LIVRE BLANC GLOBALSIGN

L'authentification, par GlobalSign

Pour la mise en place d'une stratégie de sécurité de l'information complète et efficace grâce aux

certificats d'authentification aux réseaux.

LIVRE BLANC GLOBALSIGN

John B Harris,

Expert en sécurité

Pour GMO GlobalSign Ltd.

www.globalsign.fr

LIVRE BLANC GLOBALSIGN

TABLE DES MATIERES

INTRODUCTION ................................................................................................................................. 3

TROUVER LE BON CHEMIN ................................................................................................................. 3

L'AUTHENTIFICATION AUX RÉSEAUX AU MOYEN DE CERTIFICATS ........................................................ 5

QU'EST-CE QUE C'EST ? ............................................................................................................................. 5

COMMENT CA MARCHE ? ......................................................................................................................... 5

A QUOI DOIVENT S'ATTENDRE LES UTILISATEURS ? ................................................................................. 6

COMMENT SE PLACE-T-ELLE PAR RAPPORT AUX AUTRES MÉTHODES D'AUTHENTIFICATION

D'UTILISATEURS ET DE RÉSEAUX ? ............................................................................................................ 6

COMMENT L'AUTHENTIFICATION AUX RÉSEAUX AU MOYEN DE CERTIFICATS RÉPOND-ELLE AUX

BESOINS DES ORGANISATIONS ? ........................................................................................................ 9

HIPPA (HEALTH INSURANCE PORTABILITY AND ACCOUNTABILITY ACT) .................................................. 9

NORME PCA DSS POUR LE SECTEUR DU PAIEMENT PAR CARTE ............................................................ 10

RECOMMANDATIONS DU FFIEC (FEDERAL FINANCE INSTITUTIONS EXAMINATION COUNCIL) SUR

L'AUTHENTIFICATION .............................................................................................................................. 10

CONCLUSION ................................................................................................................................... 11

COMMENT GLOBALSIGN PEUT VOUS AIDER ? ................................................................................... 11

PORTE-FEUILLE PRODUITS DE GLOBALSIGN ........................................................................................... 12

POURQUOI CHOISIR GLOBALSIGN ? ....................................................................................................... 12

EN SAVOIR PLUS SUR NOS SOLUTIONS D'AUTHENTIFICATION ........................................................... 12

A PROPOS DE GLOBALSIGN .............................................................................................................. 13

LIVRE BLANC GLOBALSIGN

INTRODUCTION

Les organisations s'étant longtemps focalisées

sur les pare-feu et les logiciels antivirus en

périphérie de leurs réseaux doivent désormais

prendre en charge les données de leurs clients

en transition vers le cloud, des employés

utilisant leurs appareils portables sur leur lieu de

travail (et s'attendant à ce que ceux-ci soient

acceptés), ainsi que des hackers cherchant à

remporter la fuite de données la plus

mémorable ou des informations bancaires.

Cela représente un vrai défi pour l'expert en

sécurité de l'information qui doit déjà faire

beaucoup avec peu de moyens. La sécurité de

l'information exige des réponses à des questions,

telles que :

• Étant donné le nombre de menaces et le

nombre de technologies disponibles pour

contrer ces menaces, comment puis-je savoir

laquelle choisir en priorité et quelles sont les

meilleures solutions pour mon organisation ?

• Comment puis-je établir une stratégie qui va

m'aider à atteindre mes objectifs de conformité

tout en garantissant que mon entreprise sera

protégée contre les imprévus ?

• Un produit ou un ensemble de produits

peuvent-ils m'aider à me conformer aux

régulations clés et peuvent-ils remédier aux

menaces auxquelles mon organisation pourrait

être confrontée ?

• Dans quelles technologies dois-je investir qui

soient abordables et faciles à utiliser, mais aussi

efficaces en termes de sécurité ?

Ce livre blanc a pour but d'aider les organisations

à aborder leur situation de la meilleure façon

qu'il soit, en commençant par mettre en place

une stratégie de sécurité de l'information fondée

sur les meilleures pratiques. Il décrit en quoi

investir dans un système d'authentification aux

réseaux au moyen de certificats peut être un

premier pas décisif pour garantir une activité

plus sécurisée et plus souple pour les

organisations.

Ce livre blanc explique également ce qu'est

l'authentification aux réseaux au moyen de

certificats, comment elle fonctionne et en quoi

elle diffère des autres solutions de gestion

d'identités et d'accès les plus communes.

Enfin, ce texte souligne en quoi un tel système

est avantageux pour votre organisation et

comment vous pouvez en tirer profit.

