Archives pour la catégorie Article

Comment choisir une solution de réinitialisation des mots de passe en self-service ?

Quel pourcentage d’appels à votre Helpdesk informatique représentent les oublis de mots de passe ?

Aujourd’hui, entre 10% et 40% des appels au Helpdesk concernent des réinitialisations de mots de passe. Même s’il s’agit d‘incidents mineurs, ils représentent malgré tout une faille de sécurité. Par exemple, de quelle façon votre helpdesk vérifie-t-il l’identité d’un appelant qui demande à changer son mot de passe ?

Une solution courante à cette problématique consiste à mettre en place une solution de gestion des mots de passe en self-service, comme par exemple SSRPM (Self-Service Reset Password Manager).

Fonctionnement de la solution de réinitialisation des mots de passe en Self-Service

La solution de gestion des mots de passe en Self-Service fonctionne de la manière suivante :

  1. La solution ajoute un bouton à l’écran de login Windows de vos utilisateurs et leur permet de cliquer sur un bouton ‘mot de passe oublié’ :

ssrpm log in screen

  1. Ensuite, l’utilisateur peut s’identifier grâce à un jeu de questions de sécurité ou à un code PIN envoyé sur un téléphone portable par SMS :

ssrpm wizard

ssrpm sms authentication

  1. L’utilisateur peut ensuite créer son nouveau mot de passe en toute sécurité :

ssrpm aide creation nouveau mot de passe

Avantages d’une solution de réinitialisation des mots de passe en self-service

Voici quelques avantages de ce type de solution :

  • 80% d’appels en moins liés à des problématiques de mot de passe (mot de passe oublié, réinitialisation / changement de mot de passe)
  • Un ROI moyen de 3 mois,
  • Une sécurité accrue,
  • Des utilisateurs plus autonomes.

Quels critères sont à prendre en compte pour un résultat optimal lors du choix d’une solution de réinitialisation des mots de passe en self-service ?

Afin de choisir une solution de gestion des mots de passe optimale pour votre organisation, plusieurs aspects doivent être pris en compte :

1.     La Sécurité :

La réinitialisation des mots de passe étant un point sensible en termes de sécurité informatique, il convient de choisir une solution qui aura été auditée au préalable par une entreprise indépendante en vue de détecter d’éventuelles failles de sécurité. Par exemple, la solution SSRPM de Tools4ever a été auditée par une entreprise de conseil faisant référence dans le domaine de la sécurité informatique, témoignant ainsi du sérieux et de l’objectivité de ses conclusions ci-après :

  • Base de données avec un niveau de cryptage élevé,
  • Interface protégée (captcha pour les interfaces web),
  • Pas d’envoi de mot de passe par email ou par SMS,
  • Blocage automatique de la solution si celle-ci suspecte un robot,
  • etc.

2.     La Convivialité de l’outil et le nombre de scénarios couverts

Un autre aspect à prendre en compte afin d’obtenir de bons résultats et un bon retour sur investissement de votre solution est la fréquence d’utilisation de cette dernière par les utilisateurs finaux.

Pour augmenter la fréquence d’utilisation réelle de la solution, plusieurs aspects sont à retenir :

  • Une interface simple et claire,
  • Une aide à la création du nouveau mot de passe, comme par exemple l’affichage des règles de complexité des mots de passe de façon dynamique pour rendre l’utilisateur autonome sur la création d’un nouveau mot de passe, même complexe.
  • La possibilité de réinitialiser le mot de passe dans différentes situations. En règle générale, plus la solution offrira de possibilités de réinitialiser le mot de passe en fonction de contextes différents et depuis différents types d’appareils (PC portable, tablettes, smartphones …), plus la solution sera utilisée et plus elle sera rentable.
  • La solution SSRPM propose notamment les modules suivants :
    • Intégration dans l’écran de login Windows,
    • Interface web,
    • Intégration dans différents portails web dédiés aux entreprises (par exemple OWA (Outlook Web Access) ou un portail CITRIX,
    • Possibilité d’utiliser la fonctionnalité même si l’utilisateur n’est pas connecté (mode off-line),
    • Possibilité de synchroniser automatiquement le nouveau mot de passe Active Directory avec d’autres applications,
    • Possibilité d’identifier l’appelant au Helpdesk via le portail,
    • Possibilité d’intégrer la solution avec PCM (Password Complexity Manager) permettant d’afficher des règles de complexité de PCM au lieu des règles de complexité standard de l’Active Directory.

