) pouvant aller jusqu'à la démission des dirigeants.

• Les pirates utilisent des méthodes de plus en plus sophistiquées telles que lephishing, typosquatting, social engineering, shoulder surfing, oukeylogger qui permettent de récupérer les mots de passe des utilisateurs

• Des kits prosaïquement intitulés « de récupération de mot de passe » à 299 dollars sont disponibles sur Internet

• Les utilisateurs ne choisissent pas de mots de passe forts, ou bien les notent quelque part, à moins qu’ils les oublient

Heureusement il existe aujourd’hui des solutions d'authentification forte alternatives ou complémentaires au seul « login / mot de passe », utilisées par Wikipédia ou les Experts Comptables par exemple. Ces solutions s'avèrent économiques, simples à mettre en oeuvre et facilitent la transformation digitale des organisations.

L'authentification forte : le b.a.-ba

Une authentification forte est une authentification à au moins deux facteurs (2F) parmi les 3 suivants :

• Ce que je sais – un mot de passe ou un code PIN, etc. • Ce que je possède – une carte à puce, une clé USB, un ordinateur, etc.

• Ce que je suis – mon empreinte digitale, ma rétine, etc.

L'authentification permet de garantir qu'une personne ou un matériel qui se connecte est bien habilité à le faire.

L'authentification forte garantit les connexions au système d'information

Depuis maintenant plusieurs années, il se vend plus de smartphones et de tablettes que de PC. La productivité des activités nomades est directement liée à la capacité à se connecter au système d'information. L'authentification forte sécurise l'accès :

• à un réseau d’entreprise • à un portail, un Extranet, un Intranet, un site web • à une application métier in situ ou en SaaS • Aux informations sensibles de l’entreprise

A partir de différents types de terminaux (smartphones, tablettes, ordinateurs).

Bénéfices business : Point d'entrée de la transformation digitale

Témoignage : L'authentification forte est le point d'entrée pour mettre en place les processus numériques.

Verbatim:

• "Tous les secteurs sont touchés" • "Solution pour limiter le papier, le signer en ligne,

l'archiver, le consulter" • "Des outils simples d'accès, faciles à utiliser, peu

onéreux" • "La dématérialisation est un axe fort pour réaliser

des économies rapidement"

Voir la Vidéo de Sylvie Sylvie Réveyrand - Directrice Générale de ChamberSign

Exemples de mécanismes d’authentification forte (livre blanc)

Il existe plusieurs mécanismes d'authentification forte :

• Un « SMS One Time Password » envoyé sur le téléphone portable de l’utilisateur

• Une carte ou une clé USB possédant une puce cryptographique dans laquelle est installé un certificat électronique

• Un certificat électronique installé directement dans le composant cryptographique du système d’exploitation de l’ordinateur ou du Smartphone de l’utilisateur

• Un “Token” physique ou une application logicielle installée sur le poste client et possédant un secret partagé avec un serveur d’authentification (tel que l’algorithme de calcul d’un chiffre complexe en utilisant la date et l’heure précise)

• Des solutions de type biométriques pour reconnaitre des caractéristiques physiques de l’utilisateur

Choisir sa solution d'authentification forte (livre blanc)

• Le niveau de sécurité • La facilité d’utilisation pour l’utilisateur final • Le coût • La complexité de mise en œuvre : délivrance le cas échéant des objets

physiques, logistique, support, etc.

Le Cloud et le BYOD accélèrent la demande pour les solutions d’authentification forte

Le Cloud et le BYOD accélèrent la demande pour les solutions d’authentification forte. Selon l’étude de Frost & Sullivan, cette demande devrait croître de sept pour-cent par an pour atteindre 2.2 milliards de dollars en 2018.