TROUVER LE BON CHEMIN

Mettre en place une stratégie efficace en

matière de sécurité de l'information est devenu

un objectif dynamique pour les organisations.

Les experts en sécurité de l'information doivent

constamment s'adapter à de nouvelles

conditions, afin de se conformer aux besoins de

leurs clients et de leur entreprise, tels que la

stabilité du système et du temps de

fonctionnement, les réglementations pour la

protection des données personnelles, ainsi que

les exigences d'audit en termes de continuité

dans les cas de catastrophes naturelles ou

d'attaques terroristes. De plus, il est essentiel de

satisfaire les utilisateurs et l'équipe de direction

d'un point de vue budgétaire. Et ce n'est pas

chose facile.

Face à cette montagne de responsabilités, il n'est

pas surprenant que les meilleures pratiques

soient évincées au profit de solutions pratiques

selon les besoins qui se présentent. Plutôt que

de prendre le temps de voir en quoi leur activité

peut représenter un avantage majeur pour leur

LIVRE BLANC GLOBALSIGN

organisation en termes de protection sur le long

terme, les experts en sécurité de l'information

choisissent des solutions qui ont un impact

immédiat (ou semblent avoir un impact

immédiat) sur une menace ou un objectif de

conformité spécifique. Malheureusement, ces

solutions provisoires ne sont pas suffisantes

pour gérer les problèmes bien plus importants et

les nouvelles réglementations sur le long terme.

L'approche réactive peut-être attirante car, d'un,

elle est plus facile à mettre en œuvre, et de deux,

elle permet de faire preuve de réactivité auprès

de la direction, qui, parfois, a tendance à se

concentrer sur le court terme dans les

négociations budgétaires. Cependant, en

conservant cette approche, votre organisation

dépense bien plus d'argent sur le long terme,

ainsi que le temps de ses employés, et, au final,

les profits éventuels réduisent à force de

changements dans l'infrastructure.

Par exemple, une entreprise devant se

conformer aux dispositions de sécurité de

l'HIPAA (Health Insurance Portability and

Accountability Act) peut tout simplement

contacter des fournisseurs en déclarant que ses

produits sont conformes, puis acquérir et mettre

en place ces technologies, afin de se conformer

aux exigences de l'HIPAA. Ce qui manque dans ce

processus est la façon dont ces technologies

pourraient être utilisées pour répondre aux

autres besoins de conformité de l'organisation et

gérer les dangers émergents, tels que les

menaces persistantes avancées.

Il est possible que l'organisation doive se défaire

de son achat initial ou le remodeler entièrement

pour ne pas avoir anticipé ce qui arrivait à grands

pas. Cela a été confirmé par l'enquête

internationale 2011 d'Ernst & Young sur la

sécurité de l'information qui montre que dans

les 18 mois qui ont précédé l'enquête, 31 % des

sondés avaient acheté du matériel ou des

programmes qui ont échoués dans leur mission

ou se sont avérés insuffisants.

Cette approche peut également entraîner une

confiance inappropriée dans la position réelle de

l'organisation en termes de sécurité de

l'information. Selon l'enquête internationale

2012 de Price Waterhouse Cooper sur l'état de la

sécurité de l'information, plus de 70 % des

sondés ont indiqué qu'ils étaient confiants que

leur système est efficace, mais seulement 37 %

ont indiqué qu'ils avaient mis en place une

stratégie de sécurité pour les appareils

portables, probablement l'un des défis les plus

importants pour les services informatiques.

Enfin, seulement 52 % des sondés de l'enquête

Ernst & Young ont répondu que leur stratégie de

sécurité était certifiée.

Si la « stratégie » d'une organisation est de

simplement réagir aux menaces et aux exigences

qui se présentent, alors cette organisation est

comme une balle de flipper, à rebondir entre les

menaces et les réglementations. Les

organisations doivent prendre le temps de

développer et mettre en place une politique de

sécurité fondée sur les meilleures pratiques,

telles que l'authentification des utilisateurs, la

détection d'intrusion aux réseaux, la prévention,

la continuité d'activité, la préparation aux

catastrophes, la formation des employés et le

développement de leurs connaissances, la

détection de malware, la prévention contre la

perte de données et le chiffrement de données.

Cette stratégie et politique de sécurité doit

également adapter ces meilleures pratiques, afin

de se conformer aux exigences de l'organisation,

tout en évitant que les utilisateurs ne soient

affectés. Les utilisateurs, les partenaires et les

clients, mécontents de devoir être confrontés à

de nombreux contrôles trop compliqués ou

LIVRE BLANC GLOBALSIGN

inutiles à la tâche qu'ils doivent accomplir, ont

tendance à ralentir l'activité de l'organisation, la

rendant ainsi moins agile et moins productive.

