Upload
zdnet-france
View
707
Download
1
Embed Size (px)
DESCRIPTION
Les organisations se sont jusqu’ici principalement concentrées sur la gestion des pare-feu et logiciels antivirus, mais très peu se sont penchées sur la question d’une connexion sécurisée à leurs réseaux. Un tout nouveau défi pour l’expert en sécurité de l’information, avec la transition des données vers le Cloud et la tendance du BYOD. GlobalSign vous explique donc ce qu’est l’authentification aux réseaux au moyen de certificats et souligne son avantage et ses profits.
Citation preview
LIVRE BLANC GLOBALSIGN
L'authentification, par GlobalSign
Pour la mise en place d'une stratégie de sécurité de l'information complète et efficace grâce aux
certificats d'authentification aux réseaux.
LIVRE BLANC GLOBALSIGN
John B Harris,
Expert en sécurité
Pour GMO GlobalSign Ltd.
www.globalsign.fr
LIVRE BLANC GLOBALSIGN
TABLE DES MATIERES
INTRODUCTION ................................................................................................................................. 3
TROUVER LE BON CHEMIN ................................................................................................................. 3
L'AUTHENTIFICATION AUX RÉSEAUX AU MOYEN DE CERTIFICATS ........................................................ 5
QU'EST-CE QUE C'EST ? ............................................................................................................................. 5
COMMENT CA MARCHE ? ......................................................................................................................... 5
A QUOI DOIVENT S'ATTENDRE LES UTILISATEURS ? ................................................................................. 6
COMMENT SE PLACE-T-ELLE PAR RAPPORT AUX AUTRES MÉTHODES D'AUTHENTIFICATION
D'UTILISATEURS ET DE RÉSEAUX ? ............................................................................................................ 6
COMMENT L'AUTHENTIFICATION AUX RÉSEAUX AU MOYEN DE CERTIFICATS RÉPOND-ELLE AUX
BESOINS DES ORGANISATIONS ? ........................................................................................................ 9
HIPPA (HEALTH INSURANCE PORTABILITY AND ACCOUNTABILITY ACT) .................................................. 9
NORME PCA DSS POUR LE SECTEUR DU PAIEMENT PAR CARTE ............................................................ 10
RECOMMANDATIONS DU FFIEC (FEDERAL FINANCE INSTITUTIONS EXAMINATION COUNCIL) SUR
L'AUTHENTIFICATION .............................................................................................................................. 10
CONCLUSION ................................................................................................................................... 11
COMMENT GLOBALSIGN PEUT VOUS AIDER ? ................................................................................... 11
PORTE-FEUILLE PRODUITS DE GLOBALSIGN ........................................................................................... 12
POURQUOI CHOISIR GLOBALSIGN ? ....................................................................................................... 12
EN SAVOIR PLUS SUR NOS SOLUTIONS D'AUTHENTIFICATION ........................................................... 12
A PROPOS DE GLOBALSIGN .............................................................................................................. 13
LIVRE BLANC GLOBALSIGN
INTRODUCTION
Les organisations s'étant longtemps focalisées
sur les pare-feu et les logiciels antivirus en
périphérie de leurs réseaux doivent désormais
prendre en charge les données de leurs clients
en transition vers le cloud, des employés
utilisant leurs appareils portables sur leur lieu de
travail (et s'attendant à ce que ceux-ci soient
acceptés), ainsi que des hackers cherchant à
remporter la fuite de données la plus
mémorable ou des informations bancaires.
Cela représente un vrai défi pour l'expert en
sécurité de l'information qui doit déjà faire
beaucoup avec peu de moyens. La sécurité de
l'information exige des réponses à des questions,
telles que :
• Étant donné le nombre de menaces et le
nombre de technologies disponibles pour
contrer ces menaces, comment puis-je savoir
laquelle choisir en priorité et quelles sont les
meilleures solutions pour mon organisation ?
• Comment puis-je établir une stratégie qui va
m'aider à atteindre mes objectifs de conformité
tout en garantissant que mon entreprise sera
protégée contre les imprévus ?
• Un produit ou un ensemble de produits
peuvent-ils m'aider à me conformer aux
régulations clés et peuvent-ils remédier aux
menaces auxquelles mon organisation pourrait
être confrontée ?
• Dans quelles technologies dois-je investir qui
soient abordables et faciles à utiliser, mais aussi
efficaces en termes de sécurité ?
Ce livre blanc a pour but d'aider les organisations
à aborder leur situation de la meilleure façon
qu'il soit, en commençant par mettre en place
une stratégie de sécurité de l'information fondée
sur les meilleures pratiques. Il décrit en quoi
investir dans un système d'authentification aux
réseaux au moyen de certificats peut être un
premier pas décisif pour garantir une activité
plus sécurisée et plus souple pour les
organisations.
