Des jetons USB contrôlent l'accès aux applications

30/06/2006 à 00h00

Les jetons d'authentification USB d'Aladdin et le logiciel de SSO d'Avencis aident à identifier tous les salariés du réassureur hexagonal Scor.

Gestion des accès extérieurs satisfaisante, gestion des accès aux applications à revoir. Tels sont les résultats de l'audit de sécurité effectué en 2005 chez Scor par la SSII Telindus. Cotée à la Bourse de New York, l'entreprise doit satisfaire aux règles Sarbanes-Oxley, et donc améliorer ses contrôles internes et d'accès. Henri Guilheut, le RSSI, profite d'un changement de parc de PC planifié sur 25 sites du groupe pour renforcer le système d'authentification.

Compatible avec Active Directory

Jusque-là, celui-ci était protégé par un duo constitué du logiciel de SSO Crytogram de Prologue Software et des jetons d'authentification Rainbow 1000. Face aux incertitudes sur la pérennité de Prologue, Telindus propose une solution alternative, composée du logiciel SSOX d'Avencis et des jetons d'Aladdin. Une maquette réalisée en février 2006 avec Atheos valide le choix et confirme ses avantages. D'abord, contrairement à la solution précédente, ce système d'authentification fonctionne avec l'annuaire d'entreprise Active Directory de Microsoft. Ensuite, les jetons d'Aladdin stockent le login et le mot de passe, mais aussi des certificats. Ce qui laisse à la DSI de Scor le loisir de passer à un système d'infrastructure à clés publiques (PKI) quand elle le décidera. Enfin, ' la solution favorise une administration centralisée et une meilleure visibilité sur les tokens ', affirme Henri Guiheut. Ainsi, en cas de perte du jeton, l'accès aux applications est désactivé. L'un des atouts de SSOX réside également dans une fonction de gestion à distance, idéale pour les petits sites de Scor sans informaticien.L'accès à l'application Peoplesoft comptabilité sociale d'Oracle se voit maintenant contrôlé sur tous les sites de Scor : après l'Europe en janvier et l'Amérique du Nord en avril, depuis peu, le déploiement touche l'Asie. Les applications financières, décisionnelles et des ressources humaines devraient bientôt bénéficier du même traitement. Par ailleurs, les jetons d'authentification sont déjà utilisés pour la gestion des accès distants : les travailleurs nomades s'en servent afin de lancer des sessions en réseau privé virtuel (VPN).Pour l'instant, Scor ne prévoit pas d'augmenter la sécurité de ses accès à l'aide d'un système biométrique : son coût demeure trop élevé par rapport aux bénéfices potentiels. En revanche, l'entreprise devrait améliorer ses techniques de provisioning en mettant en place un méta-annuaire ?" en l'occurrence, MIIS (Microsoft Identity Integration Server). Le RSSI s'intéresse aussi aux nouveaux tokens à mémoire Flash d'Aladdin, qui, outre le login et le mot de passe, proposent un stockage des données personnelles ?" entre autres, les contacts et l'agenda.r.edouard-baraud@01informatique.presse.fr

Scor

Activité : réassurance.
Siège : Paris-la Défense (92).
Effectif : 1 000 salariés.
Résultat opérationnel : 242 M d'euros en 2005.
Résultat net : 131 M d'euros.
Implantation : 130 pays (totalisant 2 000 clients).

1 200 jetons d'authentification USB, d'Aladdin Knowledge Systems.
Solution de SSO (authentification, contrôle d'accès et audit) SSOX, d'Avencis.
Annuaire Active Directory, de Microsoft.
Keepass, pour la gestion des comptes utilisateurs.

Travailler en amont avec chaque responsable dapplication.
Ne pas fonctionner avec un parc de tokens trop important, pour éviter le gaspillage (perte de tokens).
Disposer de compétences fortes sur Active Directory ?" en particulier dans la gestion des ACL (Access Control List).

Renaud Édouard-Baraud