Établir une stratégie globale fondée sur les

meilleures pratiques est la première et la plus

importante étape à compléter. Les organisations

doivent ensuite choisir l'équipement nécessaire

pour atteindre les objectifs de leur stratégie.

L'interopérabilité de ces technologies doit être

garantie. Elles doivent parer différentes

menaces, répondre aux attentes de

l'organisation, être conformes aux régulations

présentes et futures, et ne doivent pas affecter

les utilisateurs et les systèmes déjà en place.

La gestion des identités et des contrôles d'accès

est une zone clé dans un système de sécurité

fondé sur les meilleures pratiques. L'authen-

tification aux réseaux au moyen de certificats est

un bon exemple d'une solution facile à mettre en

œuvre et simple à comprendre pour les

utilisateurs. Elle répond aux exigences et

s'adapte aussi bien aux PC qu'aux appareils

portables et au cloud.

L'AUTHENTIFICATION AUX

RÉSEAUX AU MOYEN DE

CERTIFICATS

QU'EST-CE QUE C'EST ?

L'authentification aux réseaux au moyen de

certificats consiste à utiliser un certificat

numérique pour identifier, sur un réseau, un

utilisateur et souvent un ou plusieurs appareils

utilisés par un utilisateur connu. Elle est souvent

déployée en plus des méthodes

d'authentification traditionnelles, telles que

l'utilisation de la paire nom d'utilisateur/ mot de

passe.

L'authentification aux réseaux au moyen de

certificats peut à elle seule vérifier si des

appareils connectés au réseau d'une

organisation sont ceux qui y ont été

préalablement autorisés. Lorsque l'authen-

tification au moyen de certificats est combinée à

l'authentification d'utilisateur, les organisations

peuvent voir clairement que l'utilisateur A s'est

connecté à partir de l'ordinateur portable B et

peuvent vérifier si cet ordinateur est de fait

enregistré au nom de l'utilisateur A. Si oui,

l'utilisateur est autorisé à accéder au réseau à

partir de cet appareil.

Les certificats numériques utilisés sont les

mêmes que tout autre certificat numérique que

vous utilisez peut-être déjà au sein de votre

organisation, afin de sécuriser les services web

(SSL) ou signer les e-mails et documents

(signatures numériques). Cependant, dans le cas

du certificat d'authentification, celui-ci est

associé à un appareil et non pas à un serveur ou

une personne.

COMMENT CA MARCHE ?

Tout d'abord, un administrateur doit générer et

assigner des certificats aux appareils de son

organisation. Généralement, cela se fait à

travers un portail de gestion de certificats ou un

service de gestion basé sur le Web.

L'administrateur configure son répertoire

d'utilisateurs, ainsi que les systèmes de sécurité

du ou des réseaux, afin que les utilisateurs et

appareils donnés soient reconnus pour

l'authentification, et ce, en important leur

certificat numérique. Les appareils sont

également configurés avec les certificats des

serveurs.

Lorsqu'un utilisateur cherche à se connecter au

réseau, une demande d'accès est envoyée au

LIVRE BLANC GLOBALSIGN

réseau depuis l’appareil. Les messages sont

chiffrés, envoyés, déchiffrés et renvoyés entre

l'appareil et le serveur. Ce processus de

handshake continue entre l'appareil et le réseau

jusqu'à ce qu'ils soient tous les deux satisfaits du

fait que les messages qu'ils se sont envoyés ont

été correctement déchiffrés et les identifiants

sont sûrs.

L'authentification mutuelle garantit que

l'appareil se connecte au bon réseau (car

seulement ce réseau peut déchiffrer le message

envoyé avec ses identifiants) et que le serveur

peut également vérifier que l'appareil qui se

connecte est le bon (car seulement cet appareil

peut déchiffrer le message envoyé avec ses

identifiants).

Une fois l'authentification complétée, le serveur

peut donner accès à l'appareil ou demander des

méthodes d'authentification d'utilisateur sup-

plémentaires selon le type de données ou de

serveur recherché.

A QUOI DOIVENT S'ATTENDRE LES

UTILISATEURS ?

L'impact sur les utilisateurs est minime, voire

inexistant. Le déploiement de certificats est

relativement avancé dans la plupart des

systèmes d'exploitation d'aujourd'hui ; les

utilisateurs n'ont généralement rien à faire eux-

mêmes. Ils devront continuer à s'authentifier au

réseau comme ils l'ont toujours fait, en utilisant

des identifiants de connexion. Pendant ce

temps-là, sans que les utilisateurs ne s'en

rendent compte, les identités et les appareils

seront authentifiés grâce à des identifiants

assurés par les certificats.