Ce livre blanc explique également ce qu'est
l'authentification aux réseaux au moyen de
certificats, comment elle fonctionne et en quoi
elle diffère des autres solutions de gestion
d'identités et d'accès les plus communes.
Enfin, ce texte souligne en quoi un tel système
est avantageux pour votre organisation et
comment vous pouvez en tirer profit.
TROUVER LE BON CHEMIN
Mettre en place une stratégie efficace en
matière de sécurité de l'information est devenu
un objectif dynamique pour les organisations.
Les experts en sécurité de l'information doivent
constamment s'adapter à de nouvelles
conditions, afin de se conformer aux besoins de
leurs clients et de leur entreprise, tels que la
stabilité du système et du temps de
fonctionnement, les réglementations pour la
protection des données personnelles, ainsi que
les exigences d'audit en termes de continuité
dans les cas de catastrophes naturelles ou
d'attaques terroristes. De plus, il est essentiel de
satisfaire les utilisateurs et l'équipe de direction
d'un point de vue budgétaire. Et ce n'est pas
chose facile.
Face à cette montagne de responsabilités, il n'est
pas surprenant que les meilleures pratiques
soient évincées au profit de solutions pratiques
selon les besoins qui se présentent. Plutôt que
de prendre le temps de voir en quoi leur activité
peut représenter un avantage majeur pour leur
LIVRE BLANC GLOBALSIGN
organisation en termes de protection sur le long
terme, les experts en sécurité de l'information
choisissent des solutions qui ont un impact
immédiat (ou semblent avoir un impact
immédiat) sur une menace ou un objectif de
conformité spécifique. Malheureusement, ces
solutions provisoires ne sont pas suffisantes
pour gérer les problèmes bien plus importants et
les nouvelles réglementations sur le long terme.
L'approche réactive peut-être attirante car, d'un,
elle est plus facile à mettre en œuvre, et de deux,
elle permet de faire preuve de réactivité auprès
de la direction, qui, parfois, a tendance à se
concentrer sur le court terme dans les
négociations budgétaires. Cependant, en
conservant cette approche, votre organisation
dépense bien plus d'argent sur le long terme,
ainsi que le temps de ses employés, et, au final,
les profits éventuels réduisent à force de
changements dans l'infrastructure.
Par exemple, une entreprise devant se
conformer aux dispositions de sécurité de
l'HIPAA (Health Insurance Portability and
Accountability Act) peut tout simplement
contacter des fournisseurs en déclarant que ses
produits sont conformes, puis acquérir et mettre
en place ces technologies, afin de se conformer
aux exigences de l'HIPAA. Ce qui manque dans ce
processus est la façon dont ces technologies
pourraient être utilisées pour répondre aux
autres besoins de conformité de l'organisation et
gérer les dangers émergents, tels que les
menaces persistantes avancées.
Il est possible que l'organisation doive se défaire
de son achat initial ou le remodeler entièrement
pour ne pas avoir anticipé ce qui arrivait à grands
pas. Cela a été confirmé par l'enquête
internationale 2011 d'Ernst & Young sur la
sécurité de l'information qui montre que dans
les 18 mois qui ont précédé l'enquête, 31 % des
sondés avaient acheté du matériel ou des
programmes qui ont échoués dans leur mission
ou se sont avérés insuffisants.
Cette approche peut également entraîner une
confiance inappropriée dans la position réelle de
l'organisation en termes de sécurité de
l'information. Selon l'enquête internationale
2012 de Price Waterhouse Cooper sur l'état de la
sécurité de l'information, plus de 70 % des
sondés ont indiqué qu'ils étaient confiants que
leur système est efficace, mais seulement 37 %
ont indiqué qu'ils avaient mis en place une
stratégie de sécurité pour les appareils
portables, probablement l'un des défis les plus
importants pour les services informatiques.
Enfin, seulement 52 % des sondés de l'enquête
Ernst & Young ont répondu que leur stratégie de
sécurité était certifiée.
Si la « stratégie » d'une organisation est de
simplement réagir aux menaces et aux exigences
qui se présentent, alors cette organisation est
comme une balle de flipper, à rebondir entre les
menaces et les réglementations. Les
organisations doivent prendre le temps de
développer et mettre en place une politique de
sécurité fondée sur les meilleures pratiques,
telles que l'authentification des utilisateurs, la
détection d'intrusion aux réseaux, la prévention,
la continuité d'activité, la préparation aux
catastrophes, la formation des employés et le
développement de leurs connaissances, la
détection de malware, la prévention contre la
perte de données et le chiffrement de données.
