Qu'est-ce que le SSO (Authentification Unique) et qu'est-ce qu’il a de si “unique”?
by Alexandre Dedourges, DevSec
En effet, dans le cadre de votre activité, vous pouvez avoir besoin d’utiliser différents services. Ces services nécessitent souvent que les employés soient authentifiés pour être utilisés. Grâce au SSO, ce processus est simplifié par la centralisation des authentifications. Le SSO est donc destiné aux entreprises pour leur permettre de mieux gérer l’authentification de leurs employés (workforce authentication), ceci à des fins de sécurité et d’expérience utilisateur. Les services informatiques peuvent ainsi mieux gérer les règles de sécurités liées aux mots de passe : création de comptes, départ d’un salarié, modification d’un mot de passe compromis… De plus avec un seul mot de passe à retenir par salarié, le SSO va permettre de limiter fortement les demandes de réinitialisation de mots de passe aux administrateurs.
Le SSO combine donc de nombreux avantages pour les entreprises et leurs employés : sécurité, simplicité, productivité… Il permet ainsi de mieux relever les défis de la cybersécurité en ayant une politique de gestion des mots de passe centralisée.
Pour résumer le SSO, c’est « un mot de passe pour les connecter tous », à vous maintenant de retrouver de quel film est inspiré cette phrase 😉
Petit indice :
Le SSO, un seul mot de passe qui permet de nombreuses authentifications
Le SSO est un outil très pratique dans un monde interconnecté. En effet, cet outil va vous permettre de simplifier grandement vos connexions en entreprise. Vous rencontrez des difficultés avec votre authentification ? Vous travaillez avec de plus en plus de SaaS ? Vous êtes un SaaS et souhaitez fournir vos services au plus grand nombre ? Alors le SSO est fait pour vous.
Premier grand avantage du SSO : celui-ci permet de réduire drastiquement le nombre de mots de passe que vos employés auront à utiliser dans le cadre de leur activité. L’authentification unique va en effet, comme son nom l’indique, permettre l’utilisation d’un unique mot de passe pour plusieurs services.
Prenons un exemple pour illustrer ce propos avec une entreprise de vente :
Cette société a besoin, dans le cadre de son activité, d'accéder à la gestion des stocks via un logiciel, à la gestion des employés via un autre logiciel, et à de nombreux autres services.
Sans SSO : un employé aura besoin de plusieurs mots de passe pour accéder aux différents logiciels et services. Ce qui peut vite devenir un casse-tête à retenir.
Avec SSO : Un employé se connecte sur son SSO (aussi appelé Identity Provider), cet Identity Provider possède une relation dite de confiance avec les différents services (aussi appelé Service Provider). Cette relation de confiance va permettre à l’utilisateur d’être identifié et d'accéder à tous les services de confiance. Dans le cas présent, il pourra alors accéder au logiciel de gestion de stocks et/ou au logiciel de gestion RH, si son entreprise lui en a donné l’accès, via un seul mot de passe.
Le SSO répond donc à la problématique de la multiplication des mots de passe. En 2018 une recherche menée par Dashlane (gestionnaire de mot de passe) et l’université de Virginia Tech a en effet démontré qu’un utilisateur utilisait en moyenne plus de 150 comptes différents. En cette année 2022, ce chiffre pourrait même augmenter jusqu’à 300. C’est donc un nombre de mots de passe tout aussi important qu’il faut pouvoir retenir. Pour maintenir une bonne hygiène numérique, il est nécessaire d’utiliser un seul mot de passe par service et de le changer régulièrement. Or, dans la pratique, selon la même étude, 34 % des utilisateurs réutilisent un même mot de passe sur plusieurs plateformes. Le SSO permet donc d’éviter cela en offrant la possibilité de n’utiliser qu’une seule plateforme pour s’authentifier sur plusieurs services. Ainsi en centralisant l’authentification en un seul point on permet à l’utilisateur de n’utiliser qu’un seul mot de passe.
Le SSO, un seul mot de passe, mais de nombreux avantages
L’avantage le plus important est celui évoqué précédemment : il réduit le nombre de mots de passe. L’utilisation d’un seul et unique mot de passe implique donc pour l’utilisateur une expérience simplifiée et plus agréable. Plus besoin de retenir des dizaines de mots de passe. De plus, l'authentification unique permet de modifier plus simplement son mot de passe régulièrement. En effet, il est plus simple de changer un mot de passe régulièrement que d’en changer des centaines.
