La gestion des nombreux mots de passe reste une des grandes difficultés dans les entreprises. La mise en place d'un Single Sign On (SSO) avec gestion d'identité associée est souvent la réponse. Banque d'investissement internationale du groupe Société Générale, Société Générale Corporate et Investment Banking (SG-CIB) a des activités qui vont du financement structuré aux opérations de trading sur les marchés boursiers où la moindre interruption de service est inenvisageable. « Les traders ont des besoins très pointus, mais nous devons aussi gérer des utilisateurs qui ne sont pas du tout technophiles » constate Franck Ebrard, RSSI de la SG-CIB. Il a témoigné de son projet de SSO au cours d'un atelier des Assises de la Sécurité à Monaco le 4 octobre 2012.

Les systèmes d'information utilisés sont très complexes et comprennent de nombreuses applications avec des règles différentes de gestion des accès. Franck Ebrard se souvient : « un trader m'avait raconté mettre vingt minutes à activer son poste de travail le matin en saisissant trente deux identifiants/mots de passe. Une telle complexité entraîne les mauvaises pratiques comme le fameux mot de passe sur post-it. »

La solution logique face à ce genre de situation est le SSO afin d'unifier les accès : poste de travail, applications, réseau, accès physique aux locaux... Pour cela, il n'était pas question de re-développer tout le système d'information.

Une solution développée par Evidian

Grâce à un développement réalisé par Evidian (Groupe Bull) couplé a une carte a puce pour le stockage des certificats ainsi que la technologie Mifare pour le sans contact, le défi a pu être relevé. Les traders possèdent plusieurs postes de travail simultanés (une vingtaine). Une carte introduite dans un poste maître gère tous les accès sur tous les postes de sa grappe. Si un poste supplémentaire est disponible, il peut être dynamiquement ajouté à la grappe.

Retirer la carte implique le verrouillage des postes de la grappe. Or si un trader quitte momentanément son poste de travail, ce qui implique qu'il emporte sa carte pour sortir et ré-rentrer dans les locaux sécurisés, il va a priori déclencher le verrouillage de toutes ses applications, ce qui n'est pas possible. L'utilisateur va donc pouvoir temporairement déléguer son poste à son voisin, ce qui est bien sûr tracé.

La mise en oeuvre de ce SSO est un projet informatique. Mais l'équipe de la DSI a travaillé avec les utilisateurs, la direction juridique (déclarations CNIL, modification du règlement intérieur...) et les responsables immobiliers. Le projet a été évalué dans un premier temps sur un groupe test. La DSI a alors étudié les retours volontaires mais aussi les usages ou non-usages.

4 mois pour déployer la solution sur 16 000 postes

Après quinze mois de projet, le déploiement sur 16 000 positions de travail a pris quatre mois. L'échange des anciennes cartes d'accès physique avec les nouvelles cartes SSO se faisait sur rendez-vous, avec des sessions de formation. La communication a été une grosse partie du projet pour assurer la gestion du changement. Pour les salariés qui oublient leurs cartes chez eux, il est possible de temporairement repasser en mode mot de passe en se présentant physiquement à un help-desk avec sa carte d'identité. Ce help-desk fournit alors des mots de passe temporaires.

Il reste quelques soucis sur des locaux à l'étranger où l'accès physique utilise une technologie incompatible ainsi qu'avec quelques applications incompatibles. Et certains utilisateurs ont encore un peu de mal avec le concept de badge unique. « Une demande de badge supplémentaire pour que l'utilisateur puisse laisser sa carte dans le lecteur tout en quittant les locaux, cela arrive encore » soupire Franck Ebrard.