3.     Facilité de déploiement et d’utilisation de la solution

La solution doit être facile et rapide à déployer. Par exemple, la mise en place de la solution SSRPM prend en général une journée seulement, sachant qu’ une formation à l’attention de l’administrateur est prévue en parallèle.

Pour toute question sur la gestion des mots de passe en entreprise n’hésitez pas à me contacter via LinkedIn

Paul BAAS

Déployer le Single Sign-On sans modifier le schéma Active Directory et sans installer de connecteurs LDAP !!!

En ma qualité d’expert en Gestion des Identités et des Accès pour le compte de Tools4ever, je suis régulièrement amené à rencontrer des Directeurs informatiques et des administrateurs système qui pensent que le déploiement d’un outil de Single Sign-On est incroyablement complexe et requiert une intégration technique lourde.

Voici quelques exemples d’idées répandues sur le Single Sign-On et qui ne sont plus vraies  aujourd’hui :

1/ Pour activer le SSO, je suis obligé de reconfigurer une partie de l’ensemble de mes applications, en installant par exemple un connecteur LDAP pour relier la gestion des applicatifs à l’Active Directory ou en procédant à toute autre modification au niveau applicatif.

Faux : Le recours à certaines solutions de Single Sign-On dédiées aux entreprises, telle que la solution E-SSOM développée par Tools4ever, il n’est désormais plus nécessaire de modifier les  applications, ce qui permet d’une part de gagner un temps précieux (temps passé à attendre les éditeurs de logiciels) et d’autre part de ne pas être intrusif.

 

2/ Je suis obligé de créer un annuaire LDAP distinct pour référencer l’ensemble de mes applications et utilisateurs, et je n’aurai accès au SSO qu’une fois que ces informations auront été rapprochées.

Faux : En dépit du fait qu’il s’agisse d’une méthode utilisée par certains fournisseurs de solutions de SSO, tels que CAS et bien que cela puisse présenter certains avantages, cela ne constitue désormais plus un prérequis si vous souhaitez uniquement mettre en place une solution de Single Sign-On sécurisée et ergonomique au sein de votre entreprise.

3/ Pour pouvoir utiliser l’Active Directory comme source d’authentification principale pour le SSO, je suis obligé d’étendre le schéma de l’Active Directory.

Faux : Bien que plusieurs solutions actuellement proposées sur le marché du SSO requièrent de modifier la structure de l’active directory ou de procéder à toute autre action de ce type, la plupart des entreprises se montreront réticentes quant à effectuer ce type de modification, du fait de leur impact considérable et de leurs conséquences souvent irréversibles. Or certaines solutions de SSO, telle que E-SSOM, ne nécessitent pas de modification de la nomenclature dans l’Active Directory pour fonctionner. Clairement, aucune modification de l’Active directory n’est nécessaire pour activer notre solution de SSO.

Pour plus d’informations sur la solution E-SSOM (Enterprise Single Sign On Manager) développée par  Tools4ever, cliquez ici,

Utiliser une interface web simple et intuitive afin de gérer les comptes utilisateurs dans Active Directory et d’autres systèmes/applications

Utiliser l’interface administrateur d’Active Directory afin de gérer les comptes utilisateurs et les droits d’accès présente de nombreux désavantages, comme par exemple :

  • Sécurité : les utilisateurs doivent être connectés avec des droits administrateurs et généralement les droits administrateur de domaine.
  • L’interface native d’Active Directory Utilisateurs et Ordinateurs que Microsoft propose n’est pas très intuitive : un grand nombre d’onglet à parcourir, d’attributs à gérer et de clics à effectuer rendent le processus sujet aux erreurs et aux oublis.
  • Le respect des standards comme la nomenclature interne ou les profils de gestion de groupes est très complexe à contrôler dès lors que la création, modification ou désactivation de comptes sont effectuées par plusieurs personnes.
  • Temps : créer, modifier et nettoyer les comptes au sein d’active directory prend un temps considérable du fait que bon nombre d’actions sont réalisées manuellement.
  • Ressources : gérer les comptes utilisateurs Active Directory n’est pas le travail le plus passionnant, les tâches sont répétitives et le plus souvent effectuées par des administrateurs senior à cause des niveaux de droits requis.