Enfin, l'utilisation d’un SSO donne à l’employé l’occasion de se concentrer sur la force de son mot de passe plutôt que sur la simplicité à retenir celui-ci. En utilisant par exemple une « passphrase » ou une phrase mnémotechnique. La passphrase est le type de mot de passe considéré comme le plus sécurisé à ce jour. Par exemple, un mot de passe complexe comme « LyQWZ.bu8cFdpS » est moins sécurisé qu’une passphrase du type « Un SSO pour les connecter tous ! ». Plus un mot de passe est long, plus celui-ci est compliqué à « cracker ».
Le SSO présente donc de nombreux avantages pour vos employés qui verront leur expérience utilisateur grandement améliorée. Mais l’authentification unique présente aussi de nombreux avantages pour les entreprises qui l’adoptent !
L’unicité qu’offre un SSO permet de limiter les soucis liés aux oublis de mot de passe. Ce qui représente un gain de temps pour les entreprises, il y a en effet moins de procédures de récupération de mots de passe. Cela représente donc aussi un coût de gestion amoindri. Selon Gartner, en prenant en compte tous les paramètres (coût lié au temps perdu par l’administrateur et l’employé par exemple), l’oubli d’un mot de passe coûte en moyenne 60 euros aux entreprises. De plus, ils concernent 20 à 50 % des appels destinés aux supports clients. La mise en place d’un SSO permet donc de réduire de 50 % les demandes de réinitialisation de mots de passe.
Enfin, en centralisant les authentifications, le SSO va permettre de simplifier la définition et la mise en place de la politique de sécurité. Par ailleurs, cette centralisation va grandement limiter l’exposition aux failles de sécurité ou aux pannes. L’utilisateur en se concentrant sur la sécurité de son mot de passe va renforcer par la même occasion la sécurité de votre entreprise.
Néanmoins le SSO nécessite tout de même une attention particulière. Il regroupe tous les services d’un utilisateur sous un seul et même identifiant / mot de passe. Cela limite donc la probabilité du risque, mais augmente l’impact qu’il aura si celui-ci survient. C’est donc pour cette raison qu’il faut mettre en place une politique de mot de passe forte. Et, si possible, ajouter une ou plusieurs couches de sécurité au processus d’authentification.
Quelques solutions pour mieux sécuriser le SSO
L’authentification à facteurs multiples
Pour commencer, la façon la plus simple de sécuriser davantage son SSO est d’utiliser des méthodes d’authentification à double facteurs ou à facteurs multiples. Ainsi, selon Microsoft, la mise en place de ce type de sécurité réduit les risques de 99,9 %. Voici quelques exemples de solutions :
- L’authentification par OTP (One Time Password)
L’utilisateur aura besoin, en général, de son téléphone pour garantir que c’est bien lui qui tente de se connecter. Il peut par exemple recevoir un code à usage unique sur son téléphone qui sera à renseigner dans le SSO. Il peut également utiliser une application.
- Le TOTP (Time based OTP)
Semblable à la précédente solution, mais les codes fournis sont d’une courte durée de vie pour chaque service enregistré.
- L’authentification biométrique
L’identification biométrique permet une sécurité renforcée, car elle utilise des paramètres qui sont propres à chaque utilisateur (empreinte digitale, reconnaissance faciale…)
Le SCIM (System for Cross-domain Identity Management)
Le SCIM est un protocole s’alliant parfaitement au SSO. En effet, au fur et à mesure que votre entreprise s’agrandit, prend de l’ampleur et se développe le nombre d'employés qui y travaillent grandit lui aussi. Le nombre d’identités à gérer est donc de plus en plus conséquent et le travail des équipes IT de plus en plus complexe. La mise en place d’un SSO seul ne permet pas de garantir que les identités seront à jour sur tous les services. Quand un nouveau collaborateur vous rejoint ou quand un autre change de nom, ce sont des identités qu'il faut gérer, créer ou mettre à jour. Faire ces changements à la main se révélerait long et fastidieux pour vos équipes IT. Surtout dans le cadre d’un développement rapide de votre entreprise. C’est dans cette situation qu'intervient le SCIM. Le SCIM est un protocole créé en 2011. Il offre la possibilité de ne plus se soucier de la mise à jour des identités. En effet, une fois celui-ci mis en place avec votre SSO, chaque modification d’une identité du côté fournisseur d’identité sera prise en compte et propagée sur tous les services qui consomment ce SSO. Ainsi la sécurité de votre système est conservée. Par exemple, un employé qui a quitté votre entreprise ne pourra plus accéder aux services auxquels il avait accès. Une personne ayant changé de nom de famille suite à un mariage par exemple verra son profil mis à jour sur tous ses services… Pour résumer, le SCIM permet le maintien des données d’identités à jour afin d’éviter tout problème. En effet, ce genre de problèmes surviennent fréquemment d’après une étude menée par Beyond Identity. Celle-ci révèle que 83 % des employés interrogés ont déjà par le passé conservé des accès à leurs anciennes entreprises après l’avoir quittée. De plus, 56 % d’entre eux ont cherché à nuire à leurs anciens employeurs à l’aide de leurs accès conservés. Enfin, 74 % des employeurs déclarent, selon cette étude, avoir été impactés négativement par un employé ayant conservé ses accès. C’est pourquoi la conservation des informations d’identités à jour est primordiale pour les entreprises. C’est ce qu’on appelle la gestion de cycle de vie des identités. De plus, selon l'OWASP (Open Web Application Security Project), les problèmes liés aux contrôles des accès dans les entreprises étaient classés n° 5 en 2017 et n° 1 en 2021. Une bonne gestion des identités est donc très importante et l’utilisation du SCIM grandement recommandée. Si vous voulez en savoir plus à propos du SCIM, n’hésitez pas à consulter notre article.