L’authentification aux réseaux au moyen de

certificats nécessite que l'appareil soit conservé

dans un endroit sécurisé, afin que les identifiants

ne soient pas effacés ou copiés.

COMMENT SE PLACE-T-ELLE PAR

RAPPORT AUX AUTRES MÉTHODES

D'AUTHENTIFICATION

D'UTILISATEURS ET DE RÉSEAUX ?

L'authentification se décrit généralement en

termes de « facteurs » : quelque chose que l'on

sait (un mot de passe), quelque chose que l'on a

(une clé USB cryptographique) ou quelque chose

que l'on est (une personne avec des empreintes

digitales). L’authentification à un facteur a

tendance à être la norme, mais se reposer sur un

seul facteur signifie que votre réseau et vos

systèmes ont un point unique de défaillance et

peuvent être facilement victime de phishing et

d'autres types d'attaque.

Lorsque différents facteurs d'authentification

sont utilisés ensemble, ils offrent plusieurs

couches de protection qui réduisent les risques

d'attaque d'un système. Cependant, accumuler

les facteurs ne garantit pas que votre

organisation va être plus sécurisée tout d'un

coup. Les organisations doivent prendre en

compte l'impact sur les utilisateurs, les risques

encourus et bien d'autres aspects.

Dans la mesure où l'authentification aux réseaux

au moyen de certificats peut être mise en œuvre

sans que cela n'affecte les utilisateurs,

l'authentification à plusieurs facteurs est aussi

simple que lorsque vos utilisateurs se

connectent sur l'appareil qui leur est assigné

avec leur nom d'utilisateur et leur mot de passe.

Les certificats numériques d'un appareil, par

exemple, correspondent au « quelque chose que

l'on a », et l'appareil est intégré à

l'authentification, au même titre que le nom et

LIVRE BLANC GLOBALSIGN

le mot de passe de l’utilisateur (quelque chose

que l'on sait).

Cela n'est pas forcément le cas pour les autres

formes d'authentification qui peuvent exiger que

les utilisateurs transportent d'autres types

d'appareils ou complètent des étapes

d'authentification supplémentaires. Quelles sont

les autres méthodes d'authentification ?

• Les clés USB cryptographiques à mot de

passe unique doivent être transportées par

l'utilisateur et sont constituées d'un petit écran

qui affiche un numéro unique généré au hasard

par la clé. Pour se connecter, l'utilisateur entre

ce nombre en plus d'un code PIN et, souvent, de

son mot de passe. Le code PIN supplémentaire

permet d'éviter que la clé ne soit volée et utilisée

par une autre personne. Ces clés correspondent

au facteur « quelque chose que l'on a » mais

elles peuvent être facilement perdues par les

utilisateurs qui en sont responsables et donc

empêcher ceux-ci de se connecter dans des

moments critiques. Les solutions à mot de passe

unique sont désormais disponibles sous forme

d'application sur le téléphone portable des

utilisateurs, mais cela implique que ces derniers

doivent avoir leur téléphone avec eux et chargés

à chaque fois qu'ils souhaitent se connecter. De

plus, il n'est pas toujours évident d’alterner

entre différentes applications lorsque les

utilisateurs cherchent à se connecter au réseau

depuis leur appareil portable.

• L'authentification par SMS dépend de la

capacité d'un téléphone portable à pouvoir y

ajouter un deuxième facteur. Les systèmes

d'authentification par SMS envoient un message

sur le téléphone portable de l'utilisateur après

qu'il se soit connecté avec son nom d'utilisateur

et son mot de passe. Il doit ensuite entrer le

message lorsque cela lui est demandé. Tout

comme les applications de système à mot de

passe unique, l'authentification par SMS

implique que l'utilisateur ait accès à son

téléphone portable lorsqu'il se connecte. Elle

peut également représenter certaines difficultés

lorsque l'utilisateur cherche à se connecter à une

autre application.

• L'authentification hors bande implique

que l'utilisateur ait accès à son téléphone

portable ou à un autre téléphone. Pendant le

processus d'authentification, en effet, il reçoit un

appel et doit entrer un numéro ou répéter une

courte phrase prédéterminée. Selon sa réponse,

le système lui autorise l'accès. Dans la mesure où

l'authentification hors bande exige que

l'utilisateur prenne un appel sur son téléphone,

cela peut perturber les autres employés ou

s'avérer impossible en fonction de

l'emplacement de l'utilisateur (zone sans réseau,

etc.).