Mettre en place une interface web simple et intuitive pour la gestion des utilisateurs Active Directory

Avec un outil comme UMRA, il est possible de mettre en place une interface web pour gérer les comptes utilisateurs et les droits d’accès au sein d’Active Directory et d’autres systèmes/applications comme Lotus Notes, AS400, SAP, Office 365, Google Apps etc…

Une telle interface peut être installée et paramétrée aux besoins du client en 2 à 3 jours.

Les avantages sont les suivants :

Une interface simple qui permet à n’importe qui, et ce sans la moindre connaissance d’Active Directory, de créer, modifier et désactiver des comptes utilisateurs.

Sécurité : Aucun besoin de donner les droits administrateurs pour déléguer des tâches spécifiques

Respect de vos standards : la nomenclature et la gestion des attributs d’Active Directory sont automatiques et garantis. L’interface ne nécessite que le nom et le prénom de l’utilisateur ainsi qu’un ou deux champs à sélectionner. Les standards et les règles sont configurés dans les outils en amont de telle sorte qu’ils sont automatiquement respectés.

Temps : tout cela génère du temps libre pour les administrateurs senior et rend la gestion des utilisateurs dix fois plus rapide et plus efficace.
Possibilité d’ajouter des étapes de validation dans le workflow, et même de déléguer la gestion des utilisateurs aux chefs de services.

L’interface web d’UMRA pour Active Directory permet aussi de gérer les comptes non Active Directory comme par exemple AS400, SAP, Lotus Notes, Google Apps, Office 365, Salesforce etc…

Si vous désirez voir l’efficacité et la simplicité de l’interface web pour Active Directory dans votre organisation, contactez simplement le bureau Tools4ever le plus proche et demandez une démonstration.

Optimiser la Gestion des Groupes de Sécurité Active Directory avec des outils

Votre réseau et votre organisation prenant de plus en plus d’ampleur, le nombre de groupes de sécurité Active Directory augmente sensiblement. Au fil du temps, il n’est donc pas rare de voir ces groupes devenir plus compliqués à gérer pour le service informatique.

UMRA (User Management Resource Administrator) offre un large éventail de possibilités pour simplifier et optimiser la gestion des groupes, peu importe que ceux-ci contrôlent les accès aux applications, les listes de distribution, l’accès aux partitions réseaux ou autres…

Quelques possibilités offertes par notre outil :

Délégation de la gestion de groupes
Une des principales fonctionnalités d’UMRA Web Interface est la gestion de groupes. Elle est offerte à des utilisateurs non-techniques (non-administrateurs) comme par exemple le personnel du Helpdesk ou des utilisateurs ne possédant pas les droits sur l’Active Directory, le tout s’effectuant grâce à une interface web simple et intuitive (voire image). Il est alors possible de voir tous les membres d’un groupe d’un seul coup, d’ajouter ou d’enlever plusieurs utilisateurs d’un simple clic ou même de sélectionner un utilisateur afin d’afficher ou de modifier son appartenance à des groupes en quelques secondes. De nouveaux groupes peuvent aussi être créés et gérés à la volé.

Self-Service et Workflow avec validation par le responsable du groupe de sécurité
Il devrait être possible pour le responsable d’un groupe d’ajouter ou d’enlever des utilisateurs directement, certains groupes nécessitant une validation par le responsable du groupe AD spécifique. Tout ceci est possible avec UMRA par un processus simple de validation automatique (voir image). Le responsable du groupe de sécurité reçoit une notification par e-mail avec un lien lui permettant de voir immédiatement la requête et de la valider (ou non) en un clic.
Cela s’avère particulièrement utile dans le cadre, par exemple, d’une délégation de la gestion de certains groupes aux managers, et peut être mis en place pour fournir un processus de requêtes d’accès en Self-Service aux utilisateurs.