Cette stratégie et politique de sécurité doit
également adapter ces meilleures pratiques, afin
de se conformer aux exigences de l'organisation,
tout en évitant que les utilisateurs ne soient
affectés. Les utilisateurs, les partenaires et les
clients, mécontents de devoir être confrontés à
de nombreux contrôles trop compliqués ou
LIVRE BLANC GLOBALSIGN
inutiles à la tâche qu'ils doivent accomplir, ont
tendance à ralentir l'activité de l'organisation, la
rendant ainsi moins agile et moins productive.
Établir une stratégie globale fondée sur les
meilleures pratiques est la première et la plus
importante étape à compléter. Les organisations
doivent ensuite choisir l'équipement nécessaire
pour atteindre les objectifs de leur stratégie.
L'interopérabilité de ces technologies doit être
garantie. Elles doivent parer différentes
menaces, répondre aux attentes de
l'organisation, être conformes aux régulations
présentes et futures, et ne doivent pas affecter
les utilisateurs et les systèmes déjà en place.
La gestion des identités et des contrôles d'accès
est une zone clé dans un système de sécurité
fondé sur les meilleures pratiques. L'authen-
tification aux réseaux au moyen de certificats est
un bon exemple d'une solution facile à mettre en
œuvre et simple à comprendre pour les
utilisateurs. Elle répond aux exigences et
s'adapte aussi bien aux PC qu'aux appareils
portables et au cloud.
L'AUTHENTIFICATION AUX
RÉSEAUX AU MOYEN DE
CERTIFICATS
QU'EST-CE QUE C'EST ?
L'authentification aux réseaux au moyen de
certificats consiste à utiliser un certificat
numérique pour identifier, sur un réseau, un
utilisateur et souvent un ou plusieurs appareils
utilisés par un utilisateur connu. Elle est souvent
déployée en plus des méthodes
d'authentification traditionnelles, telles que
l'utilisation de la paire nom d'utilisateur/ mot de
passe.
L'authentification aux réseaux au moyen de
certificats peut à elle seule vérifier si des
appareils connectés au réseau d'une
organisation sont ceux qui y ont été
préalablement autorisés. Lorsque l'authen-
tification au moyen de certificats est combinée à
l'authentification d'utilisateur, les organisations
peuvent voir clairement que l'utilisateur A s'est
connecté à partir de l'ordinateur portable B et
peuvent vérifier si cet ordinateur est de fait
enregistré au nom de l'utilisateur A. Si oui,
l'utilisateur est autorisé à accéder au réseau à
partir de cet appareil.
Les certificats numériques utilisés sont les
mêmes que tout autre certificat numérique que
vous utilisez peut-être déjà au sein de votre
organisation, afin de sécuriser les services web
(SSL) ou signer les e-mails et documents
(signatures numériques). Cependant, dans le cas
du certificat d'authentification, celui-ci est
associé à un appareil et non pas à un serveur ou
une personne.
COMMENT CA MARCHE ?
Tout d'abord, un administrateur doit générer et
assigner des certificats aux appareils de son
organisation. Généralement, cela se fait à
travers un portail de gestion de certificats ou un
service de gestion basé sur le Web.
L'administrateur configure son répertoire
d'utilisateurs, ainsi que les systèmes de sécurité
du ou des réseaux, afin que les utilisateurs et
appareils donnés soient reconnus pour
l'authentification, et ce, en important leur
certificat numérique. Les appareils sont
également configurés avec les certificats des
serveurs.
Lorsqu'un utilisateur cherche à se connecter au
réseau, une demande d'accès est envoyée au
LIVRE BLANC GLOBALSIGN
réseau depuis l’appareil. Les messages sont
chiffrés, envoyés, déchiffrés et renvoyés entre
l'appareil et le serveur. Ce processus de
handshake continue entre l'appareil et le réseau
jusqu'à ce qu'ils soient tous les deux satisfaits du
fait que les messages qu'ils se sont envoyés ont
été correctement déchiffrés et les identifiants
sont sûrs.
L'authentification mutuelle garantit que
l'appareil se connecte au bon réseau (car
seulement ce réseau peut déchiffrer le message
envoyé avec ses identifiants) et que le serveur
peut également vérifier que l'appareil qui se
connecte est le bon (car seulement cet appareil
peut déchiffrer le message envoyé avec ses
identifiants).
Une fois l'authentification complétée, le serveur
peut donner accès à l'appareil ou demander des
méthodes d'authentification d'utilisateur sup-
plémentaires selon le type de données ou de
serveur recherché.
A QUOI DOIVENT S'ATTENDRE LES
UTILISATEURS ?
