L’importance de la centralisation LDAP des comptes utilisateurs

Dans toute entreprise, les collaborateurs doivent accéder à plusieurs applications :

• le compte Windows,
• les portails web internes de l’intranet,
• le VPN (très fréquent avec le Covid-19), …

Pour assurer une sécurité, l’accès à chacune de ces applications doit se faire avec un système d’authentification et d’autorisation, avec par exemple, un nom d’utilisateur et un mot de passe. Découvrez quelle est l’importance de la centralisation des comptes utilisateurs.

Tout d’abord, ll existe deux façons de gérer cet accès. Le premier est un système décentralisé : on laisse chacune des applications gérer son propre système d’authentification.

Le deuxième est un système centralisé : les applications consultent un seul et même système d’authentification afin d’unifier les procédures de connexion.

Découvrez comment démontrer pourquoi la centralisation des comptes utilisateurs est préférable, en améliorant la sécurité. Puis, retrouvez diverses solutions pour mettre en place un tel système.

La décentralisation, plus sécurisée ?

Décentraliser les comptes utilisateurs peut paraître plus sécurisé : cela permet aux utilisateurs d’utiliser des mots de passe différents. Si le mot de passe du système centralisé est compromis, l’attaquant peut pirater le compte sur toutes les applications. Par ailleurs, sur un système décentralisé, il ne serait capable de ne pirater que l’application dont le compte a été compromis.

En pratique toutefois, cela n’apporte que très peu de bénéfices de sécurité :

• La plupart des utilisateurs utiliseront le même mot de passe sur toutes les applications, ou un mot de passe différent mais suivant une logique (MotDePasseWindows pour le compte Windows, MotDePasseIntranet pour le compte de l’intranet…) qui apporte une sécurité effective équivalente à un système centralisé.
• Si les utilisateurs sont forcés à utiliser des mots de passe trop différents (par exemple, des politiques de mot de passe qui varient selon les applications), cela amène à une forte réduction de la sécurité, car les mots de passe seront alors écrits en clair. Noter les mots de passe sur un post-it en dessous du clavier est malheureusement une mauvaise habitude qui perdure. Encourager les utilisateurs à n’utiliser qu’un seul mot de passe fort renforce la sécurité et permet aux utilisateurs de pouvoir s’en souvenir facilement.
• Il serait possible d’utiliser un gestionnaire de mot de passe afin d’avoir un mot de passe différent et sécurisé (car généré aléatoirement) pour chaque application. Toutefois, il faut protéger la base de mots de passe par un mot de passe « maître », ce qui revient à utiliser un mot de passe unique. De plus, il est difficile de former les utilisateurs à la bonne utilisation d’un gestionnaire de mots de passe.

Le seul cas où la décentralisation serait plus sécurisée serait si les utilisateurs avaient la capacité de retenir un mot de passe fort et unique à chaque application ; cependant, ce cas est assez rare, et il n’y a pas de moyen de vérifier cette capacité.

De ce fait, il n’y a que très peu de cas où la décentralisation serait plus sécurisée que la centralisation ; et même dans ces cas, les avantages apportés par une centralisation sont plus conséquents et facilitent le travail de la DSI dans l’accompagnement des utilisateurs.

La centralisation des comptes utilisateurs, l’avenir de l’authentification

Ce n’est pas pour rien que la centralisation des comptes d’utilisateurs est un point de conformité pour certains audits.

Du point de vue de la DSI, et même du point de vue des collaborateurs, un point central d’authentification facilite les processus et permet d’être plus performant et sécurisé, en ayant une visibilité et un contrôle sur l’intégralité des applications utilisées.

La réduction de la complexité inhérente à un système décentralisé n’est pas triviale, et diminue le temps et donc les coûts requis.

Une gestion des comptes simplifiée

Ajouter et décommissionner des comptes d’utilisateurs devient très facile avec un système centralisé. Dans un système décentralisé, il faut ajouter le compte séparément dans chaque application, tout en configurant par exemple les groupes auxquels appartient le compte (groupe « marketing », groupe « helpdesk »…).

Cela représente un travail non négligeable et présente même des problèmes de sécurité. Par exemple, dans les centres d’appels avec beaucoup de turn-over, les nouveaux collaborateurs doivent attendre que la DSI mette en place leur compte. Ils doivent alors utiliser le compte d’un autre collaborateur pour travailler, ce qui représente une grande brèche de sécurité !

Le temps passé pour décommissionner les comptes d’utilisateurs fait que ce décommissionnement est, à tort, passé en basse priorité puis souvent oublié : les entreprises se retrouvent alors avec des comptes d’utilisateurs pour des collaborateurs ayant quitté l’entreprise il y a plusieurs mois, voire plusieurs années, ce qui crée un risque car l’utilisateur pourrait se connecter à distance et effectuer des actions mettant l’entreprise en péril.

Il est certes possible d’utiliser un script pour automatiquement ajouter puis décommissionner les comptes d’utilisateurs. Cette solution requiert toutefois plus de maintenance et est plus complexe, en raison des différentes façons de gérer les comptes (base de données, fichier texte, fichier binaire au format propriétaire…).