Gestion de groupes automatisée
Une troisième possibilité revient à gérer automatiquement les groupes Active Directory en accord avec les paramètres du compte AD comme le lieu, le département, l’intitulé du poste de l’utilisateur ou des rôles spécifiques.

Pour plus d’informations sur la gestion des groupes active directory avec UMRA, contactez le bureau Tools4ever le plus proche.

Implémenter le Single Sign On / Authentification Unique avec SAP

La suite SAP ERP est un système ERP pour toute l’entreprise comprenant de nombreux modules et une multitude de méthodes d’authentification possibles. Dans bon nombre d’organisations, les utilisateurs se connectent à SAP en utilisant différentes méthodes et identifiants. Par exemple, les utilisateurs peuvent se connecter via SAP GUI, via Business Objects for SAP, via une connexion Excel comme SAP Bex et même via Powerpoint (fichiers PPT). Beaucoup d’entreprise possèdent aussi des versions différentes de SAP (version 6 ou 7).

Un bon nombre d’organisations tendent à simplifier le processus d’authentification pour SAP grâce au Single Sign On. Mais ce n’est pas toujours chose aisée, et plus particulièrement si une partie des modules et des interfaces de SAP ne sont pas liés à Active Directory.

Chez Tools4ever, nous sommes spécialisés dans l’implémentation du Single Sign On pour les entreprises. Nous avons une forte expérience dans l’implémentation de l’authentification unique pour SAP sans avoir à modifier l’environnement SAP et en général, 2 à 3 jours d’interventions sont suffisants pour couvrir toutes vos connexions et instances SAP. Le Single Sign On pour SAP est configuré à partir d’E-SSOM (Enterprise SSO Manager) et permet aux utilisateurs de se connecter automatiquement toutes leurs instances SAP après s’être authentifié.

Des études de cas d’implémentations de Single Sign On sont disponibles ici (lire les études de cas pour Truffaut et SGD).

Pour plus d’informations sur E-SSOM et le Single Sign On pour SAP, contactez votre bureau Tools4ever le plus proche.

Comment les utilisateurs peuvent-ils se connecter à une application via Active Directory et sans connecteur LDAP ?

Q : Est-il possible d’appliquer une politique de complexité de mot de passe sur des applications qui ne le supportent pas ? Et sans connecteur LDAP pointant vers l’Active Directory pour l’authentification ?

R : Il s’agit d’un des nombreux problèmes rencontrés dans le processus de gestion des mots de passe, les plus vieux systèmes ayant pour la plupart des stratégies de complexité de mots passe obsolètes voire inexistantes. De surcroit, le connecteur LDAP n’est pas forcement disponible et l’application peut se trouver dans l’impossibilité de demander des mots de passe complexes aux utilisateurs.

Notre solution de gestion de mots de passe E-SSOM vous offre trois manières différentes de résoudre cette problématique :
1.Il est possible de laisser l’utilisateur se ré-authentifier à l’Active Directory dès qu’il tente de se connecter à une de ses applications en utilisant E-SSOM. Au lieu de demander les identifiants pour l’application, l’utilisateur s’authentifie simplement sur l’AD et est automatiquement connecté à son application. Un processus simple, augmentant la sécurité sans accroître le nombre de mots de passe complexes que l’utilisateur doit retenir, et ne nécessitant aucun connecteur LDAP.

2.E-SSOM peut aussi forcer l’utilisateur à se créer un mot de passe pour sa prochaine connexion et d’y appliquer des stratégies de complexité même si l’application ne le permet pas. Cette solution peut être implémentée de manière à ce que l’utilisateur soit connecté automatiquement à l’application (plus de mots de passe complexes à retenir), les mots de passe restant complexes et surs au sein de l’application.

