Passer au contenu

Allier authentification forte et SSO

La banque a choisi d’intégrer une puce dédiée à l’authentification forte sur les badges existants de ses collaborateurs.

Jusqu’en 2000, la banque Sanpaolo authentifiait ses utilisateurs pour l’accès logique aux serveurs et aux applications métier à l’aide des traditionnels mots de passe. Une technique jugée insuffisante tant par le responsable de la sécurité du système d’information que par les autorités bancaires : “Les commissaires aux comptes et la Commission bancaire avaient déjà soulevé le problème. Nos utilisateurs se plaignaient d’avoir toujours plus de mots de passe à mémoriser et ils les changeaient rarement. Sans compter la difficulté de gestion pour les administrateurs”, se souvient Jean-Pierre Félix, responsable de la sécurité du système d’information (RSSI) de la filiale française.

Ne pas toucher au parc applicatif

Le RSSI recherche donc une solution d’authentification logique plus fiable. La banque utilise déjà des cartes à puce sans contact afin de contrôler l’accès physique à la cantine, au parking et pour la gestion des horaires de travail. Jean-Pierre Félix souhaite alors faire d’une pierre deux coups et employer la même carte pour l’accès au réseau : “Il m’a fallu huit mois de recherche, à raison de deux ou trois SSII consultées par semaine, avant de me voir proposer l’ajout d’une seconde puce aux cartes existantes.”Après avoir obtenu le soutien de sa direction, grâce notamment à la présentation d’une maquette fonctionnelle et à l’ajout de fonctions de SSO (Single Sign-On), le RSSI établit le cahier des charges et lance un appel d’offres. “Parmi les critères essentiels, nous ne voulions pas modifier l’existant, (pas de nouveau serveur dédié), ni toucher au parc applicatif pour accéder aux informations de la puce”, détaille Jean-Pierre Félix, qui s’est fait aider par la société Lynx Technologies pour l’étude et le choix de la solution. Deux prestataires répondent à l’offre, et c’est CryptoGram qui est retenu, car il est le seul capable de fournir une solution qui fonctionne également avec le protocole 3270 d’IBM.

Un code PIN remplace le mot de passe

La solution sera déployée sur 500 postes du siège dès janvier 2003, puis dans l’ensemble des agences. À terme, elle remplacera totalement les identifiants et les mots de passe associés des utilisateurs, et ceux-ci n’auront plus besoin de les connaître. “Il n’y a plus qu’un code PIN de quatre à huit caractères alphanumériques à saisir lorsqu’on introduit la carte dans le lecteur. Ensuite, chaque fois qu’une application exige une authentification spécifique, les modules de CryptoGram s’en chargent. Ils changeront même les mots de passe lors de demandes de renouvellement, en les générant de façon aléatoire et en leur donnant la taille maximale. Ceux-ci sont stockés sur la puce avec les profils de chaque utilisateur. La gestion centralisée des habilitations nous facilitera le déploiement”, détaille Jean-Pierre Félix. Autre avantage : le badge étant nécessaire pour se déplacer dans l’entreprise, le RSSI est certain que ses utilisateurs ne le laisseront pas dans le lecteur en leur absence. Son retrait provoque une mise en veille, qui exige l’entrée du code PIN à la remise en route, un gage supplémentaire de sécurité.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Jerome Saiz