La transformation numérique implique une conception différente de la sécurité des accès. Le recours aux applications cloud comme Microsoft Office 365 ou Google Apps promet facilité et réduction des coûts, mais nécessite une sécurisation maximale que seule une solution innovante de gestion des accès et des authentifications est à même de fournir. Telle était le thème de la matinale organisée par Ping Identity en collaboration avec notre rédaction et Synetis.
« Le Cloud est l’avenir de l’IT » pourrait écrire aujourd’hui Aragon. Actuellement, le Cloud s’impose dans toutes les entreprises et remet souvent en question le rôle des DSI. En effet, les métiers sans demander l’avis de quiconque déploient des applications en utilisant les services de prestataires de Cloud les mieux disant… Sans rappelé outre mesure les avantages du Cloud sur les facilités de déploiement, les coûts… si l’on fait un focus sur Office 365 de Microsoft, depuis son lancement en 2011, il a été très largement adopté dans toutes les entreprises dans le monde entier non seulement par les PME mais aussi par les très grandes entreprises.
Pourtant cette facilité ne doit pas faire oublier les risques liés au Cloud et ils ne sont pas anodins puisqu’on estime que 87,3 % des organisations ont au moins 100 employés utilisent Office 365. Microsoft a investi plus d’un milliard de dollars dans la sécurité, et également publié une nouvelle API Office 365 destinée aux partenaires afin de leur permettre de surveiller et de sécuriser les contenus sensibles. D’ailleurs, aujourd’hui la plupart des éditeurs proposent des solutions de sécurisation pour Office 365. De nombreuses études sur l’utilisation de Microsoft Office 365 en entreprise montrent que :
• OneDrive est l’application Office 365 la plus courante avec 79.1 % des entreprises qui l’utilisent. Exchange Online arrive en seconde position (66,9 %) mais seuls 7,9 % des employés l’utilisent activement.
• Le volume de données sensibles stockées sur OneDrive augmente. 17,1 % des données stockées contiennent des données sensibles comme par exemple des données confidentielles (9,4 %), personnelles (4,1 %), de santé (1,9 %) et de paiement (1,7 %).
• Une entreprise enregistre en moyenne plus de 5,4 millions d’événements dans Office 365 par mois. 256 sont suspects (ex : une connexion simultanée depuis 2 endroits différents, des volumes inhabituels de téléchargements, etc.) et 1 % de ces événements anormaux se révèle être une menace (1 sur 95).
Plus de la moitié des documents hébergés sur des services cloud et contenant des données sensibles sont enregistrés dans des formats Microsoft Office. Ce pourcentage ne fera qu’augmenter puisque OneDrive s’intègre de plus en plus étroitement au reste de la suite. Il est donc impératif pour les entreprises d’éduquer leurs employés sur la façon de stocker en toute sécurité des documents dans le cloud ; et ce d’autant plus au sein des industries où la nature des données est susceptible d’être très sensible comme par exemple le secteur de la santé ou les services financiers, deux des plus grands utilisateurs d’Office 365.
Les menaces planent sur le Cloud
Sans vouloir être trop alarmiste, il est clair que l’on dénote une multiplication des menaces. Ainsi,
71,4 % des entreprises ont au moins un compte compromis chaque mois,
57,1 % doivent faire face à au moins une menace interne
45,9 % ont au moins une menace concernant un compte à privilèges (administrateurs, cadres dirigeant, etc.). DSI ET RSSI démunis face au Cloud
Confronté à cette déferlante, les DSI et les RSSI sont bien souvent démunis. Ainsi, par exemple le CESIN a publié en juin dernier les résultats d’une enquête réalisée avec le concourt d’OpinionWay selon laquelle, 85% des entreprises stockent des données dans un Cloud. Si la pratique tend à se banaliser, face aux enjeux induits par l’émergence des offres disponibles sur le marché, le Cesin a mis en garde les dirigeants d’entreprises contre certaines dérives et publié 10 recommandations afin de maitriser les risques. Parmi ces recommandations, on trouve les problèmes lié à l’usurpation d’identité.
Toutes les législations pointent la responsabilité des dirigeants
Il faut rappeler que la Loi Informatique et liberté de 1978 définit la responsabilité des dirigeants en cas entre autre de manquement à la sécurité des données. Le règlement européen sur la protection des données personnelles par le Parlement européen du 14 avril applicable en 2018 va encore renforcer cette responsabilité. La protection des identités un enjeu stratégique
Si le Cloud prend de plus en plus d’importance, la mobilité n’est pas en reste et ce n’est pas encore la fin des SI d’entreprise. Face à ces problématiques, il est donc essentiel de protéger les identités avec des solutions efficaces, simples d’utilisation, transparentes et enfin qui puissent à la fois sécuriser les identités dans le cloud, sur le réseau de l’entreprise et en situation de mobilité.
Philippe Dubuc
Ping Identity acteur du SSO et de la fédération des identités
Puis, Philippe Dubuc, Régional Solution Architect chez Ping Identity, a présenté rapidement son entreprise et ses solutions. Ping Identity est forte de 420 personnes dans le monde. La société a été créée en 2002 autour de la gestion des identités. Ses offres s’appuient sur les standards tels Oasis, SAML…et des nouveaux standards concernant la mobilité. Ping Identity propose des solutions de sécurité autour du SSO pour tout type de plateforme. Elles sont t regroupées entre le contrôle d’accès et la gestion des identités. Elle va de la création du compte jusqu’à la fourniture d’un annuaire dans le cloud. Cette solution aujourd’hui est particulièrement adaptée pour les sous-traitants, fournisseurs….
Ping Identity fournit en outre une plateforme hybride pour titrer le meilleur parti des deux mondes donc à la fois dans le réseau interne Ping Bridge On-Premise et des services dans le Cloud Cloud Service…..
