Pourquoi la SSO d’entreprise n’est pas suffisante pour protéger votre organisation

Atténuez les risques créés par la SSO en l’intégrant à un gestionnaire de mots de passe robuste et à la double authentification

Depuis la dernière faille de sécurité d’Okta, de nombreuses entreprises se sont mises à réexaminer leurs protocoles d’authentification. Cet incident nous rappelle que la SSO ne suffit pas à elle seule à protéger une entreprise. Heureusement, des moyens simples existent pour atténuer votre risque.

Les avantages et les risques de l’utilisation de la SSO

Pour une entreprise, la SSO a de nombreux avantages. Par exemple :

• C’est un moyen pratique pour votre entreprise de centraliser les droits d’accès pour tous vos services et outils critiques. Elle réduit également les appels au service d’assistance pour les problèmes liés aux mots de passe.
• Les employés peuvent facilement se connecter à différents systèmes, sites Web et applications avec une seule identité d’entreprise, ce qui leur évite d’avoir à se souvenir de plusieurs mots de passe.
• Pour les équipes informatiques, la SSO permet de répondre à certaines exigences de sécurité et de conformité, car elle leur donne plus de contrôle sur l’accès aux systèmes critiques. La SSO réduit également la surface d’attaque car elle limite la quantité de mots de passe et donc le nombre d’attaques possibles par les cybercriminels.

Cependant, depuis quelques années, il est devenu évident que les protocoles SSO ne sont pas une solution miracle. La SSO a ses limites et ne peut pas protéger, à elle seule, les identifiants de vos employés pour tous leurs comptes de façon fiable.

Les administrateurs doivent cependant prendre en compte les points suivants :

• Certaines applications SaaS ne prennent pas en charge la SSO. Cela signifie qu’il faut alors gérer manuellement ces droits d’accès par le biais d’identifiants individuels, ce qui rend le processus plus long et peut entraîner des erreurs.

• La SSO devient problématique avec le « Shadow IT », ou informatique fantôme, car les employés utilisent ces applications et ces appareils à l’insu et sans supervision de l’équipe informatique.
• La SSO n’est pas prise en charge par les applications grand public utilisées par vos employés, qu’il s’agisse de versions grand public d’applications populaires de partage de fichiers ou des plateformes de réseaux sociaux.

Du point de vue de la sécurité, la SSO engendre également des risques. S’ils ne sont pas gérés correctement, vos protocoles SSO peuvent ouvrir des portes aux pirates. Ainsi, un identifiant SSO compromis ou divulgué d’un employé fournit un point d’entrée vers tous les comptes de celui-ci. À partir de là, un pirate peut accéder à divers systèmes métier sensibles au sein de votre organisation.

Les cybercriminels font évoluer leurs techniques en s’adaptant aux nouvelles tendances. La centralisation de la gestion des identités dans un seul système fait de votre outil SSO une cible de choix pour les pirates. Ceux-ci n’ont qu’à pirater un seul fournisseur pour accéder potentiellement à de nombreux comptes de clients et d’utilisateurs. La récente faille détectée sur Okta en est un bon exemple.

Le risque ne se limite pas à vos employés. Les autres parties prenantes en interne – sous-traitants, stagiaires, associés – qui ont accès à vos systèmes critiques sont concernés, tout comme les services tiers connectés à votre infrastructure interne. Tous ces utilisateurs et systèmes tiers sont des vecteurs potentiels. Dans le cas d’Okta, la faille proviendrait d’un fournisseur qui assurait le service client aux utilisateurs de la plateforme.

Comment atténuer les risques de la SSO

La SSO reste une technique d’authentification efficace lorsqu’elle est associée à une solution robuste de sécurité. Le meilleur moyen de sécuriser tous vos identifiants est d’intégrer la SSO à un gestionnaire de mots de passe. Les gestionnaires de mots de passe sont une solution plus universelle et fonctionnent avec n’importe quel service en ligne ou application cloud et Web.

Un gestionnaire de mots de passe fournit une couche de sécurité supplémentaire pour la longue liste de services non couverts par la SSO.

Outre l’implémentation d’un gestionnaire de mots de passe, complétez votre solution de SSO par une double authentification solide. La double authentification réduit considérablement votre risque de voir les mots de passe volés ou divulgués.

Un outil comme Dashlane vous permet facilement d’intégrer et de gérer la double authentification, avec des fonctions telles que :

• Saisie automatique des codes de double authentification reçus par SMS (pour certaines applications)
• Synchronisation des codes de double authentification sur tous les appareils, une solution pratique pour les employés qui utilisent plusieurs appareils
• Possibilité de partage des codes de double authentification entre employés

Lorsque vous implémentez un gestionnaire de mots de passe, l’adoption de la solution par vos utilisateurs dépend de sa simplicité d’utilisation. Ce critère est très important. En effet, un faible taux d’adoption par les employés signifie que les identifiants non-SSO restent très exposés. Lorsque vous envisagez d’acquérir une nouvelle solution, privilégiez les solutions reconnues pour leur ergonomie grand public et leur facilité d’utilisation.

Recherchez également les fonctionnalités supplémentaires qui peuvent renforcer votre sécurité. Dashlane par exemple, propose des scores de sécurité pour les mots de passe et une surveillance du dark Web. La surveillance de la complexité des mots de passe aide les employés à améliorer leur sécurité de façon proactive, tout en permettant aux administrateurs de vérifier les scores dans l’ensemble de l’entreprise et de sensibiliser les utilisateurs aux bonnes pratiques. Grâce à la surveillance du dark Web, les employés reçoivent une alerte immédiate si leurs identifiants ont été compromis afin de modifier leurs mots de passe sur-le-champ.

Une grande variété d’outils de protection des entreprises existent sur le marché. Mais la protection des identifiants n’a pas besoin d’être si compliquée, les moyens simples d’atténuer les risques SSO sont tout aussi efficaces lorsqu’ils sont implémentés correctement.