• Les cartes à puce et clés USB contenant

des certificats numériques qui permettent

d'identifier l'utilisateur offre plusieurs facteurs

d'authentification en même temps. En effet,

cette solution requiert la possession d'une carte

ou d'une clé et d'un mot de passe pour

débloquer les certificats sur l'appareil

(généralement un pour l'appareil et un pour

l'utilisateur). L'authentification biométrique est

également une possibilité (voir ci-dessous). Les

cartes à puces peuvent être personnalisées, afin

d'y inclure la photo de l'utilisateur, son nom et

son poste, et ainsi être utilisées non seulement

comme méthode d’authentification logique mais

également physique, pour entrer dans le

bâtiment, par exemple. A l'heure actuelle, ce

système est l'une des formes d'authentification

les plus sûres, mais il a un prix. L’utilisateur doit

transporter sa carte ou sa clé USB et la présenter

chaque fois qu'il cherche à se connecter. Une

carte à puce s'accompagne souvent d'un lecteur

LIVRE BLANC GLOBALSIGN

de carte. Les cartes à puce et les clés USB sont

compliquées à utiliser sur un appareil mobile qui

souvent ne possède pas de lecteur ou de port

USB, bien qu'il existe des systèmes qui se

branchent à l'appareil et permettent à

l'utilisateur d'y connecter sa carte.

• L'authentification biométrique

correspond au troisième facteur

d'authentification : quelque chose que l'on est

(une personne avec des empreintes digitales, un

visage, des iris ou bien encore une signature

manuscrite). Il existe d'autres formes de

biométrie encore plus exotiques, telles que la

structure des veines. Évidemment, il est plutôt

compliqué, voire impossible, de répliquer ces

caractéristiques. Cependant, l'authentification

biométrique présente trois problèmes majeurs :

o La disponibilité des capteurs sur les

différents appareils auxquels l'utilisateur

cherche à accéder : son ordinateur portable

peut très bien posséder un lecteur

d'empreintes digitales, mais pas sa tablette.

Même lorsque des capteurs similaires

existent (ex : webcams et caméras de face

sur les appareils mobiles), ceux-ci ne sont

parfois pas assez puissants pour l'analyse

biométrique, telle que la reconnaissance

faciale.

o L'environnement dans lequel l'analyse

biométrique est effectuée : la main de

l'utilisateur pourrait être gantée lorsqu'il

doit passer son doigt sur le lecteur

d'empreinte digitale, ou il pourrait être dans

une pièce sombre lorsqu'il doit

s'authentifier par reconnaissance faciale.

o La vie privée : les utilisateurs peuvent ne

pas être à l'aise à l'idée d'avoir leur

empreinte ou leur visage enregistrés sur ces

appareils.

Méthode

d'authentification

Appareil

physique

supplémentai

re requis

Téléphone

portable

De

l'utilisateur

requis

Actions

supplémentai

res

pour

l'utilisateur ?

Sécurité par

rapport à

l'authentifi-

cation aux

réseaux au

moyen de

certificats

Authentification

aux réseaux au

moyen de

certificats

NON

NON

NON

‐‐

Nom

d'utilisateur et

mot de passe

NON

NON

NON

‐

Mot de passe

unique1

OUI

PEUT-ETRE

OUI

=

SMS

NON

OUI

OUI

=

Hors-bande

NON

OUI

OUI

=

Carte à puce/

clé USB

YES

NON

OUI

+

Biométrie2

PEUT-ETRE

NON

PEUT-ETRE

+

Veuillez noter que rien n'empêche les

organisations à utiliser plusieurs méthodes

d'authentification de la liste ci-dessus pour

garantir des niveaux de sécurité plus élevés. De

fait, l'utilisation d'un système d'authentification

aux réseaux au moyen de certificats améliorera

toujours la sécurité d'un processus

d'authentification sans affecter l'utilisateur. Le

niveau d'authentification doit être régulé selon

les risques évalués par l'organisation pour un

réseau, un système ou un ensemble de données

particulier.

1 Des clés USB de logiciel à mot de passe unique peuvent être

activées sur un appareil mobile, évitant ainsi à l'utilisateur de

transporter un troisième appareil.

2 La biométrie peut requérir l'acquisition d'un appareil de lecture

supplémentaire (ex : lecteur d'empreintes digitales). Elle peut aussi

être utilisée comme unique méthode d'authentification, mais cela

réduirait le processus d'authentification à un facteur seulement. La

biométrie peut être considérablement plus sûre, mais elle doit tout

de même être utilisée en plus d'une ou plusieurs autres méthodes

d'authentification.

