Actualité web & High tech sur Usine Digitale

Mode SaaS : comment sécuriser l’accès à l’info ?

Twitter Facebook Linkedin Google + Email
×

Comment combiner l’utilisation d’un portail web de gestion des archives en mode SaaS (Software as a Service) avec le niveau de sécurité exigé par une politique de centralisation des identités et des accès aux documents dans une société ? Hervé Streiff, responsable conformité et sécurité de l’information chez Locarchives, société spécialisée dans l'archivage de données, donne les principales méthodes qui permettent aux entreprises d'assurer leur cybersécurité. 

Mode SaaS : comment sécuriser l’accès à l’info ?
Mode SaaS : comment sécuriser l’accès à l’info ? © dr

Dans un monde informatique de plus en plus ouvert sur l’extérieur, les entreprises souhaitant développer la mobilité de leurs collaborateurs recourent souvent à des solutions en ligne pour la consultation, le stockage et le partage de documents. D’après le rapport "State of It" de Spiceworks (mai 2014), dans une vaste région regroupant l'Europe, le Moyen-Orient, et l'Amérique, 56% des entreprises ont déjà adopté le cloud.

Les avantages des solutions "SaaS"

Techniquement parlant, il s’agit de solutions en mode SaaS (Software as a Service) : le logiciel n’est pas installé sur le poste de travail des collaborateurs, mais est mutualisé pour un ensemble d’entreprises sur une plate-forme technique exploitée par un sous-traitant.

Pour les sociétés, le choix d’une solution SaaS présente plusieurs avantages (coût, simplicité de gestion et évolutivité), mais aussi un inconvénient important. Une application SaaS accessible en ligne sort des murs de protection que la direction des services informatiques de l’entreprise a érigé contre les intrusions extérieures.

L’existence d’un risque sur la sécurité des données

Dans le cas d’un logiciel de gestion et de consultation des archives, cette faille potentielle dans la sécurité des données peut mettre en danger la confidentialité des documents sensibles de l’entreprise : contrats commerciaux, brevets de R&D, dossiers RH ou médicaux… La faille peut même être aggravée par le télétravail et le fait que de plus en plus d'employés utilisent leur propre smartphone, tablette et ordinateur personnel à des fins professionnelles.

Ces terminaux ne sont pas aussi bien sécurisés que les postes de travail de l’entreprise. Or, d’après l’étude Verizon Data Breach Investigation (juillet 2011), le vol des droits d’accès apparaît comme le moyen le plus utilisé pour accéder illégalement aux réseaux des entreprises. Dès lors, comment renforcer la sécurité des documents sensibles stockés en ligne ?

1 : Optimiser vos moyens d’authentification et d’administration traditionnels

Aujourd'hui, 90 % des mots de passe pourraient être piratés en quelques secondes ou en quelques heures, d’après une étude mondiale réalisée par Deloitte. La sécurité offerte par le filtre du login et du mot de passe peut être améliorée par l’opérateur du système d’archivage grâce à une gestion renforcée des authentifications utilisateurs. L’opérateur doit proposer un système d’archivage qui n’est pas en mesure de connaître le mot de passe des utilisateurs, ni de les stocker dans une base données accessible. Son système d’archivage doit en conserver seulement une empreinte partielle et codée, dans une zone sécurisée non connectée à Internet.

L’archiveur doit également proposer à son client des règles de sécurité draconiennes. Une bonne politique de révocation des mots de passe prévoit qu'ils soient périodiquement renouvelés et qu'ils ne soient pas remplacés à l’identique. En cas de départ d’un collaborateur, ils sont supprimés. Le gestionnaire consciencieux contraint aussi l’utilisateur à choisir un mot de passe suffisamment robuste par sa longueur et sa complexité.

2 : Rajouter un dispositif d’authentification forte

Mots de passe : 3 conseils à communiquer aux utilisateurs

1- Utiliser des mots de passe professionnels et personnels différents
2- Utiliser un mot de passe complexe tout en étant mémorisable : minimum 8 caractères, association de caractères alphabétiques et numériques, minuscules et majuscules, intégration de caractères spéciaux
3- Ne jamais communiquer son mot de passe car l’utilisateur engage ainsi sa responsabilité professionnelle

 

Le gestionnaire de la plate-forme d’archivage peut renforcer la sécurité grâce à l’association du login et du mot de passe avec un "token", une clé électronique qu’il faut avoir pour finaliser l’identification. Cette pratique est en nette progression. En effet, d’après l'étude "Global annual authentication" effectuée pat SafeNet en 2014, 56% des entreprises d'adopter une authentification forte pour la majorité de leurs utilisateurs d’ici 2016.

Autrefois intégré à un objet physique comme un badge électronique, le "token" peut aujourd’hui prendre la forme d’une clé logicielle. Dans sa version la plus innovante, cette clé logicielle est dynamique : elle génère un mot de passe à usage unique. Par ailleurs, il est désormais possible de convertir le terminal d’un utilisateur (poste de travail, smartphone, tablette…) en "token". Ils fournissent alors un code valable une minute afin de permettre la connexion.

Cette solution logicielle garantit aujourd’hui le même niveau de sécurité qu’un "token" physique. Elle permet une expérience utilisateur plus simple et une gestion quotidienne plus économique que des badges électroniques.

3 : Relier l’application SaaS au système de gestion des identités interne

Relier l’application SaaS au système de gestion des identités interne  permet d'associer la sécurité de la plate-forme d’archivage et celle de l’entreprise, en lui permettant d’interroger le système de gestion des identités lorsqu’un utilisateur se connecte. Elle a un avantage majeur : elle permet à la société de garder la main sur la gestion des identités et des utilisateurs lors de la demande d’accès à la plate-forme d’archivage.  Cette association garantit en plus la cohérence entre les utilisateurs de la plate-forme et ceux du système informatique de l’entreprise.

Les profils des utilisateurs peuvent être directement créés ou supprimés par la DSI à l’arrivée ou au départ de collaborateurs, sans que cela nécessite de passer par l’archiveur. Une personne qui a quitté l’entreprise se verra automatiquement privé d’accès à la plate-forme d’archivage. Mais ce niveau de sécurité a un prix. Le groupe doit avoir atteint un nombre critique d’utilisateurs pour être amorti car un tel projet doit être réalisé sur mesure du fait de la multitude de protocoles à gérer.

Au-delà des solutions techniques, penser au facteur humain

Mot de passe difficilement violable, clé physique ou logicielle, couplage entre le SI et le Saas… Différentes solutions technologiques de sécurisation des documents sensibles stockés en ligne existent aujourd’hui.  Cependant, pour être totalement efficaces, ces sécurités doivent être acceptées par les collaborateurs de l’entreprise. Dans le cas contraire, ces derniers peuvent être tentés de mettre en place des stratégies de contournement, comme le fameux post-it antisèche collé sur le clavier du poste de travail.

Par Hervé Streiff, responsable conformité et sécurité de l’information chez Locarchives
 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale