SSO, le retour!

On l’avait un peu oublié. IBM, pour ne citer que lui, avait même tiré un trait sur ses investissements, faute de marché, pour ensuite se raviser et mettre la main, en 2008, sur la solution Encentuate désormais intégré à la suite logicielle Tivoli Access Manager.

Le SSO (Single Sign-On) revient en force, faut-il s’en étonner? C’est un des rares dispositifs avec lequel on augmente à la fois le niveau de sécurité et le confort d'utilisation de la machine: un mot de passe unique pour toutes les applications d’un même utilisateur est plus simple à gérer.

Le SSO permet aussi d’appliquer l’authentification forte du poste de travail à toutes les applications. Qui plus est, iI permet d’appliquer sur le poste de travail un contrôle d’accès à chaque connexion à une application. En contrôlant les tranches horaires, en limitant l’accès à partir de certains postes de travail uniquement ou bien encore en acceptant ou refusant l’accès selon le mode de connexion de ce poste (navigateur Web, client/serveur), etc. Bref, le SSO permet de mettre en oeuvre la politique de l’entreprise pour les accès aux applications de manière exhaustive.

Hier, le SSO était considéré comme une contrainte de plus à côté du manque de stabilité de Windows 95 ou 98 ou Millenium et les «plantages» à répétition des applications installées sur ces systèmes d’exploitation. Plus aujourd’hui. XP et Vista ont acquis une stabilité suffisante, tout comme Linux. Entre-temps, aussi, les solutions SSO ont évolué: plus de développements de scripts et d’agents propres à chaque entreprise.

La révolution technologique (LDAP et enrôlement) a permis l’émergence de nouveaux acteurs internationaux en pointe sur ce marché positionnés dans le carré des leaders du Quadrant magique de Gartner: ActiveIdentity, Bull Evidian, Citrix, Imprivata, Novell et PassLogix. Sans oublier les VASCO et RSA, déjà reconnus.

Les motivations, aussi, ont changé. Les éléments déclencheurs des projets SSO reposent sur la prise de conscience de l’importance des processus de connexion aux applications. Le projet peut donc relever d’une politique de sécurité des systèmes d’information de l’entreprise.

Son retour s’explique davantage par les exigences croissantes liées aux lois, réglementations et normes telles de type SOX ou IS0 27001. Dans un tel contexte, le SSO permet, notamment, d’appliquer une politique de mots de passe d’entreprise, de fournir simplement le reporting nécessaire à la démonstration de la mise en œuvre de la politique de sécurité des accès aux applications et de disposer d’un point central de gestion des accès. Qui plus est, la mise en place d’une solution de SSO est un bon préalable pour démarrer un projet d’IAM (Identity & Access Management) plus large. En effet, le SSO permet de mettre en place une première politique centralisée des accès pour les applications.

Intégration des fonctions de provisionnement des utilisateurs et gestion des identités à sa solution d'authentification unique L'hôpital AZ Sint Blasius a choisi d’implémenter la solution Enterprise SSO de Bull Evidian pour tous ses personnels soignants et administratifs.

Malgré une augmentation d'effectifs de 50% en 10 ans, l'hôpital gérait toujours les autorisations (1.140 employés) au cas par cas. D'où une importante charge de travail administratif chaque fois qu'une personne était embauchée, mutée dans un autre département ou quittait l'hôpital.

L’hôpital de Dendermonde a réalisé que la meilleure première étape pour gérer les identités était l'authentification unique. Cette fonction apporte non seulement des résultats immédiats et visibles, mais elle «historise» par ailleurs des données sur l'usage des informations. Ceci va permettre, dans une seconde étape, de fournir une fondation solide au provisionnement des utilisateurs. Incorporant SSO et gestion des identités, le logiciel d'Evidian fournit une solution unique qui ne nécessite pas de travail d'intégration.

Grâce à Bull Evidian Enterprise SSO, AZ Sint Blasius déploiera des PC en mode kiosque avec changement rapide d'utilisateur. Médecins et infirmiers accèderont rapidement aux applications médicales avec des cartes à puce avec détection radio de proximité. AZ Sint Blasius a intégré ses applications médicales et administratives avec l'authentification unique durant la phase pilote.

Parmi les avantages attendus de la solution: une réduction significative de la charge du help desk. Actuellement, si un mot de passe est inchangé pendant plus de 45 jours, le compte de l'utilisateur est bloqué. L’institution de Dendermonde estime que le SSO éliminera plusieurs milliers d'appels dus aux mots de passe perdus par an. Enfin, associée à l'authentification forte, la solution a permis à l'hôpital de diagnostiquer et corriger des pratiques de sécurité insatisfaisantes -de la gestion des mots de passe et des comptes partagés au comportement de certaines applications «métier».