L'impact sur les utilisateurs est minime, voire
inexistant. Le déploiement de certificats est
relativement avancé dans la plupart des
systèmes d'exploitation d'aujourd'hui ; les
utilisateurs n'ont généralement rien à faire eux-
mêmes. Ils devront continuer à s'authentifier au
réseau comme ils l'ont toujours fait, en utilisant
des identifiants de connexion. Pendant ce
temps-là, sans que les utilisateurs ne s'en
rendent compte, les identités et les appareils
seront authentifiés grâce à des identifiants
assurés par les certificats.
L’authentification aux réseaux au moyen de
certificats nécessite que l'appareil soit conservé
dans un endroit sécurisé, afin que les identifiants
ne soient pas effacés ou copiés.
COMMENT SE PLACE-T-ELLE PAR
RAPPORT AUX AUTRES MÉTHODES
D'AUTHENTIFICATION
D'UTILISATEURS ET DE RÉSEAUX ?
L'authentification se décrit généralement en
termes de « facteurs » : quelque chose que l'on
sait (un mot de passe), quelque chose que l'on a
(une clé USB cryptographique) ou quelque chose
que l'on est (une personne avec des empreintes
digitales). L’authentification à un facteur a
tendance à être la norme, mais se reposer sur un
seul facteur signifie que votre réseau et vos
systèmes ont un point unique de défaillance et
peuvent être facilement victime de phishing et
d'autres types d'attaque.
Lorsque différents facteurs d'authentification
sont utilisés ensemble, ils offrent plusieurs
couches de protection qui réduisent les risques
d'attaque d'un système. Cependant, accumuler
les facteurs ne garantit pas que votre
organisation va être plus sécurisée tout d'un
coup. Les organisations doivent prendre en
compte l'impact sur les utilisateurs, les risques
encourus et bien d'autres aspects.
Dans la mesure où l'authentification aux réseaux
au moyen de certificats peut être mise en œuvre
sans que cela n'affecte les utilisateurs,
l'authentification à plusieurs facteurs est aussi
simple que lorsque vos utilisateurs se
connectent sur l'appareil qui leur est assigné
avec leur nom d'utilisateur et leur mot de passe.
Les certificats numériques d'un appareil, par
exemple, correspondent au « quelque chose que
l'on a », et l'appareil est intégré à
l'authentification, au même titre que le nom et
LIVRE BLANC GLOBALSIGN
le mot de passe de l’utilisateur (quelque chose
que l'on sait).
Cela n'est pas forcément le cas pour les autres
formes d'authentification qui peuvent exiger que
les utilisateurs transportent d'autres types
d'appareils ou complètent des étapes
d'authentification supplémentaires. Quelles sont
les autres méthodes d'authentification ?
• Les clés USB cryptographiques à mot de
passe unique doivent être transportées par
l'utilisateur et sont constituées d'un petit écran
qui affiche un numéro unique généré au hasard
par la clé. Pour se connecter, l'utilisateur entre
ce nombre en plus d'un code PIN et, souvent, de
son mot de passe. Le code PIN supplémentaire
permet d'éviter que la clé ne soit volée et utilisée
par une autre personne. Ces clés correspondent
au facteur « quelque chose que l'on a » mais
elles peuvent être facilement perdues par les
utilisateurs qui en sont responsables et donc
empêcher ceux-ci de se connecter dans des
moments critiques. Les solutions à mot de passe
unique sont désormais disponibles sous forme
d'application sur le téléphone portable des
utilisateurs, mais cela implique que ces derniers
doivent avoir leur téléphone avec eux et chargés
à chaque fois qu'ils souhaitent se connecter. De
plus, il n'est pas toujours évident d’alterner
entre différentes applications lorsque les
utilisateurs cherchent à se connecter au réseau
depuis leur appareil portable.
• L'authentification par SMS dépend de la
capacité d'un téléphone portable à pouvoir y
ajouter un deuxième facteur. Les systèmes
d'authentification par SMS envoient un message
sur le téléphone portable de l'utilisateur après
qu'il se soit connecté avec son nom d'utilisateur
et son mot de passe. Il doit ensuite entrer le
message lorsque cela lui est demandé. Tout
comme les applications de système à mot de
passe unique, l'authentification par SMS
implique que l'utilisateur ait accès à son
téléphone portable lorsqu'il se connecte. Elle
peut également représenter certaines difficultés
lorsque l'utilisateur cherche à se connecter à une
autre application.