Le SSO, comment ça marche ?
1.Un employé se rend sur un site ou une application de services nécessaire à son travail (le fournisseur de services / service provider)
2.Pour se connecter l’utilisateur, renseigne ses identifiants comme sur tout site Web ou application. Le fournisseur de services crée ensuite un jeton à partir des renseignements fournis par l’utilisateur. Puis ce jeton est envoyé au SSO (le fournisseur d’identités / identity provider).
3.Si les identifiants fournis par l’utilisateur sont corrects, le fournisseur d'identité les valide. Il envoie ensuite un nouveau jeton vers le fournisseur de services pour valider l’authentification.
4.Le transport de ce jeton du fournisseur d’identités au fournisseur de services se fait via le navigateur de l’utilisateur
5.Ce jeton est ensuite validé par le fournisseur de services qui est uni par une relation de confiance avec le fournisseur d’identités.
6. Quand tout le processus est complété, l'accès au service est donné à l’utilisateur.
SSO VS Social Login
L’authentification unique peut vous sembler familière. En effet, en naviguant sur Internet, on se rend vite compte que de nombreux sites Web proposent de vous authentifier via d’autres plateformes très utilisées (Facebook, Apple, Google…). Ainsi cette méthode de fonctionnement peut faire penser au SSO. Si en pratique le fonctionnement de cette méthode d’authentification est quasiment identique au SSO dans la réalité, celle-ci est appelée Social Login. Elle offre la possibilité à un utilisateur de se connecter aux services qu’il utilise dans la vie de tous les jours (achats en ligne, réseaux sociaux…). Le SSO est différent, car il est utilisé majoritairement dans le cadre d’authentification en entreprise. Ainsi, plutôt que de se connecter via une plateforme telle que Facebook, votre employé se connectera aux services utilisés par votre entreprise via son identifiant d’entreprise. Vous aurez donc la possibilité de gérer les politiques liées au mot de passe et les règles de sécurité qui s’appliqueront.
Dans un monde de plus en plus connecté, les SSO deviennent de plus en plus importants
De plus en plus d’entreprises exigent que les SaaS (Software as a Service ou logiciel en ligne) se connectent à leur système de SSO pour une authentification plus sécurisée et plus fluide pour leurs employés et également pour des problématiques de compliances. Dès lors, un des enjeux pour les SaaS est de devenir « SSO ready », c'est-à-dire d’avoir la capacité à se connecter aux différents types de SSO et d’identity providers qu’ils peuvent rencontrer chez leurs clients ou prospects entreprises. Satisfaire cette exigence est donc à la fois un enjeu de sécurité, mais également un enjeu business pour étendre son marché et contractualiser des clients ayant cette attente. Avec quelques lignes de code, Cryptr peut rendre votre authentification compatible avec tous types de SSO (SAML, ADFS, OIDC) et les identity providers (Okta, Ping Identity, Auth0, OneLogin, Google,...) que vous pourriez rencontrer chez vos prospects ou clients.
Alors prêt à devenir « SSO ready » ? On vous en dit plus chez Cryptr.
Et pour échanger avec nos équipes, vous pouvez réserver le créneau de votre choix en cliquant ici : Rencontrer Cryptr