En ce qui concerne PingFederate/ Ping Bridge cette solution est construit sur les standards et est adapté au déploiement hybride, aux déploiements complexes. Elle permet de demander des authentifications pour le Web et le mobile. Elle est rapide à déployer et évolutive. Ping Identity a en outre une approche particulière pour Microsoft Office 365.
En juin dernier Ping Identity a annoncé des améliorations apportées à sa plate-forme IDaaS (Identity as a Service). Cette nouvelle offre apporte nombre d’innovations :
o Expérience utilisateur homogène et personnalisable sur mobiles
Les mises à jour de l’authentification multi-facteur (MFA) mobile offrent des capacités de cobranding permettant aux entreprises d’utiliser leurs propres marques et logos afin de proposer une authentification reconnaissable et homogène pour leurs collaborateurs, partenaires et clients. Celles-ci peuvent ainsi personnaliser l’ensemble du processus MFA.
o Accès privilégié sécurisé et prise en charge renforcée de Windows Remote Desktop
Afin de répondre à la forte demande d’accès privilégié sécurisé, la MFA pour Windows RDP est désormais disponible via PingID. Cette nouvelle fonctionnalité vient compléter la solution existante pour les applications dans le cloud ou sur site, les VPN et Secure Shell.
o Refonte de l’interface utilisateur PingOne
La mise à jour de l’interface utilisateur du cloud PingOne offre une expérience client simplifiée et transparente. Les nouvelles fonctionnalités permettent aux entreprises de proposer la meilleure expérience utilisateur, assortie de la flexibilité nécessaire pour des évolutions rapides.
Éric Derouet
Ping Identity : des solutions simples et rapide à déployer
Pour sa part Éric Derouet, directeur associé chez Synetis, un cabinet spécialisé dans la gestion des identités et des accès, explique que les solutions de Ping Identity sont très faciles à déployer. Pour lui, la gestion des identités doit être séparée de la fédération des identités.
Enfin, un client de Ping Identité dans le domaine de l’industrie a expliqué sa manière d’utiliser la solution Ping Federate pour Microsoft 365. Il a rappelé qu’il a mis en place cette solution en quelques mois suite à une demande des RH en fin 2013. Dans son entreprise, les RH sont moteurs pour toutes les solutions hébergées. Ils ont même monté leur propre SI en mode Cloud. EN ce qui concerne la gestion des identités le projet a débuté en janvier 2014 et a été finalisé en août 2015 pour l’ensemble des plus de 30.000 boîtes mails dans le monde.
Dans cette entreprise, il a été décidé de faire cohabiter l’ancienne et la nouvelle messagerie qui s’appuie dorénavant sur Office 365. Il faut noter que l’ancienne messagerie n’est plus aujourd’hui en production active. L’objectif était de n’avoir plus qu’une messagerie dans le Cloud. Le projet a débuté sur Office 2013. Il s’agissait de fournir en six mois les solutions nécessaires pour migrer et pour la mise en production. La migration s’est fait par étape en fonction des différentes régions du monde.
Il a été intégré dès le début du projet qu’il y avait plusieurs types de clients : des clients lourds, mobile… Avec du Web authentification, de l’Outolook Client et Exchange ActivSync Authentication, Lync Client Authentication, Office Pitch, Client Apps Authentication. Au départ plus de 70 cas d’utilisation ont été recensés. Pour le projet de SSO, il signale que la béta a fonctionné pour les boites multi-domaines. Aujourd’hui plus de 30 domaines cohabitent et sont fédérés. Des adaptations ont dû être réalisées à la fois du côté de Microsoft et de Ping Identity pour que les utilisateurs puissent avoir accès aux boites mails.
Pour la partie gestion des accès lors de départ des collaborateurs des adaptations des process internes ont dû être réalisées par l’entreprise pour éviter les temps de latence.
Pour Lync des problèmes sont apparus aussi. Il venait en fait des reverse proxy qui n’envoyaient pas les bonnes informations de retour vers les serveurs de Ping Identity. Aujourd’hui ces problèmes sont résolus.
Il note que les Tokens Microsoft changent régulièrement ce qui induit des modifications régulières sur le SI. Lors des tests ? il s’est aperçu que les utilisateurs procédaient à plus de 150 authentifications par jour. Ce qui fait près de 4 millions d’authentifications par jour. Durant un an et demi l’entreprise a fonctionné avec deux serveurs Ping Identity afin de ne pas être dépendant d’une seule technologie. Les serveurs Ping Identity tournent sur deux Data centers différents et continuent encore aujourd’hui avec ce fonctionnement.
Actuellement, mis à part la création de nouveaux domaines, il n’y a pas d’intervention des équipes. Il a subi une dégradation de service en janvier 2016 suite à un problème de synchronisation de l’horloge. La migration vers Skype s’est par contre bien passée. Pour la partie provisionning il n’y a pas de problème majeur de même pour la partie ProPlus.
Il estime que Ping Federate est une solution fiable. Il n’a pas d’incident à signaler y compris pour des cas parfois complexes. Pour lui, le support Ping est bon, il a des retours rapides. Par contre, l’interface est un peu complexe pour les équipes et bien sûr pour lui le coût est un peu trop élevé comme il convient pour toute solution….
Dans le futur, il compte aller vers le multi-facteurs entre autre pour les fournisseurs. Il souhaite que les partenaires puissent se connecter sur le SI de façon homogène et accroître le niveau de sécurité de ces connexions. En outre, Microsoft vient de lancer une nouvelle version d’Office 365 qu’il va devoir intégrer dans le futur. Une migration en V8 de Ping Identity est aussi prévue.
Source: ICI[:]