• L'authentification hors bande implique
que l'utilisateur ait accès à son téléphone
portable ou à un autre téléphone. Pendant le
processus d'authentification, en effet, il reçoit un
appel et doit entrer un numéro ou répéter une
courte phrase prédéterminée. Selon sa réponse,
le système lui autorise l'accès. Dans la mesure où
l'authentification hors bande exige que
l'utilisateur prenne un appel sur son téléphone,
cela peut perturber les autres employés ou
s'avérer impossible en fonction de
l'emplacement de l'utilisateur (zone sans réseau,
etc.).
• Les cartes à puce et clés USB contenant
des certificats numériques qui permettent
d'identifier l'utilisateur offre plusieurs facteurs
d'authentification en même temps. En effet,
cette solution requiert la possession d'une carte
ou d'une clé et d'un mot de passe pour
débloquer les certificats sur l'appareil
(généralement un pour l'appareil et un pour
l'utilisateur). L'authentification biométrique est
également une possibilité (voir ci-dessous). Les
cartes à puces peuvent être personnalisées, afin
d'y inclure la photo de l'utilisateur, son nom et
son poste, et ainsi être utilisées non seulement
comme méthode d’authentification logique mais
également physique, pour entrer dans le
bâtiment, par exemple. A l'heure actuelle, ce
système est l'une des formes d'authentification
les plus sûres, mais il a un prix. L’utilisateur doit
transporter sa carte ou sa clé USB et la présenter
chaque fois qu'il cherche à se connecter. Une
carte à puce s'accompagne souvent d'un lecteur
LIVRE BLANC GLOBALSIGN
de carte. Les cartes à puce et les clés USB sont
compliquées à utiliser sur un appareil mobile qui
souvent ne possède pas de lecteur ou de port
USB, bien qu'il existe des systèmes qui se
branchent à l'appareil et permettent à
l'utilisateur d'y connecter sa carte.
• L'authentification biométrique
correspond au troisième facteur
d'authentification : quelque chose que l'on est
(une personne avec des empreintes digitales, un
visage, des iris ou bien encore une signature
manuscrite). Il existe d'autres formes de
biométrie encore plus exotiques, telles que la
structure des veines. Évidemment, il est plutôt
compliqué, voire impossible, de répliquer ces
caractéristiques. Cependant, l'authentification
biométrique présente trois problèmes majeurs :
o La disponibilité des capteurs sur les
différents appareils auxquels l'utilisateur
cherche à accéder : son ordinateur portable
peut très bien posséder un lecteur
d'empreintes digitales, mais pas sa tablette.
Même lorsque des capteurs similaires
existent (ex : webcams et caméras de face
sur les appareils mobiles), ceux-ci ne sont
parfois pas assez puissants pour l'analyse
biométrique, telle que la reconnaissance
faciale.
o L'environnement dans lequel l'analyse
biométrique est effectuée : la main de
l'utilisateur pourrait être gantée lorsqu'il
doit passer son doigt sur le lecteur
d'empreinte digitale, ou il pourrait être dans
une pièce sombre lorsqu'il doit
s'authentifier par reconnaissance faciale.
o La vie privée : les utilisateurs peuvent ne
pas être à l'aise à l'idée d'avoir leur
empreinte ou leur visage enregistrés sur ces
appareils.
Méthode
d'authentification
Appareil
physique
supplémentai
re requis
Téléphone
portable
De
l'utilisateur
requis
Actions
supplémentai
res
pour
l'utilisateur ?
Sécurité par
rapport à
l'authentifi-
cation aux
réseaux au
moyen de
certificats
Authentification
aux réseaux au
moyen de
certificats
NON
NON
NON
‐‐
Nom
d'utilisateur et
mot de passe
NON
NON
NON
‐
Mot de passe
unique1
OUI
PEUT-ETRE
OUI
=
SMS
NON
OUI
OUI
=
Hors-bande
NON
OUI
OUI
=
Carte à puce/
clé USB
YES
NON
OUI
+
Biométrie2
PEUT-ETRE
NON
PEUT-ETRE
+
Veuillez noter que rien n'empêche les
organisations à utiliser plusieurs méthodes
d'authentification de la liste ci-dessus pour
garantir des niveaux de sécurité plus élevés. De
fait, l'utilisation d'un système d'authentification
aux réseaux au moyen de certificats améliorera
toujours la sécurité d'un processus
d'authentification sans affecter l'utilisateur. Le
niveau d'authentification doit être régulé selon
les risques évalués par l'organisation pour un
réseau, un système ou un ensemble de données
particulier.
1 Des clés USB de logiciel à mot de passe unique peuvent être
activées sur un appareil mobile, évitant ainsi à l'utilisateur de
transporter un troisième appareil.
