Le Single Sign-On permet aux employés d’accéder aux données de l’entreprise en ne s’identifiant qu’une seule fois. En effet, l’essentiel de l’identification est effectué en amont, au sein de l’Active Directory, l’annuaire d’entreprise où sont regroupés tous les identifiants des employés. La solution SSO fait le lien entre cet annuaire et l’interface de l’utilisateur pour autoriser l’accès à ses applications. Le SSO a donc été déployé dans une approche customer-centric mais la solution va plus loin, en réduisant les risques liés à la sécurité des données.

« Certains collaborateurs pensaient, en cas d’absence, faciliter le travail de leurs collègues en leur communiquant leurs mots de passe», témoigne Hervé Pirick, Information Risk Manager chez ING Luxembourg, en charge du projet SSO. « Cette solution renforce la qualité de la sécurité car elle détecte le password-sharing, ce qui n’était pas possible auparavant ». Le SSO permet également d’atteindre un niveau de sécurité supérieur sur des applications « legacy » puisque le mot de passe est généré de manière aléatoire par la solution SSO et non par l’utilisateur, ce qui en renforce la complexité. « Certaines applications ne supportent pas l’intégration avec l’Active Directory, explique Hervé Pirick. Les utilisateurs devaient donc saisir un mot de passe au niveau de ces applications pour pallier ce manque d’intégration. »

(ph: Hervé Pirick, Information Risk Manager chez ING Luxembourg – Photography Raoul Somers)

Une solution non-intrusive

Afin de ne pas mettre en place des solutions qui exigent d’effectuer des modifications lourdes, voire difficilement réalisables, au niveau des applications, ING a fait appel à Steria, qui a mis en place une solution SSO non intrusive, éditée par la société Imprivata. Cette solution est installée en ‘agent’ sur le poste de travail et joue le rôle de ‘pont’ avec l’Active Directory en vue de simplifier l’authentification aux applications et, ainsi, l’accès de l’utilisateur. La conscientisation des utilisateurs, pierre angulaire de la sécurité du système d’information, devrait également se renforcer via le SSO. « Les utilisateurs ne connaissent plus qu’un seul mot de passe qui donne accès à l’ensemble des applications, leur répertoire personnel et leurs emails. Ils se rendent donc davantage compte de l’importance de ne pas le partager. »

Steria a pu apporter une véritable valeur ajoutée. « Nous souhaitions une solution basée sur des « appliances » qui nous offrait « out of the box » 80% des fonctionnalités recherchées. Il restait à intégrer les aspects de monitoring et de back-up aux standards de notre entreprise. Steria nous a aidés à les mettre en oeuvre de manière optimale. »

Ce projet, qui a été réalisé en 70 jours/homme, est rentré en production en août 2008. La solution délivre une authentification simplifiée pour 69 applications, internes à ING Luxembourg ou partagées avec le reste du Groupe ING. « Les applications web-based sont plus simples à mettre en oeuvre, déclare Hervé Pirick. L’effort d’intégration est minimal car le processus est piloté par l’agent. La solution apprend les credentials (username et password), saisis par l’utilisateur, qu’elle rejoue ensuite automatiquement lorsque le même écran apparaît ». Mise à part l’application Swift dont la complexité d’intégration dans le SSO était plus importante, la majorité des applications ont été intégrées facilement, avec le support de Steria. Les équipes d’ING Luxembourg peuvent maintenant configurer elles-mêmes de nouvelles applications dans le SSO.

SSO, plus qu’un accessoire

« SSO peut paraître comme une pièce accessoire mais en réalité, elle est intimement liée à la perception que l’utilisateur peut avoir d’une application. L’organisation doit dès lors assurer une certaine réactivité. » Selon Hervé Pirick, le SSO est complémentaire à l’Identity and Access Management (IAM). « En discutant avec nos pairs, nous avons constaté que beaucoup d’entreprises ont abordé la gestion des accès via un projet d’IAM en cherchant à automatiser l’attribution des rôles aux utilisateurs et gérer ainsi les changement dans l’organisation. C’est important mais ceci a très peu de visibilité pour l’utilisateur. » En revanche, le SSO améliore leur confort et « offre rapidement des résultats tangibles ». Il faut mettre en évidence le fait que « ces projets ne s’opposent pas, ils se complètent ». Au sein d’ING Luxembourg, un projet d’IAM ne s’envisage qu’en collaboration avec le Groupe car il s’agit de gérer les privilèges de manière globale.

La sécurité renforcée

Dans le futur, ING Luxembourg envisage d’améliorer davantage la sécurité des accès, dans le respect de l’équilibre nécessaire avec la facilité d’utilisation. La banque s’intéresse ainsi de plus près à une possible mutualisation des contrôles d’accès physique et logique, c’est-à-dire entre les cartes d’accès aux bâtiments et les cartes d’authentification. « Nous pourrions mieux détecter qui est réellement dans le bâtiment et n’autoriser l’accès aux applications que lorsque cela est nécessaire. » ING Luxembourg réfléchit également à une solution de ‘self-service password recovery’, par laquelle l’utilisateur pourra recouvrer l’accès aux applications en répondant à quelques questions, s’il a oublié son mot de passe. « Nous veillerions évidemment dans ce cadre, à mettre en oeuvre les contrôles compensatoires requis, nous permettant de faciliter le quotidien de nos collaborateurs, sans augmenter les risques d’usurpation d’identité. »

« L’éclairage qu’apporte ING Luxembourg par la voix de M. Pirick en honore tous les acteurs, déclare Charles Mandica, Directeur Général de Steria PSF Luxembourg. Ce témoignage atteste l’excellent travail que les équipes d’ING et Steria ont réalisé. Je suis convaincu que cet ambitieux projet sera un référentiel gagnant pour d’autres acteurs majeurs de la place de Luxembourg et au-delà.»