Le SSO, Single Sign-On : évidence ou fausse bonne idée ?

Alors que les applications métier se multiplient en entreprise, le SSO a le vent en poupe. Il faut dire que la promesse est belle : apporter un confort aux utilisateurs en centralisant la gestion du système d’authentification. C’est un moyen pour la DSI de rationaliser et garder la main sur les applications qui fleurissent dans chaque direction métier.

Qu’est-ce qu’un système Single-Sign-On ?

Le SSO, Single Sign-On, est un système d’authentification qui permet à un utilisateur de se connecter à plusieurs applications ou sites avec un mot de passe unique qu’il aura renseigné à sa première connexion. Le SSO offre donc un accès sécurisé aux applications de l’entreprise.

Comment fonctionne un système d’identification unique ?

Le SSO fonctionne grâce à la mise en place d’une relation de confiance entre un “fournisseur d’identité” (“identity provider”) d’une part et les applications d’autre part. Les applications concernées peuvent être hébergées en mode cloud (SaaS) ou propriétaires (si elles sont développées en interne par exemple) ou même installées sur votre infrastructure interne (“on premise”).

Il existe de nombreux fournisseurs d’identité. Le plus connu (et un des premiers sur le marché) est Active Directory. Au départ conçu pour les applications internes (MS Exchange…), ses fonctionnalités ont été étendues avec l’arrivée de Azure qui permet de fournir du SSO aux applications hébergées. D’autres fournisseurs en ligne ont également fait leur apparition récemment : Auth0, Okta, oneLogin….

Une étude réalisée par Vanson Bourne pour LastPass montre que 92% des entreprises ont du mal à gérer leurs identités. Le Single Sign-On est une bonne solution pour parer à ce problème mais voyons ici quels sont les avantages et les inconvénients de ce système d’identification.

Quels sont les avantages et inconvénients d’un SSO ?

Comme nous avons déjà commencé à le voir, un système SSO a des points forts comme la mémorisation d’un seul mot de passe pour les utilisateurs et a un intérêt pour la sécurité des entreprises relatif à l’authentification. Voyons plus en détail les points forts et faibles d’un système d’identification unique.

Les avantages d’un SSO

Les avantages sont nombreux et l’on peut les voir de deux points de vues, celui de l’utilisateur et celui de l’entreprise.

Pour l’utilisateur :

• Le premier gros avantage que l’on a déjà évoqué est qu’il n’y a plus besoin de se souvenir de tous ses mots de passe. Le système est conçu par l’utilisation d’un mot de passe unique que l’on recommande d’être fort constitué de chiffres, de lettres majuscules et minuscules et de caractères spéciaux. Comme il s’agit d’un mot de passe unique, il est acceptable (du point de vue de l’utilisateur final) d’y mettre des contraintes fortes en terme de complexité.
• Avec le Single Sign-On, il n’est plus nécessaire de saisir un mot de passe à chaque utilisation d’un logiciel et cela est vraiment appréciable quand on est confronté à l’utilisation régulière de plusieurs applications. Cela génère un gain de temps considérable surtout dans des environnements où le nombre d’applications métier est élevé.
• Le SSO permet également de concentrer l’attention sur un mot de passe unique, donc d’éviter la multiplication de mots de passe “faibles”. Plus l’utilisateur doit gérer de mots de passe, plus il a tendance à les rendre “mémorisables”, donc faible d’un point de vue cyber-sécurité.

Pour l’entreprise, le service IT :

• Le très fort intérêt du SSO pour les services informatiques c’est bien évidemment la sécurisation des accès des utilisateurs aux différents logiciels et applications. Un seul mot de passe = un risque moins élevé de mots de passe faibles, multiples, répartis sur l’ensemble des sites, applications perso et pro des utilisateurs.
• Avec le système d’authentification unique, les services IT centralisent es informations beaucoup plus facilement. Il n’y a plus qu’un mot de passe par utilisateur, ce qui facilite la gestion des règles de sécurité liée aux mots de passe ainsi que la création des comptes.
• Le service IT est aussi en mesure d’avoir une traçabilité des opérations réalisées avec l’identifiant unique. Cela permet d’avoir une vue d’ensemble sur les connexions aux applications et logiciels et donc de leur utilisation.
• S’il y a bien une tâche chronophage dont tous les services informatiques se passeraient bien c’est : la réinitialisation des mots de passe. Le SSO limite considérablement les demandes de réinitialisation du fait d’avoir seulement un mot de passe à retenir.

Les inconvénients du SSO

• Un mot de passe unique c’est très pratique, jusqu’à ce qu’il soit piraté…C’est un peu comme si, dans un château, vous aviez une clé pour chaque pièce auparavant, ce qui rendait la circulation compliquée et parfois impossible s’il vous manquait une clé. Aujourd’hui vous avez une clé unique qui vous donne accès à tout le château, pratique mais si quelqu’un s’en empare ou la copie… c’est la porte ouverte à l’ensemble du château ! Pour compenser cet inconvénient, il est recommandé de mettre en place une authentification à double facteur (2FA ou MFA), ce qui n’est pas toujours faisable car ce système comporte quelques prérequis comme par exemple le fait que chaque utilisateur doit disposer d’un téléphone portable.

• Le SSO sur le papier c’est vraiment LA solution oui mais en pratique seuls certaines applications et certains sites compatibles acceptent l’utilisation du SSO ce qui laisse un très grand nombre de logiciels non compatibles. Il faudra donc continuer de fournir un mot de passe pour toutes les autres applications et l’on retourne à la case de départ : plusieurs mots de passe à retenir et un risque plus élevés de perte, fraude…
• Un mot de passe unique rend le système fort par la puissance de la technologie mais aussi faible car si le système SSO est rendu inopérant durant quelques heures, c’est la totalité de l’entreprise qui est paralysée.

Voici quelques idées reçues sur le système d’authentification unique...

Le Single Sign-On est un système vraiment puissant pour l’authentification unique des utilisateurs en revanche il ne faut pas mélanger plusieurs choses comme l’identification unique et la gestion des identités et des accès. Le SSO n’est pas un système d’IAM (identity access management).

• Le SSO ne permet pas de gérer les niveaux d’autorisations en entreprise. Il n’est pas là pour définir une politique de droits utilisateurs qui doivent être de fait gérés sur chaque application Pour une gestion des droits il est préférable d’utiliser un outil de gestion des identités et des accès.
• Si vous espérez avoir une vue d’ensemble de vos outils, logiciels et applications grâce au SSO, c’est une utopie car comme nous l’avons vu tous les logiciels ne sont pas compatibles.
• De la même manière, ce n’est pas avec un outil d’identification unique que vous aurez une vision globale de vos collaborateurs et des personnes qui travaillent avec vous sans être salariés de votre entreprise comme les prestataires, intérimaires … car ces systèmes de SSO ne sont généralement pas connectés aux SIRH.
• Enfin, d’un point de vue strictement technique, la mise en place et surtout la maintenance du système SSO sont extrêmement chronophages pour les équipes IT. La redondance doit être assurée, et la réactivité doit être au rendez vous pour le support sur le SSO car c’est un point d’accès unique qui, s’il est bloqué, paralyse intégralement l’entreprise.

Le Single Sign-On : oui pour l'authentification, non pour la gestion des identités et des accès

Le SSO est souvent une brique de base pour la gestion des identités en entreprise mais ne répond qu’à une faible portion de la problématique.

Le SSO est un bon complément à la mise en place d’un système d’Identity and Access Management (IAM) connecté au SIRH.