LIVRE BLANC GLOBALSIGN

COMMENT L'AUTHENTIFICATION

AUX RÉSEAUX AU MOYEN DE

CERTIFICATS RÉPOND-ELLE AUX

BESOINS DES ORGANISATIONS ?

Les organisations doivent se concentrer sur des

stratégies de sécurité qui répondent à leurs

attentes en termes de souplesse et de profit,

tout en protégeant correctement leurs données

contre les risques inhérents à un environnement

dynamique. Pour mettre en œuvre ces

stratégies, les organisations doivent investir

dans des technologies qui répondent

efficacement à leurs exigences de sécurité,

réduisent les risques et aident à se conformer

aux diverses réglementations auxquelles elles

sont soumises. Il a été prouvé que

l'authentification aux réseaux au moyen de

certificats offre un système d'authentification à

plusieurs facteurs sans affecter les utilisateurs

d'une organisation : plus de sécurité ne signifie

pas obligatoirement moins de souplesse.

La gestion des accès, l'audit et l'analyse

minutieuse de l'historique d'accès sont

améliorés, tandis que les données et l'accès aux

réseaux peuvent non seulement être associés à

un utilisateur mais également à un appareil

particulier à un moment particulier.

Les appareils portables redéfinissent la façon

dont les consommateurs et les employés

accèdent à du contenu. Les demandes

d'utilisation de smartphones et de tablettes au

bureau et sur la route imposent de nouveaux

défis en matière de sécurité. Alors que de

nombreuses méthodes d'authentification ne

passent pas facilement d'une plate-forme à une

autre, les certificats peuvent être déployés à la

fois sur PC et sur les appareils portables,

permettant ainsi à un seul investissement d'être

utilisé sur de nombreuses plates-formes.

L'authentification aux réseaux au moyen de

certificats peut également être un outil efficace

pour aider les organisations à se conformer aux

exigences d'organismes de régulation clés en

termes d'authentification et de gestion des

accès.

HIPPA (HEALTH INSURANCE

PORTABILITY AND

ACCOUNTABILITY ACT)

Passé en tant que loi en 1996, l'HIPAA a mis en

place de nouvelles règles pour les dossiers

d'assurance et de santé électroniques. La

sécurité et la confidentialité de ces dossiers

constituent l'une des clauses clés de l'HIPAA et a

été publiée en 2003 sous le nom de Règle de

Sécurité (Security Rule).

L'HIPAA recommande que toute organisation qui

conserve des informations de soins de santé, y

compris les prestataires de soins de santé et les

compagnies d'assurance, mette en œuvre divers

contrôles administratifs, techniques et

physiques. Tandis que ces contrôles sont décrits

à un niveau technologiquement « agnostique »,

ils correspondent très bien au modèle de

meilleures pratiques recommandé plus tôt dans

ce texte.

Pour ce qui est de l'authentification, la Règle de

Sécurité exige expressément que les

organisations implémentent un système

d'authentification pour accéder aux

informations de santé protégées.

L'authentification aux réseaux au moyen de

certificats permet de répondre facilement à ces

exigences.

L’autorisation d'accès est également exigée. Les

organisations doivent « mettre en œuvre des

politiques et des procédures, afin de permettre

l'accès aux informations électroniques de santé

LIVRE BLANC GLOBALSIGN

protégées, au travers, par exemple, d'un accès à

un poste de travail, d'une transaction, d'un

programme, d'un processus ou de tout autre

mécanisme »3. Les certificats peuvent être

utilisés de façon à garantir aux utilisateurs

autorisés l'accès aux dossiers des patients à

partir d'ordinateurs spécifiques dans des

espaces protégés ou dans des zones restreintes

du réseau, plutôt que depuis n'importe quel

poste de travail dans le bâtiment.

NORME PCA DSS POUR LE SECTEUR

DU PAIEMENT PAR CARTE

Le secteur du paiement par carte a répondu au

risque de fraude et de perte de carte bancaire en

générant une liste très détaillée d'exigences

relatives à la sécurité des données, et ce, pour

les commerçants, les institutions financières, les

distributeurs de cartes et tout autre type

d'organisation lié au secteur. Publié pour la

première fois en 2004, la norme PCI DSS a depuis

été mise à jour sous la version 2.0.

La norme PCI DSS inclut des recommandations

spécifiques pour les procédures de contrôle

d'accès. Les organisations doivent utiliser au

moins un facteur d'authentification (quelque

chose que l'on sait, que l'on a ou que l'on est)

pour l'accès général, et deux facteurs pour

l'accès à distance aux réseaux. La nature

transparente de l'authentification aux réseaux

au moyen de certificats rend celle-ci idéale pour

aider les organisations à se conformer à cet

aspect de la norme PCI DSS.