2 La biométrie peut requérir l'acquisition d'un appareil de lecture
supplémentaire (ex : lecteur d'empreintes digitales). Elle peut aussi
être utilisée comme unique méthode d'authentification, mais cela
réduirait le processus d'authentification à un facteur seulement. La
biométrie peut être considérablement plus sûre, mais elle doit tout
de même être utilisée en plus d'une ou plusieurs autres méthodes
d'authentification.
LIVRE BLANC GLOBALSIGN
COMMENT L'AUTHENTIFICATION
AUX RÉSEAUX AU MOYEN DE
CERTIFICATS RÉPOND-ELLE AUX
BESOINS DES ORGANISATIONS ?
Les organisations doivent se concentrer sur des
stratégies de sécurité qui répondent à leurs
attentes en termes de souplesse et de profit,
tout en protégeant correctement leurs données
contre les risques inhérents à un environnement
dynamique. Pour mettre en œuvre ces
stratégies, les organisations doivent investir
dans des technologies qui répondent
efficacement à leurs exigences de sécurité,
réduisent les risques et aident à se conformer
aux diverses réglementations auxquelles elles
sont soumises. Il a été prouvé que
l'authentification aux réseaux au moyen de
certificats offre un système d'authentification à
plusieurs facteurs sans affecter les utilisateurs
d'une organisation : plus de sécurité ne signifie
pas obligatoirement moins de souplesse.
La gestion des accès, l'audit et l'analyse
minutieuse de l'historique d'accès sont
améliorés, tandis que les données et l'accès aux
réseaux peuvent non seulement être associés à
un utilisateur mais également à un appareil
particulier à un moment particulier.
Les appareils portables redéfinissent la façon
dont les consommateurs et les employés
accèdent à du contenu. Les demandes
d'utilisation de smartphones et de tablettes au
bureau et sur la route imposent de nouveaux
défis en matière de sécurité. Alors que de
nombreuses méthodes d'authentification ne
passent pas facilement d'une plate-forme à une
autre, les certificats peuvent être déployés à la
fois sur PC et sur les appareils portables,
permettant ainsi à un seul investissement d'être
utilisé sur de nombreuses plates-formes.
L'authentification aux réseaux au moyen de
certificats peut également être un outil efficace
pour aider les organisations à se conformer aux
exigences d'organismes de régulation clés en
termes d'authentification et de gestion des
accès.
HIPPA (HEALTH INSURANCE
PORTABILITY AND
ACCOUNTABILITY ACT)
Passé en tant que loi en 1996, l'HIPAA a mis en
place de nouvelles règles pour les dossiers
d'assurance et de santé électroniques. La
sécurité et la confidentialité de ces dossiers
constituent l'une des clauses clés de l'HIPAA et a
été publiée en 2003 sous le nom de Règle de
Sécurité (Security Rule).
L'HIPAA recommande que toute organisation qui
conserve des informations de soins de santé, y
compris les prestataires de soins de santé et les
compagnies d'assurance, mette en œuvre divers
contrôles administratifs, techniques et
physiques. Tandis que ces contrôles sont décrits
à un niveau technologiquement « agnostique »,
ils correspondent très bien au modèle de
meilleures pratiques recommandé plus tôt dans
ce texte.
Pour ce qui est de l'authentification, la Règle de
Sécurité exige expressément que les
organisations implémentent un système
d'authentification pour accéder aux
informations de santé protégées.
L'authentification aux réseaux au moyen de
certificats permet de répondre facilement à ces
exigences.
L’autorisation d'accès est également exigée. Les
organisations doivent « mettre en œuvre des
politiques et des procédures, afin de permettre
l'accès aux informations électroniques de santé
LIVRE BLANC GLOBALSIGN
protégées, au travers, par exemple, d'un accès à
un poste de travail, d'une transaction, d'un
programme, d'un processus ou de tout autre
mécanisme »3. Les certificats peuvent être
utilisés de façon à garantir aux utilisateurs
autorisés l'accès aux dossiers des patients à
partir d'ordinateurs spécifiques dans des
espaces protégés ou dans des zones restreintes
du réseau, plutôt que depuis n'importe quel
poste de travail dans le bâtiment.
NORME PCA DSS POUR LE SECTEUR
DU PAIEMENT PAR CARTE
Le secteur du paiement par carte a répondu au
risque de fraude et de perte de carte bancaire en
générant une liste très détaillée d'exigences
relatives à la sécurité des données, et ce, pour
les commerçants, les institutions financières, les
distributeurs de cartes et tout autre type
d'organisation lié au secteur. Publié pour la
première fois en 2004, la norme PCI DSS a depuis
été mise à jour sous la version 2.0.