Les Experts Comptables utilisent l'authentification forte par certificat sur leur site web

Les Experts Comptables utilisent jedeclare.com pour leurs déclarations. Ce site propose une authentification forte par certificat capitalisant sur Lex Persona LPAuth. La solution crée par l'Ordre des Experts-Comptables est une véritable Identité

électronique et s'appelle "Signexpert". Elle remplit trois fonctions essentielles :

• Certifier la production du cabinet • Sécuriser l'authentification sur les sites de la profession et de son

écosystème • Contractualiser sous format dématérialisée

Lex Persona LPAuth : solution globale d'authentification forte

• LPAuthApplet : applet d’authentification simple située sur le poste de travail • LPAuthServer : web service de validation et de vérification du certificat de

l’utilisateur • PLPAuthAdminWeb : console d’administration permettant de configurer et

de surveiller les demandes d’authentification ainsi que les opérations de contrôle du certificat effectuées par LPAuthServer

Wikipédia adopte l’authentification forte par certificat en mode SaaS (Témoignage)

La fondation Wikimedia devait trouver une solution sécurisée et de confiance pour authentifier ses utilisateurs et contributeurs en ligne. Wikimedia a développé un partenariat avec DigiCert pour protéger Wikipédia et 10 sites de la famille :

• Utilisation de certificats électronique sur les postes clients des utilisateurs et contributeurs

• Dans toutes les langues et sur les SmartPhones

• En capitalisant sur la gestion SaaS de certificats électroniques DigiCert, Enterprise Managed PKI Services

Les certificats sont tracés/remplacés/mis à jour avec une console d’administration Enterprise MPKI. Solution en ligne d’authentification forte et de chiffrement sur les différents sites Wikimédia incluant les accès mobiles.

• Accroît la confiance parmi la communauté des contributeurs et des utilisateurs via l’Autorité de Certification DigiCert

• Connexions sécurisées, et expérience utilisateur de grande qualité, incluant des téléchargements rapides

Permet aux équipes de Wikimédia de délivrer un haut niveau de service à la communauté grâce à une gestion simplifiée des certificats électroniques, accroissant la productivité via une disponibilité en 24/7.

Authentification forte et BYOD(livre blanc)

Afin de s’assurer que seuls les terminaux autorisés se connectent au réseau ou accèdent à des applications métiers, vous pouvez installer sur ces terminaux des certificats électroniques.

• L’installation est aujourd’hui simple pour les utilisateurs • L'utilisation est transparente • Si un utilisateur perd son Smartphone ou quitte l’organisation il suffit alors

de révoquer ce certificat sur le serveur

Ce Livre Blanc détaille les différents éléments à prendre en considération avant de lancer un projet de BYOD. Il apporte un éclairage sur les bénéfices associés et les étapes nécessaires d'une mise en oeuvre réussie.

Le certificat électronique installé sur le terminal : Une solution élégante (livre blanc)

Cette solution ne demande pas de gérer des objets physiques

• Cette approche est totalement transparente pour les utilisateurs, la facilité d’utilisation étant le point le plus important pour ceux-ci

• L’installation de certificats électroniques sur un terminal est aujourd’hui très simple

• Cela ne requiert pas d’opération de provisioning • Les coûts sont maîtrisés. Un certificat d’authentification reviendra de l’ordre

de vingt euros par utilisateur

Gérer simplement les certificats électronique en SaaS

Par le passé il fallait disposer d’une infrastructure logicielle, matérielle, humaine et organisationnelle complexe et coûteuse de type « Public Key Infrastructure ». Il est aujourd’hui possible de faire appel à des solutions simples, efficaces et peu coûteuse de gestion des certificats en mode SaaS. https://www.globalsign.fr/pki-entreprise/ https://www.digicert.com/managed-pki-ssl.htm

Nos partenaires :

• DigiCert

• GlobalSign • ChamberSign • Lex Persona

Nous pouvons vous accompagner dans l'achat et la mise en oeuvre de ces solutions avec des prix négociés

Dans nos prochains numéros :

• Les solutions de chiffrement • La dématérialisation • SSL • Signature de code • PKI SaaS, etc.

Voir aussi notre édition précédente :

• La signature électronique

Livre blanc Authentification forte

Livre blanc BOYD & Authentification forte

Contactez-nous

Copyright © 2014 A&B, All rights reserved. Vous avez été choisi pour votre intérêt pour la sécurité informatique.

Our mailing address is: A&B 29, route de la Borde Le Vésinet 78110 France Add us to your address book unsubscribe from this list update subscription preferences