Bonjour,
Effectivement, le SSO s’adresse particulièrement à l’ensemble des utilisateurs. Celui-çi peut être un point faible dans le sens ou un seul contrôle est demandé pour avoir l’accès aux différentes ressources. Le tout est de renforcer ce contrôle, par l’utilisation de la biométrie ou de token contenant une clé rsa et un code pin.
C’est identique au poste qui peut se connecter sur l’ensemble des serveurs via une clé SSH. La compromission de ce poste permet l’accès à l’ensemble des serveurs. On reforce alors le point le plus faible ( accès physique ou réseau à ce poste dans cet exemple, méthode d’authentification dans le cadre du SSO )
Il faut comprendre que pour un informaticien, il est peut être préférable d’utiliser plusieurs couple login/password. Mais qu’en est il de l’utilisateur à qui il faut répeter sans cesse les règles basiques de sécurité. Le SSO avec une méthode d’authentification adaptée permet justement de réduire les risques liés à ces utilisateurs qui représentent une grande partie de l’entreprise. La complexité n’est pas l’ami de la sécurité, bien au contraire.
C’est en ce sens que le SSO avec une méthode d’authentification adaptée, aurait pu éviter à la société générale l’utilisation d’un login/mot de passe par un de ces collaborateurs à qui il n’était pas destiné. L’utilisation d’un token, ou de reconnaissance digitale voir rétinienne aurait pu éviter à JK de se faire passer pour quelqu’un d’autre.
Le SSO, peut être lourd à mettre en place, ce pourquoi il est peu utilisé actuellement. Sa mise en en place nécéssite un réflexion globale vis à vis de l’architecture informatique mais également au niveau du système d’information et beaucoup de société attendent justement une refonte de leur infrastructure pour le mettre en place, réduisant ainsi les coûts en l’intégrant dans un projet global. Après, cela va dépendre de l’infrastructure et du système d’information.
Cordialement,
Mr Granjon.