Et dans le cas des mots de passe, chacun d'entre eux - en particulier chaque mot de passe oublié - est un petit risque de sécurité qui se faufile dans l'ombre. Vous pensez peut-être vous en être débarrassé (ou du moins les avoir réduits à une quantité gérable), mais ils continuent de réapparaître. Et comme nous le savons tous, les applications SaaS, qu'il s'agisse d'applications personnelles ou sociales comme Facebook ou des milliers d'applications professionnelles utilisées aujourd'hui, ont entraîné une multiplication rapide de ce problème.
La principale raison pour laquelle les offres de gestion des identités en tant que service (IDaaS), telles que Azure Active Directory, Okta et d'autres, sont aujourd'hui populaires est qu'elles permettent l'authentification unique (SSO) des applications SaaS à partir du navigateur de l'utilisateur. Elles offrent également une sécurité accrue en gérant ces identifiants et ces mots de passe. L'utilisateur accède simplement à un portail d'entreprise comportant des icônes représentant les applications, et clique sur une icône pour se connecter.
Bien que cette capacité soit une amélioration par rapport à une connexion non gérée, il existe toujours des risques de sécurité importants que vous devez connaître.
La lutte contre les mots de passe SaaS : Mise en voûte et relecture
Tout d'abord, un peu d'histoire sur la façon dont les applications IDaaS gèrent les informations d'identification des sites web.
Les applications SaaS professionnelles les plus importantes et les plus populaires aujourd'hui, telles que Salesforce, Workday, Concur et plusieurs centaines d'autres, prennent en charge la fédération d'identité, ce qui simplifie considérablement la connexion à une application et renforce sa sécurité. Cependant, la grande majorité des applications SaaS du marché nécessitent un identifiant et un mot de passe pour se connecter à partir du navigateur de l'utilisateur - une activité désordonnée qui se traduit par des mots de passe oubliés, des mots de passe trop simples et des blocs-notes contenant des mots de passe écrits.
Les services IDaaS utilisent deux techniques principales pour s'en charger pour l'utilisateur. Premièrement, lorsqu'un utilisateur se connecte pour la première fois à l'un de ces sites de "remplissage de formulaires", une extension de capture de mot de passe dans son navigateur lui demande s'il souhaite stocker ses informations d'identification dans le coffre-fort de mots de passe du service IDaaS. Ensuite, la prochaine fois que l'utilisateur voudra se connecter à l'application SaaS, l'extension du navigateur communiquera avec le service IDaaS pour rejouer les informations d'identification de l'utilisateur dans les champs de l'identifiant et du mot de passe, ce qui lui permettra de se connecter sans aucune action de la part de l'utilisateur.
Les mots de passe qui ont disparu
L'archivage des mots de passe simplifie grandement la connexion à ces applications, surtout si l'on compare avec l'utilisateur qui essaie de tout gérer lui-même. Mais il s'agit d'une approche de la sécurité qui consiste à mâcher du chewing-gum et à se défiler, et ce pour cinq raisons.
- Tout d'abord, cela signifie que les informations d'identification de l'utilisateur sont stockées dans le service en nuage du fournisseur d'IDaaS, ce qui n'est pas compatible avec les politiques de sécurité informatique de nombreuses entreprises.
- Deuxièmement, quel que soit le degré de cryptage des creds lorsqu'ils sont dans le nuage, ils doivent être transmis en clair à l'application SaaS au cours du processus de relecture. Il n'y a aucun moyen de contourner ce problème. Troisièmement, les pages de connexion des utilisateurs de l'application changent constamment de présentation, de sorte que le fournisseur IDaaS doit essayer de rester à jour avec des milliers de ces changements pour que la relecture du mot de passe fonctionne correctement.