La norme PCI DSS inclut des recommandations
spécifiques pour les procédures de contrôle
d'accès. Les organisations doivent utiliser au
moins un facteur d'authentification (quelque
chose que l'on sait, que l'on a ou que l'on est)
pour l'accès général, et deux facteurs pour
l'accès à distance aux réseaux. La nature
transparente de l'authentification aux réseaux
au moyen de certificats rend celle-ci idéale pour
aider les organisations à se conformer à cet
aspect de la norme PCI DSS.
3. HIPAA, 45 CFR Part 164.308(a)(4)(2)(B).
RECOMMANDATIONS DU FFIEC
(FEDERAL FINANCE INSTITUTIONS
EXAMINATION COUNCIL) SUR
L'AUTHENTIFICATION
Le FFIEC a publié ses directives en 2001, afin de
mieux protéger les clients des services de
banque électronique contre les menaces
Internet, et ce, en exigeant des institutions
financières qu'elles mettent en œuvre des
mesures plus fortes pour l'authentification des
utilisateurs. En 2005, ces directives ont été mises
à jour et publiées sous le nom
« d'authentification dans l'environnement de la
banque électronique ». Ce document affirme
clairement que le FFIEC « considère
l'authentification à un seul facteur, en tant
qu'unique mécanisme de contrôle, comme étant
inapproprié pour les transactions à haut risque
impliquant l'accès aux informations du client ou
le mouvement de fonds vers d'autres parties ».
De plus, le FFIEC suggère expressément que les
« institutions financières devraient implémenter
un système d'authentification à plusieurs
facteurs, de sécurité en couches ou tout autre
contrôle déterminé pour réduire les risques
évalués ». En accord avec les meilleures
pratiques présentées dans ce document, la FFIEC
poursuit :
Le succès d'une méthode
d'authentification particulière ne dépend
pas que d'une seule technologie. Il dépend
également des politiques, procédures et
contrôles appropriés. Une méthode
d'authentification efficace doit inclure
l'adhésion du client, une performance
fiable, l'extensibilité de s'adapter à la
croissance, et l'interopérabilité avec
d'autres systèmes existants et tout autre
projet à venir.
LIVRE BLANC GLOBALSIGN
Dans la mesure où l'authentification aux réseaux
au moyen de certificats n'affecte pas les
utilisateurs et peut être utilisée sur les PC autant
que sur les appareils portables, elle répond aux
exigences d'adhésion du client, d'extensibilité et
d'interopérabilité.
De fait, l'appendice du guide loue
« l'authentification au moyen de certificats
numériques comme étant généralement
considérée comme l'une des technologies
d'authentification les plus sûres, car
l'authentification mutuelle entre le client et le
serveur agit en défense contre le phishing et
d'autres types d'attaque similaires ».
CONCLUSION
Les services informatiques font face à de
nombreux défis dans leur mission pour protéger
leur organisation, ses données et ses clients, tout
en assurant sa conformité aux nombreuses
régulations en vigueur. L'approche optimale
implique que l'organisation s'éloigne des actions
réactives du quotidien et évalue ses besoins,
ainsi que les objectifs de sécurité sur le long
terme. Après avoir établi une documentation
officielle et un système de compte rendu
régulier, l'organisation doit choisir les
technologies les plus adaptées pour atteindre
ces objectifs. Un modèle fondé sur les meilleures
pratiques garantit qu'une organisation peut
rester souple et sûre en même temps.
L'authentification aux réseaux au moyen de
certificats est un investissement technologique
qui n'affecte pas la productivité des utilisateurs
et améliore la position de l'organisation en
termes de sécurité. Cette solution est facile à
déployer et peut optimiser les pratiques
d'authentification sur les PC autant que sur les
appareils portables. Elle est également
supérieure aux autres méthodes
d'authentification car elle offre plusieurs
facteurs de sécurité sans que les utilisateurs
n'aient à transporter un appareil supplémentaire
ou à limiter leur connexion à certains
emplacements.
Peu importe l'objectif de conformité ou le
secteur, l'authentification aux réseaux au moyen
de certificats répond au besoin pour un système
d'authentification solide et à plusieurs facteurs,
tout en assurant que la technologie reste
facilement accessible, dynamique et mobile.
Il est évident que l'authentification aux réseaux
au moyen de certificats peut représenter une
part importante d'un processus et d'une
stratégie complète de sécurité de l'information.
COMMENT GLOBALSIGN PEUT
VOUS AIDER ?
Maintenant que vous connaissez les avantages
et les possibilités de l'authentification aux
réseaux au moyen de certificats, pourquoi ne pas
l'implémenter ?