L’authentification multi-facteurs

Même s’il est possible de pallier aux autres désavantages qu’a la décentralisation par rapport à la centralisation, il est difficile d’ignorer la pratique de cybersécurité moderne qui est l’authentification multi-facteurs.

De plus en plus courante, cela se réfère à la pratique d’utiliser au moins deux des trois facteurs d’authentification :

1. Quelque chose que l’on sait (un mot de passe)
2. Quelque chose que l’on a (un smartphone, un badge)
3. Quelque chose que l’on est (une empreinte digitale, un scan rétinal)

Une application implémentant son propre système d’authentification n’utilisera la plupart du temps que le premier facteur, alors qu’il est presque nécessaire pour les collaborateurs hauts placés (PDG, administrateur système, chef de direction…) d’avoir une authentification multi-facteur afin de réduire le risque de piratage de compte.

Les solutions d’authentification centralisée implémentent la plupart du temps cette authentification multi-facteurs, augmentant la sécurité sur l’intégralité des applications.

Une gestion des droits et des journaux

L’authentification n’est qu’une partie d’un modèle de cybersécurité appelé l’AAA :

1. Authentification (l’utilisateur peut se connecter à l’application) ;
2. Autorisation (l’utilisateur n’a que les droits qu’on lui a affectés une fois connecté) ;
3. Audit (il y a une traçabilité des connexions).

Les systèmes indépendants de gestion des utilisateurs ne gèrent souvent que l’authentification : il peut ne pas y avoir d’audit (ou un audit difficile à obtenir), et l’autorisation peut ne pas être prise en charge. Les systèmes de centralisation d’authentification gèrent, eux, ces trois critères qui sont des composants importants de la cybersécurité.

La centralisation de l’autorisation rend de plus la gestion des utilisateurs plus simple pour la DSI, car il n’y a qu’à ajouter l’utilisateur dans des groupes spécifiques au niveau de l’interface centralisée.

L’autorisation est un élément très important de la cybersécurité : elle permet de respecter le principe du plus bas privilège, qui ne donne que les permissions nécessaires à chaque utilisateur afin de réduire les dommages qui peuvent être causés par un compte compromis, ou même par accident.

Enfin, bien que cela reste rare sur les applications modernes, une application peut ne pas implémenter l’authentification en suivant les bonnes pratiques : par exemple, stocker les mots de passe en clair, ou utiliser un protocole de communication non chiffré. Ce ne sera pas le cas avec une solution d’authentification centralisée.

Des collaborateurs plus performants

Les avantages procurés par une centralisation des comptes utilisateurs ne s’arrêtent pas à la DSI, mais est utile pour l’intégralité de l’entreprise.

Par exemple, le processus de réinitialisation de mot de passe est alors possible sur l’intégralité des applications (certaines applications peuvent ne pas avoir implémenté un tel processus), et il est alors possible de le faire en « self-service » : pour réinitialiser son mot de passe, il n’y a plus besoin d’appeler le helpdesk, qui peut alors se concentrer sur des tâches à plus forte valeur ajoutée.

Avec le mot de passe unifié, et éventuellement le Single Sign-On (SSO) permettant de ne pas devoir taper son mot de passe séparément sur chaque application si l’on s’est connecté récemment, la connexion ne devient plus une corvée. Cela évite alors que les utilisateurs ne cherchent à prendre des raccourcis, par exemple en notant les mots de passe sur des post-its.

Comment implémenter cette centralisation des comptes utilisateurs ?

La référence pour un annuaire centralisé gérant les groupes est le protocole LDAP (implémenté par Active Directory), mais il ne sert uniquement que de base de données d’utilisateurs et de groupes.

Il est possible d’obtenir une centralisation uniquement avec un serveur LDAP, en raccordant chaque application à ce serveur. Toutefois, pour prendre parti au maximum des avantages de la centralisation, il est recommandé d’implémenter une solution de gestion des comptes d’utilisateurs.

Pour sécuriser les applications de sa solution Corrium d’audit automatisé, Straton IT utilise le logiciel Keycloak, qui permet d’établir un portail d’authentification pour accéder à chaque application de Corrium, interne ou externe.

Keycloak fait que les utilisateurs peuvent réinitialiser leurs mots de passe eux-mêmes, intègre par défaut l’authentification multi-facteurs, et facilite la gestion des comptes avec une console d’administration. Cela permet de concentrer la sécurité sur Keycloak et non pas de la déléguer à chaque application.

Il y a également d’autres solutions telles que OpenIAM, Apache Syncope, ou encore Gluu. Le choix d’une solution devrait se porter sur les fonctionnalités qu’elle apporte, et également sur son intégration avec les applications existantes : Keycloak, par exemple, offre des adaptateurs dans une variété de langages de programmation, et permet d’être utilisé dans un proxy.

Peu importe la solution choisie, ou même s’il s’agit d’un simple serveur LDAP, il est vivement conseillé d’implémenter une centralisation de comptes utilisateurs : ainsi, les collaborateurs n’ont plus à se souvenir d’une douzaine de mots de passe différents, et la DSI peut se concentrer sur la sécurisation d’une seule application et plus facilement gérer les utilisateurs.