Ping Identity – Patrick Harding : l’identité au coeur de la sécurité informatique
Patrick Harding, CTO de Ping Identity, partage son opinion à propos des effets qu’ont les pratiques du cloud sur la sécurité informatique. De nouvelles normes doivent être mises en place.
Ping Identity est une société spécialisée dans la sécurité informatique et éditrice de solutions de fédération d’identité. En excusivité pour ITespresso.fr, Patrick Harding, CTO, partage son opinion à propos des normes qu’il est nécessaire de mettre en place pour uniformiser la sécurité informatique et pour optimiser l’efficacité des solutions mises en place, alors que les usages du cloud sont en pleine expansion.
———————————-
L’identité est désormais la clé de voute de la sécurité informatique
Nul ne serait surpris d’apprendre que les frontières traditionnelles de la sécurité informatique n’existent plus. La migration des applications vers le cloud, la mobilité universelle et l’essor de l’accès tiers à des ressources sensibles sont des tendances sources de défis pour les DSI du monde entier. Les applications cloud et les appareils mobiles ont effacé les contours de la sécurité sur lesquels l’entreprise se fondait depuis longtemps. Ces tendances émergent alors que les DSI sont censées gagner en efficacité et générer de la valeur ajoutée avec des réductions d’effectifs et une explosion du nombre d’utilisateurs et d’applications.
Que faut-il pour faire face à cette évolution de la sécurité ?
Il faut un ensemble de protocoles modernes pour la gestion des identités adaptés à de nouveaux modèles de développement Web. Cet ensemble moderne de protocoles repose sur des normes et des infrastructures orientées développeur comme REST et JSON (JavaScript Object Notation). Ces normes comprennent SCIM (System for Cross-Domain Identity Management), OAuth, OpenID Connect et l’incontournable SAML (Security Assertion Markup Language). Ce jeu de protocoles s’avère nécessaire à une gestion évolutive des utilisateurs et donc crucial pour tout mandat de conformité.
SCIM (System for Cross-Domain Identity Management)
L’accès des utilisateurs aux applications est impossible sans créer une identité utilisateur. L’entreprise se débat avec des systèmes d’attribution exclusifs friables car ils ne gèrent pas l’évolution des applications ou systèmes d’exploitation.
SPML (Service Provisioning Markup Language)
Les premiers projets axés sur SPML ayant échoué à cause de la complexité, SCIM offre un jeu de commandes simple pour créer, lire, actualiser et supprimer.
SCIM est une norme orientée développeur qui exploite REST et JSON, remplaçant des mécanismes d’attribution propriétaires ou manuels coûteux. Les fournisseurs de services utilisent déjà SCIM 1.0, ainsi que des produits IAM. L’organisme de normalisation IETF a presque achevé la définition de la version 2.0 du protocole SCIM.
SAML (Security Assertion Markup Language)
Créée il y plus de 10 ans, SAML est la norme d’identité la plus utilisée en entreprise. Il s’agit de la méthode de fait pour l’authentification Web et SSO des applications SaaS. Les entreprises l’utilisent également pour la connexion à diverses applications, comme celles intégrées suite à une fusion ou acquisition.
La norme SAML s’avère pérenne et offre une solution privilégiée pour l’authentification SSO Web, car un très grand nombre d’applications et de systèmes d’identification la gèrent.
En outre, elle permet l’authentification SSO sans dépendre de noms d’utilisateur et mots de passe, que l’on peut facilement dérober et utiliser pour des transactions illicites et des atteintes à la sécurité des données. Enfin, elle permet l’accès à grande échelle en éliminant les réinitialisations de mot de passe dans l’application cible. SAML demeure la norme référence pour l’authentification utilisateur Web et SSO.
OAuth 2.0
Quid des applications mobiles natives, souvent dénuées de fonctionnalité Web ? C’est là qu’OAuth 2.0 entre en scène.
OAuth 2.0 est une norme permettant à des applications mobiles natives d’accéder à des ressources au nom de l’utilisateur. Il s’agit d’un protocole orienté API qui exploite REST et JSON. Il est intégré à de nombreuses applications SaaS comme Facebook, Google, Yahoo, à des infrastructures de cloud comme Windows Azure Active Directory et à des logiciels IAM modernes, notamment ceux qu’offre ma société Ping Identity.
Pour l’entreprise, OAuth est un gage d’accès authentifié aux applications mobiles natives et gagne en adoption chez les développeurs et éditeurs d’applications SaaS. La norme de base OAuth 2.0 est finalisée et approuvée par l’IETF (Internet Engineering Task Force).
Alors qu’OAuth est la norme de fait de l’authentification pour les applications hors Web, il manque un cadre pour l’enregistrement flexible de ces applications, impératif si elles ont accès à des ressources d’entreprise. En outre, OAuth exige une infrastructure élargie de gestion des identités pour assurer une authentification unique des utilisateurs dans de nombreuses applications.
OpenID Connect
OpenID Connect vise à aider à relever les défis que présente OAuth. Reposant sur l’architecture OAuth, ce protocole permet une identification à grande échelle en offrant un processus d’enregistrement automatisé pour les applications et un processus de recherche pour les systèmes d’authentification. Compte tenu de ses racines, OpenID Connect simplifie le flux d’authentification OAuth comme aucun autre protocole.
La définition de la norme est pratiquement terminée et fait à présent l’objet d’un examen final par l’OpenID Foundation, l’approbation définitive étant attendue vers le début 2014.
L’adoption est déjà en cours. Le 23 octobre, Google a informé ses partenaires du retrait progressif d’OpenID 2.0 et OAuth 1.0 au profit d’OpenID Connect. Ce changement va obliger les sites Web qui acceptent des ID Google pour la connexion à évoluer vers la spécification. Salesforce et Microsoft figurent parmi les autres acteurs à gérer OpenID Connect et les éditeurs de logiciels IAM appuient également ce changement. L’adoption du protocole le dirige vers le périmètre d’infrastructure des opérateurs mobiles, les projets d’identification soutenus par les pouvoirs publics en Europe et aux États-Unis, ainsi que les déploiements de clouds hybrides en entreprise.
Conclusion
L’adoption de ce jeu de protocoles dépasse largement le cadre des environnements de laboratoire et de bêta test. Les fondations sont posées et le déploiement à grande échelle s’avère omniprésent.
Les fournisseurs de services et les architectes en sécurité d’entreprise peuvent observer le rôle vital de l’identité dans un monde connecté englobant chaque employé, appareil et application. Le seul moyen d’adapter l’accès et la sécurité à travers ce monde connecté réside dans la normalisation. Le cloud, la mobilité et les réseaux sociaux transformant l’entreprise moderne, l’identité forme une base cruciale pour relever les défis.