- Quatrièmement, dans la plupart des cas, l'utilisateur connaît son identifiant et son mot de passe pour l'application. (C'était certainement le cas avant qu'il ne soit obligé d'accéder à l'application via le portail utilisateur de l'entreprise). Cela signifie qu'il peut toujours contourner le portail et se connecter directement. S'il s'agit d'une nouvelle application qui entre en service, certains fournisseurs d'IDaaS permettent à l'administrateur de télécharger les informations d'identification de l'utilisateur afin que ce dernier ne les connaisse pas et doive donc utiliser le portail - mais cela ne fonctionne que pour l'intégration de nouvelles applications. Certains fournisseurs d'IDaaS ont une capacité limitée à changer le mot de passe pour quelques applications, et certains peuvent obscurcir l'URL de connexion de l'application, mais il s'agit d'une infime minorité. Pour aggraver la situation, des navigateurs comme Chrome ou des compléments de navigateur comme LastPass proposent d'enregistrer le mot de passe de l'utilisateur lorsqu'il se connecte. Et pourquoi l'utilisateur moyen ne voudrait-il pas enregistrer son mot de passe pour ne pas avoir à le saisir à nouveau ?
Enfin et surtout, les applications SaaS ne sont pas liées au système de gestion du cycle de vie de l'identité de l'entreprise. Qu'est-ce que cela signifie ? Cela signifie que si vous licenciez un employé et que vous désactivez son compte dans son AD DS sur site, l'utilisateur ne peut plus se connecter au réseau de l'entreprise ni accéder à ses ressources. Lorsque cette désactivation se réplique jusqu'au service IDaaS, l'utilisateur ne peut plus accéder aux ressources en nuage qui nécessitent le service IDaaS, telles que les applications fédérées (Salesforce, Office 365). C'est une bonne chose et cela fait plaisir aux responsables de la sécurité.
Mais les applications SaaS à remplissage de formulaires ne dépendent pas de vos informations d'identification d'entreprise, contrairement aux applications SaaS fédérées. Lorsque le compte d'utilisateur AD DS est désactivé ou supprimé, rien ne se passe au niveau de l'application SaaS. Elle n'a aucune idée de ce qui s'est passé dans l'entreprise. À moins que quelqu'un ne prenne la décision explicite d'auditer les applications auxquelles l'utilisateur a accès et de les désactiver manuellement dans chaque application, l'utilisateur peut entrer. Pourquoi ? Tout ce dont l'utilisateur a besoin, c'est de son identifiant, de son mot de passe et de l'URL de connexion de l'application.
Je tiens à préciser que ces problèmes ne sont pas imputables au fournisseur d'IDaaS; il fait de son mieux, à l'aide de diverses techniques d'enfumage, pour pallier les défaillances inhérentes au scénario de connexion à l'application SaaS par formulaire.
En résumé, il est relativement simple d'affecter des utilisateurs à des applications. Le déprovisionnement est une toute autre affaire.
Ce que les organisations peuvent faire
Il s'agit d'un problème qu'il est extrêmement difficile de résoudre rétroactivement. Il faut au contraire prendre les devants :
- Auditer les applications SaaS auxquelles un utilisateur a accès, stockées dans une base de données centralisée des droits, afin de savoir à quoi tout le monde a accès. Il s'agit davantage d'un problème de politique et de processus que d'un problème technologique.
- Utiliser la stratégie de groupe pour désactiver le gestionnaire de mots de passe de Chrome.
- Dans la mesure du possible, utilisez une option qui génère automatiquement le mot de passe de l'utilisateur et le met dans un coffre-fort afin qu'il ne le connaisse pas.
- Lorsque votre organisation évalue des applications SaaS, la connexion fédérée devrait être une exigence - et non un "avantage". Assurez-vous que l'ISV le sait. Seules les exigences des clients (c'est-à-dire les ventes) poussent les éditeurs de logiciels à apporter des changements.
Les fournisseurs d'IDaaS peuvent représenter un grand avantage pour vos utilisateurs en fournissant un SSO à de nombreuses applications SaaS par le biais d'un portail utilisateur unique et de facteurs de forme multiples. Ils sont également très utiles pour la sécurité de l'information, car ils offrent un certain degré de gestion centralisée de ces applications. Mais vous devez toujours prendre des mesures pour en faire une solution sécurisée.