3.E-SSOM peut aussi générer des mots de passe complexes et aléatoires, dans la limite des possibilités offerte par l’application. Cette solution est complétement transparente pour l’utilisateur qui n’a qu’à cliquer sur l’application pour qu’E-SSOM complexifie son mot de passe. Il se connecte par la suite de manière automatique tout en gardant la complexité de son mot de passe dans l’application.

Il existe beaucoup d’autres cas dans lesquels la gestion des mots de passe combinée aux solutions de Single Sign On permet d’augmenter significativement le niveau de sécurité, sans surcharger les utilisateurs avec des mots de passe complexes. Les consultants techniques de Tools4ever sont des experts sur la question de la Gestion des Accès et des Identités et peuvent vous aider à trouver la solution adéquate.

UMRA contrôle les sessions d’examens des étudiants

Traditionnellement, les écoles et collèges utilisent UMRA afin de maintenir Active Directory à jour, soit par la lecture des informations depuis un fichier CSV, ou par un lien dynamique de synchronisation à leur système d’information tel que Moodle, Apogée, etc.

Une partie de le Suite de gestion des identités de Tools4ever est UMRA Forms, une interface sécurisée, rapide et précise permettant de gérer le cycle de vie d’un utilisateur. Quand une école fait le lien entre Active Directory et le système d’information des étudiants, toutes les modifications du compte de l’étudiant sont automatisées, sans intervention manuelle.

Il y a quelques mois nous avons été en contact avec une école qui avait un problème intéressant en matière de supervision de session d’examen.

L’administrateur de l’école crée des comptes d’examen pour les élèves, avec les répertoires partagés normalisés comme pour chaque utilisateur. Dans le répertoire, il crée une série de dossiers « examen », auxquels l’élève doit seulement accéder pendant une session d’évaluation contrôlée. L’élève peut avoir besoin d’utiliser le compte examen à l’extérieur d’une période d’évaluation contrôlée, donc l’activation et la désactivation du compte utilisateur n’est pas une option.

L’administrateur avait vraiment besoin d’un moyen de contrôler les autorisations NTFS sur les dossiers d’examen dans le répertoire pour chaque compte. TOOLS4EVER a donc construit une interface simple, déléguée au personnel enseignant, permettant d’activer et de désactiver l’accès aux dossiers d’examen par un seul clic.

La tâche fastidieuse de gestion des comptes examen est maintenant déléguée au personnel enseignant. Plus important encore, UMRA trace chaque action à des fins d’audit.

Cliquez ici pour en savoir plus sur la gestion des identités et des accès pour les écoles et universités

Définir les bonnes questions pour la réinitialisation des mots de passe

Avec des outils comme SSRPM (Self Service Reset Password Manager) il est possible de déléguer les demandes de réinitialisations de mot de passe aux utilisateurs eux-mêmes. Si l’utilisateur est bloqué à cause d’un oubli de mot de passe, il suffit qu’il clique sur le bouton « j’ai oublié mon mot de passe » disponible depuis son écran de connexion et, après avoir répondu à quelques questions de sécurité, il peut lui-même réinitialiser son mot de passe.

Les avantages sont clairs :

  •     une réduction des appels vers le helpdesk
  •     une réduction des coûts de support
  •     une sécurité améliorée (comment votre helpdesk identifie l’appelant aujourd’hui?)

Mais quelles sont donc les bonnes questions de sécurité ? Comment créer une liste de questions à la fois sécurisantes et difficiles à deviner, et en même temps dont il serait facile de s’en rappeler…
Le site goodsecurityquestions.com (en anglais) vous donne quelques conseils et pistes concernant la création de ces questions de sécurité.

Quelques critères importants pour la définition de questions de sécurité :

  •     Difficile à deviner ou de trouver la réponse (par internet ou autres recherches: social spying) ???
  •     La réponse ne change pas avec le temps
  •     Facile à mémoriser
  •     La réponse doit être définitive et simple dans un format non ambigu

Depuis l’existence de Self Service Reset Password Manager, beaucoup d’entreprises utilisent l’outil afin de réduire les appels vers le support informatique. Lors de la création de questions de sécurité, il est toujours important de prendre en considération les aspects liés à la sécurité mais aussi liés à la facilité.