3. HIPAA, 45 CFR Part 164.308(a)(4)(2)(B).

RECOMMANDATIONS DU FFIEC

(FEDERAL FINANCE INSTITUTIONS

EXAMINATION COUNCIL) SUR

L'AUTHENTIFICATION

Le FFIEC a publié ses directives en 2001, afin de

mieux protéger les clients des services de

banque électronique contre les menaces

Internet, et ce, en exigeant des institutions

financières qu'elles mettent en œuvre des

mesures plus fortes pour l'authentification des

utilisateurs. En 2005, ces directives ont été mises

à jour et publiées sous le nom

« d'authentification dans l'environnement de la

banque électronique ». Ce document affirme

clairement que le FFIEC « considère

l'authentification à un seul facteur, en tant

qu'unique mécanisme de contrôle, comme étant

inapproprié pour les transactions à haut risque

impliquant l'accès aux informations du client ou

le mouvement de fonds vers d'autres parties ».

De plus, le FFIEC suggère expressément que les

« institutions financières devraient implémenter

un système d'authentification à plusieurs

facteurs, de sécurité en couches ou tout autre

contrôle déterminé pour réduire les risques

évalués ». En accord avec les meilleures

pratiques présentées dans ce document, la FFIEC

poursuit :

Le succès d'une méthode

d'authentification particulière ne dépend

pas que d'une seule technologie. Il dépend

également des politiques, procédures et

contrôles appropriés. Une méthode

d'authentification efficace doit inclure

l'adhésion du client, une performance

fiable, l'extensibilité de s'adapter à la

croissance, et l'interopérabilité avec

d'autres systèmes existants et tout autre

projet à venir.

LIVRE BLANC GLOBALSIGN

Dans la mesure où l'authentification aux réseaux

au moyen de certificats n'affecte pas les

utilisateurs et peut être utilisée sur les PC autant

que sur les appareils portables, elle répond aux

exigences d'adhésion du client, d'extensibilité et

d'interopérabilité.

De fait, l'appendice du guide loue

« l'authentification au moyen de certificats

numériques comme étant généralement

considérée comme l'une des technologies

d'authentification les plus sûres, car

l'authentification mutuelle entre le client et le

serveur agit en défense contre le phishing et

d'autres types d'attaque similaires ».

CONCLUSION

Les services informatiques font face à de

nombreux défis dans leur mission pour protéger

leur organisation, ses données et ses clients, tout

en assurant sa conformité aux nombreuses

régulations en vigueur. L'approche optimale

implique que l'organisation s'éloigne des actions

réactives du quotidien et évalue ses besoins,

ainsi que les objectifs de sécurité sur le long

terme. Après avoir établi une documentation

officielle et un système de compte rendu

régulier, l'organisation doit choisir les

technologies les plus adaptées pour atteindre

ces objectifs. Un modèle fondé sur les meilleures

pratiques garantit qu'une organisation peut

rester souple et sûre en même temps.

L'authentification aux réseaux au moyen de

certificats est un investissement technologique

qui n'affecte pas la productivité des utilisateurs

et améliore la position de l'organisation en

termes de sécurité. Cette solution est facile à

déployer et peut optimiser les pratiques

d'authentification sur les PC autant que sur les

appareils portables. Elle est également

supérieure aux autres méthodes

d'authentification car elle offre plusieurs

facteurs de sécurité sans que les utilisateurs

n'aient à transporter un appareil supplémentaire

ou à limiter leur connexion à certains

emplacements.

Peu importe l'objectif de conformité ou le

secteur, l'authentification aux réseaux au moyen

de certificats répond au besoin pour un système

d'authentification solide et à plusieurs facteurs,

tout en assurant que la technologie reste

facilement accessible, dynamique et mobile.

Il est évident que l'authentification aux réseaux

au moyen de certificats peut représenter une

part importante d'un processus et d'une

stratégie complète de sécurité de l'information.

COMMENT GLOBALSIGN PEUT

VOUS AIDER ?

Maintenant que vous connaissez les avantages

et les possibilités de l'authentification aux

réseaux au moyen de certificats, pourquoi ne pas

l'implémenter ?

GlobalSign est un leader international dans le

secteur des solutions de sécurité de

l'information. Elle peut fournir à votre

organisation les outils et talents nécessaires à la

mise en œuvre d'une telle solution. Grâce à sa

plate-forme de gestion basée sur le Web, connue

sous le nom d'EPKI (Enterprise PKI), GlobalSign

vous permet de gérer facilement toutes les

activités liées aux certificats numériques de

votre organisation. De fait, GlobalSign offre

plusieurs produits et services qui peuvent aider

votre organisation à accélérer son processus

d'implémentation d'une stratégie de sécurité de

l'information fondée sur les meilleures

pratiques.

