Africa teaching

Gestion des mots de passe : Parexel combine SSO et RFID



Gestion des mots de passe : Parexel combine SSO et RFID

Pour faciliter et sécuriser l’accès aux applicatifs métiers dans un environnement multidomaine, le groupe du secteur de la santé a déployé un client SSO combiné à une carte à puce RFID auprès de ses 10 000 salariés.

Groupe mondial de sous-traitance pour les secteurs médical, pharmaceutique et biotechnologique, Parexel emploie 10 000 salariés répartis sur 70 sites. En raison de la manipulation de données médicales sensibles, comme des informations patients, Parexel est soumis à certaines obligations réglementaires, notamment en matière de traçabilité.

Pour son activité, Parexel s'appuie sur près de 150 applicatifs métier. Un utilisateur du système d'information dispose d'un compte dans en moyenne une quinzaine de ces applications, et jusqu'à 30 comptes pour certains d'entre eux.

Une quinzaine de comptes en moyenne par utilisateur

Cette complexité n'est pas exempte de contraintes. La gestion des mots de passe est en effet un vrai casse-tête pour les utilisateurs. Or, pour des raisons évidentes de sécurité, il est indispensable pour eux de respecter des bonnes pratiques dans leur définition.

Pour répondre à cette problématique, Parexel a donc décidé de se lancer dans un projet SSO (Single-Sign On) capable de s'intégrer dans son existant en matière de gestion des identités, basé notamment sur Identity Manager et Active Directory.

En amont du projet, Parexel liste plusieurs impératifs. « Nous avions besoin de contrôler aussi bien au niveau physique qu'au niveau logique. La solution devait également être adaptée aux nomades qui représentent 30% de nos utilisateurs, et être administrable de manière centralisée et multidomaine » détaille Marc Jobert, le directeur technique du groupe.

SSO et RFID pour gérer sécurité physique et logique

« Ce que nous cherchions, c'était premièrement une authentification forte avec deux facteurs. Ensuite, nous voulions un client SSO qui s'intègre à notre PKI. Enfin, nous souhaitons un système basé sur une carte à puce. La raison est qu'il nous fallait une solution utilisable par tous. En outre la smartcard devait également être utilisée pour les accès physiques aux locaux ou débloquer sa station ou payer sa cantine le midi » précise-t-il aussi.

Le projet aboutit ainsi au déploiement d'une carte hybride équipée d'une puce RFID et du client SSO de l'éditeur Evidian sur les postes de travail. La carte à puce permet aux salariés d'accéder aux bâtiments, de déverrouiller leur station et stocke différents codes d'accès aux applications. Pour l'utilisateur, il n'est désormais nécessaire que de mémoriser le code PIN de la carte (6 caractères alphanumériques).

« Lorsque nous avons déployé au niveau mondial, nous avions déjà 25 applications standards couvertes. Pour un employé qui avait une dizaine de comptes, il en avait déjà en moyenne une dizaine prise en charge par le SSO. Ils ont pu constater les bénéfices. La pression est venue plus tard lorsque les utilisateurs ont souhaité que le SSO soit étendu aux applications restantes. Mais ce n'est techniquement pas toujours possible », commente Marc Jobert.

La réinitialisation de mot de passe : 5% des requêtes au support

Parexel a également défini un scénario spécifique en cas d'oubli de la carte à puce. L'application Evidian permet ainsi d'activer le client sur la station dans un mode baptisé SOS. L'utilisateur doit alors répondre à une série de questions pour désactiver le SSO et ensuite se connecter aux applications.

Pour des questions de sécurité, l'entreprise a décidé de réduire les actions réalisables par l'utilisateur en mode SOS. La connexion aux applications sensibles sera par exemple impossible. Toutefois, grâce à des outils d'administration, il demeure possible, lorsque les conditions l'exigent, d'accorder au salarié un accès temporaire.

En ce qui concerne l'accès distant depuis un poste banalisé, il est par principe banni. Des exceptions sont cependant tolérées selon le profil de l'utilisateur (marketing, conférenciers), mais restent limitées à la messagerie électronique.

En termes de bénéfices, Marc Jobert note un fonctionnement efficace en environnement multidomaine, une traçabilité des accès et une simplification dans la gestion des mots de passe pour les utilisateurs et la connexion aux applications métier.

« Le service support a lui aussi bénéficié de ce déploiement du SSO. Précédemment, la réinitialisation de mots de passe représentait 40 à 50% des requêtes reçues par le support. Aujourd'hui, cette valeur est  tombée en-dessous de 5% », apprécie le directeur technique de Parexel

Les propos ont été recueillis à l'occasion des Assises de la sécurité qui se sont tenues à Monaco du 7 au 9 octobre 2009.

Par Christophe Auffray, ZDNet France


11/11/2009
1 Poster un commentaire

A découvrir aussi


Inscrivez-vous au blog

Soyez prévenu par email des prochaines mises à jour

Rejoignez les 164 autres membres