Voici quelques démarches qui ont été appliquées chez nos clients :
Les questions les plus pertinentes sont souvent celles liées au passé de l’utilisateur final, et ne changeant  pas avec le temps (et non : quelle est votre couleur préférée ?), pas de questions où la réponse peut avoir différents formats (heures, dates…), pas de questions où la réponse peut être partagée avec ses collègues (nom de votre chien…) ou des réponses qu’on peut trouver sur des réseaux sociaux (facebook etc.)

Quelques exemples :

  •     Quel est le nom de famille de votre premier patron ?
  •     Comment s’appelait votre premier animal de compagnie ?
  •     Quel est le prénom de l’aînée de vos nièces ?

Cliquez ici pour obtenir plus d’informations sur la réinitialisation des mots de passe en mode self service ou sur les bonnes pratiques pour définir des questions de sécurité.

Les parents d’élèves peuvent désormais accéder aux données scolaires de leur enfants

Dans ce billet, je voudrais présenter des cas uniques où les clients ont des exigences qui sortent du cadre de nos solutions en matière de gestion des identités. L’un des 10 meilleurs établissements scolaires de l’Etat de Floride, et un des 25 meilleurs des Etats Unis, avait un problème de gestion des identités qui ne concernait ni les étudiants, ni les professeurs, ni le personnel, mais plutôt les parents d’élèves…

Une législation avait été adoptée pour que, tout parent désireux d’accéder aux données de leur enfant sur son environnement électronique d’apprentissage, se présente en personne afin de s’identifier et de demander un compte. Avec plus de 125 emplacements physiques et 500 et + utilisateurs pour gérer ce processus, un système papier n’était pas envisageable.

La solution mise en place est  une combinaison de produits proposés par TOOLS4EVER ainsi que la conception de formulaires web personnalisés.

TOOLS4EVER a travaillé en étroite collaboration avec le personnel technique de l’établissement pour s’assurer que les conditions étaient très détaillées afin d’éviter toute « pièce manquante ». Au final, une solution a été livrée en utilisant User Management Resource Administrator (UMRA), accompagnée d’environ 30 heures de prestation, ce package répondant parfaitement à leurs besoins.

Voici un bref aperçu de la solution:

  •     Un parent se présente à l’école et demande un compte pour accéder aux données de son/ses enfant (s).
  •     Un secrétariat où l’administrateur vérifie les identités et entre les informations pertinentes dans une page Web, comprenant :

Nom
Type d’identifiant, numéro et date d’expiration
Numéro(s) de téléphone (s)
Adresse
E-mail

  •     Le secrétariat cherche alors le nom d’utilisateur de l’étudiant ou les critères d’identités de l’étudiant, et vérifie avec le parent que le nom correct est affiché.
  •     L’individu clique ensuite sur le bouton « Enregistrer Parent »   et, si aucun doublon n’est trouvé, le dossier est créé dans l’Active Directory, ainsi que dans le système d’information des étudiants, et un lien entre le parent et l’enfant est créé.
  •     Un mot de passe temporaire est fourni et le secrétariat enregistre les informations, ainsi que le nom d’utilisateur, et le fournit aux parents.

Dans le cadre de ce projet, Self Service Reset Password Manager (SSRPM) a également été déployé pour les parents afin de leur permettre de s’inscrire et de réinitialiser leur mot de passe via des questions d’identification, et d’éviter une charge de travail inutile au  personnel du support technique.

Des formulaires Web supplémentaires ont été livrés pour permettre au personnel administratif de réinitialiser les mots de passe pour les comptes des parents, de vérifier leur statut d’inscription SSRPM, d’exécuter des rapports de dernière connexion, désactiver les comptes, de mettre à jour les comptes et les rapports sur les inscriptions SSRPM.

Depuis le déploiement du système, plus de 100.000 parents ont été admis et peuvent accéder aux dossiers de leur enfant en toute simplicité. La « paperasserie », utilisée par l’ancien processus a été éliminée et, par le biais de SSRPM, la charge supplémentaire de travail  au helpdesk  est inexistante.

Cliquez ici pour en savoir plus sur les solutions TOOLS4EVER