GlobalSign est un leader international dans le
secteur des solutions de sécurité de
l'information. Elle peut fournir à votre
organisation les outils et talents nécessaires à la
mise en œuvre d'une telle solution. Grâce à sa
plate-forme de gestion basée sur le Web, connue
sous le nom d'EPKI (Enterprise PKI), GlobalSign
vous permet de gérer facilement toutes les
activités liées aux certificats numériques de
votre organisation. De fait, GlobalSign offre
plusieurs produits et services qui peuvent aider
votre organisation à accélérer son processus
d'implémentation d'une stratégie de sécurité de
l'information fondée sur les meilleures
pratiques.
LIVRE BLANC GLOBALSIGN
PORTE-FEUILLE PRODUITS DE
GLOBALSIGN
• Les certificats SSL pour la protection des
sites web et la promotion de la sécurité du
commerce électronique
• Les certificats d'authentification pour
l'accès aux services du cloud, tels que les
applications Google et Microsoft SharePoint
• Les certificats numériques pour les
personnes et les organisations pour la protection
de l'intégrité et de l'authenticité des documents
et des e-mails grâce aux signatures numériques
et à la certification
• Les certificats de signature de code pour
la protection de l'intégrité du code des logiciels
et applications partagés sur Internet
• Les solutions de chiffrement de données
POURQUOI CHOISIR GLOBALSIGN ?
• Pour son historique d'innovations en
sécurité et de confiance : plus de 20 millions de
certificats dans le monde dépendent de la
confiance publique du certificat racine de
GlobalSign. La PKI de confiance de GlobalSign est
en opération depuis 1996 et l'entreprise est
accréditée WebTrust depuis plus de 12 ans.
• Pour son engagement à offrir un service
client supérieur : lorsque vous appelez
GlobalSign vous parlez à de vraies personnes.
• Pour sa présence internationale :
GlobalSign possède des bureaux d'assistance
technique aux quatre coins du monde, et vous
garantit des temps de réponse rapides et des
solutions adaptées à votre langue, votre région
et votre pays.
EN SAVOIR PLUS SUR NOS
SOLUTIONS
D'AUTHENTIFICATION Appelez-nous ou envoyez-nous un e-mail dès
aujourd'hui pour parler à l'un de nos experts qui
aidera votre organisation à établir une stratégie
fondée sur les meilleures pratiques et vous offrira
les outils nécessaires à son implémentation. Pour
plus d'information, vous pouvez également
visiter notre site web sur
www.globalsign.fr/authentification
LIVRE BLANC GLOBALSIGN
A PROPOS DE GLOBALSIGN
GlobalSign est l'une des plus anciennes Autorités de Certification et fournit des services d'identification
numérique depuis 1996. Ses équipes basées à Londres, Bruxelles, Boston, Tokyo et Shanghai assurent un
service d'assistance commerciale et technique en plusieurs langues.
GlobalSign est depuis longtemps soutenue par de nombreux investisseurs comme ING Bank et Vodafone.
Elle fait partie du groupe GMO Internet Inc., entreprise publique cotée à la prestigieuse bourse de Tokyo
(TSSE : 9449) et qui compte parmi ses actionnaires les sociétés Yahoo! Japon, Morgan Stanley et Crédit
Suisse First Boston.
En tant que leader dans le domaine des services de confiance publique, les certificats GlobalSign sont
reconnus par la plupart des navigateurs, systèmes d'exploitation, appareils et applications. Cela inclut les
certificats SSL, les signatures de code et de documents, la sécurisation des e-mails, l'authentification, les
solutions numériques pour les entreprises, la gestion PKI et la signature racine des services de certificats
Microsoft. Les certificats de racine de confiance de GlobalSign sont reconnus par tous les systèmes
d'exploitation, par les principaux navigateurs, serveurs Web, clients de messagerie et applications
Internet, ainsi que par tous les appareils portables.
Un niveau d'accréditation maximum
En qualité d'Autorité de Certification publique accréditée WebTrust, nous proposons à des milliers
d'entreprises des solutions pour mener en toute sécurité leurs transactions et transferts de données en
ligne. Nos solutions leur permettent de partager du code impénétrable et d'associer des identités à des
certificats numériques pour le chiffrement S/MIME des e-mails et l'authentification à distance à deux
facteurs, comme avec les VPN SSL.
GlobalSign France
Tél. : +33 1 82 88 01 24
www.globalsign.fr
GlobalSign Allemagne
Tél. : +49 800 7237980
www.globalsign.de
GlobalSign Pays-Bas
Tél. : +31 85 8882424
www.globalsign.nl
GlobalSign Royaume-Uni
Tél. : +44 1622 766766
www.globalsign.co.uk
GlobalSign Russie
Tél. : +7 (495) 972 46 33
www.globalsign.ru
GlobalSign Europe
Tél. : +32 16 891900
www.globalsign.eu