LIVRE BLANC GLOBALSIGN

PORTE-FEUILLE PRODUITS DE

GLOBALSIGN

• Les certificats SSL pour la protection des

sites web et la promotion de la sécurité du

commerce électronique

• Les certificats d'authentification pour

l'accès aux services du cloud, tels que les

applications Google et Microsoft SharePoint

• Les certificats numériques pour les

personnes et les organisations pour la protection

de l'intégrité et de l'authenticité des documents

et des e-mails grâce aux signatures numériques

et à la certification

• Les certificats de signature de code pour

la protection de l'intégrité du code des logiciels

et applications partagés sur Internet

• Les solutions de chiffrement de données

POURQUOI CHOISIR GLOBALSIGN ?

• Pour son historique d'innovations en

sécurité et de confiance : plus de 20 millions de

certificats dans le monde dépendent de la

confiance publique du certificat racine de

GlobalSign. La PKI de confiance de GlobalSign est

en opération depuis 1996 et l'entreprise est

accréditée WebTrust depuis plus de 12 ans.

• Pour son engagement à offrir un service

client supérieur : lorsque vous appelez

GlobalSign vous parlez à de vraies personnes.

• Pour sa présence internationale :

GlobalSign possède des bureaux d'assistance

technique aux quatre coins du monde, et vous

garantit des temps de réponse rapides et des

solutions adaptées à votre langue, votre région

et votre pays.

EN SAVOIR PLUS SUR NOS

SOLUTIONS

D'AUTHENTIFICATION Appelez-nous ou envoyez-nous un e-mail dès

aujourd'hui pour parler à l'un de nos experts qui

aidera votre organisation à établir une stratégie

fondée sur les meilleures pratiques et vous offrira

les outils nécessaires à son implémentation. Pour

plus d'information, vous pouvez également

visiter notre site web sur

www.globalsign.fr/authentification

LIVRE BLANC GLOBALSIGN

A PROPOS DE GLOBALSIGN

GlobalSign est l'une des plus anciennes Autorités de Certification et fournit des services d'identification

numérique depuis 1996. Ses équipes basées à Londres, Bruxelles, Boston, Tokyo et Shanghai assurent un

service d'assistance commerciale et technique en plusieurs langues.

GlobalSign est depuis longtemps soutenue par de nombreux investisseurs comme ING Bank et Vodafone.

Elle fait partie du groupe GMO Internet Inc., entreprise publique cotée à la prestigieuse bourse de Tokyo

(TSSE : 9449) et qui compte parmi ses actionnaires les sociétés Yahoo! Japon, Morgan Stanley et Crédit

Suisse First Boston.

En tant que leader dans le domaine des services de confiance publique, les certificats GlobalSign sont

reconnus par la plupart des navigateurs, systèmes d'exploitation, appareils et applications. Cela inclut les

certificats SSL, les signatures de code et de documents, la sécurisation des e-mails, l'authentification, les

solutions numériques pour les entreprises, la gestion PKI et la signature racine des services de certificats

Microsoft. Les certificats de racine de confiance de GlobalSign sont reconnus par tous les systèmes

d'exploitation, par les principaux navigateurs, serveurs Web, clients de messagerie et applications

Internet, ainsi que par tous les appareils portables.

Un niveau d'accréditation maximum

En qualité d'Autorité de Certification publique accréditée WebTrust, nous proposons à des milliers

d'entreprises des solutions pour mener en toute sécurité leurs transactions et transferts de données en

ligne. Nos solutions leur permettent de partager du code impénétrable et d'associer des identités à des

certificats numériques pour le chiffrement S/MIME des e-mails et l'authentification à distance à deux

facteurs, comme avec les VPN SSL.

GlobalSign France

Tél. : +33 1 82 88 01 24

www.globalsign.fr

ventes@globalsign.com

GlobalSign Allemagne

Tél. : +49 800 7237980

www.globalsign.de

verkauf@globalsign.com

GlobalSign Pays-Bas

Tél. : +31 85 8882424

www.globalsign.nl

verkoop@globalsign.com

GlobalSign Royaume-Uni

Tél. : +44 1622 766766

www.globalsign.co.uk

sales@globalsign.com

GlobalSign Russie

Tél. : +7 (495) 972 46 33

www.globalsign.ru

sales@globalsign.com

GlobalSign Europe

Tél. : +32 16 891900

www.globalsign.eu

sales@globalsign.com