Sanofi-Aventis : «le SSO améliore la satisfaction et la productivité des utilisateurs»
Le SSO (Single-Sign On, ou système d’authentification unifié) serait-il l’une des briques de sécurité IT les plus faciles à vendre tant aux métiers qu’aux directions financières. C’est en tout cas ce que l’on serait tenté de penser à l'écoute de Vincent Rosetto, directeur de la sécurité et de la protection de l’information, dans la branche recherche et développement de Sanofi-Aventis, qui témoignait de la mise en oeuvre des solutions de SSO d’Evidian lors des Assises de la Sécurité, la semaine passée, à Monaco.
C’est un projet qui a démarré en 2004 sous la pression d’une offre applicative très riche et d’une organisation très éclatée : Sanofi-Aventis, ce sont 105 000 collaborateurs dans 110 pays, dont 21 sites de recherche et développement et 800 applications au profil plus ou moins critique. D’autant plus que la R&D de l’entreprise pourrait presque ressembler à une petite entreprise : «on y retrouve un peu toutes les fonctions d’une entreprise,» explique Vincent Rosetto, directeur de la sécurité et de la protection de l’information de la branche R&D de Sanofi Aventis. Au final, dans cette branche, «on compte en moyenne une quinzaine d’applications par utilisateurs.»
Simplifier, économiser
Vincent Rosetto a coordonné le projet de déploiement des outils SSO d’Evidian, et a assuré l’interface avec les utilisateurs pour la définition de leurs besoins. Pour lui, unifier l’authentification dans les différentes applications, «c’était d’abord pour renforcer la sécurité de l’accès aux applications» en évitant les problèmes liés aux mots de passe perdus ou mémorisés sur des bouts de papier, sous le clavier. Mais, «en seconde position venait la volonté de simplifier l’activité journalière des utilisateurs.» En outre, il s’agissait «d’améliorer la gestion des droits d’accès dans le cadre de leur processus d’attribution pour les gestionnaires d’applications», ainsi que le support, et tout particulièrement pour les applications dont le contrôle d’accès n’est pas lié à l’annuaire de l’entreprise. Accessoirement, si c’est l’offre SSO d’Evidian qui a été retenue, «c’est parce qu’elle n’est pas intrusive par rapport à notre infrastructure et qu’elle est compatible avec les environnements hétérogènes.
Attention aux questions pour la gestion des mots de passe |
Pour réinitialiser leur mot de passe, les utilisateurs de Sanofi-Aventis doivent répondre à 5 questions parmi un ensemble de 15; ils doivent fournir au moins 3 réponses justes. C’est justement la définition des questions qui s’avère particulièrement sensible : pour êtres efficaces, elles doivent porter sur des informations très personnelles, connues seulement de l’utilisateur - «d’autant plus que nous avons des couples dans l’entreprise,» souligne Vincent Rosetto. Au final, «il y a eu de la résistance de la part des syndicats sur certaines questions - surtout en Allemagne. Mais on a expliqué que le but n’est pas d’obtenir des informations personnelles; seulement d’assurer la sécurité. Le fichier a été déclaré à la Cnil.» En outre, Vincent Rosetto souligne que les informations obtenues des utilisateurs sont chiffrées et inaccessibles y compris aux administrateurs. |
Cliquez pour dérouler |
A terme, et compte tenu de la situation du marché sur lequel évolue Sanofi-Aventis, le SSO doit apporter d’autres avantages : «la solution étant adossée à l’annuaire Active Directory, l’intégration de nouvelles sociétés sera facilitée; il suffira d’une extension de schéma de l’annuaire.» Et la solution retenue profite des capacités d’héritage de droits entre groupes de l’annuaire.
Une solution pour la mobilité
C’est cette année, en 2010, que le périmètre du projet a finalement été étendu à l’ensemble du groupe Sanofi-Aventis et à ses 80 000 postes de travail. Pour l’heure, une centaine d’applications sont concernées dont, à 80 %, des applications de type Web - «mais aussi des applications Web, du Citrix, du SAP, etc.». Surtout, il a été étendu aux visiteurs médicaux, au Etats-Unis, avant le monde entier, pour sécuriser les accès mobiles et autoriser des avancées fonctionnelles telles que la réinitialisation de mot de passe hors ligne ou encore l’authentification forte par carte à puce (en France) ou par biométrie (aux Etats-Unis).
Au final et compte tenu du succès du projet auprès des utilisateurs, la brique SSO doit même servir de socle de départ pour la mise en oeuvre de la gestion des identités et des accès. Une brique désormais active pour tous les utilisateurs et intégrée aux images maîtres des postes de travail - «sauf les Mac, qui sont hors du périmètre.» Pour Vincent Rosetto, «le retour sur investissement se fait en semaines, pas même en années. Il y a eu un vrai gain de confort et de productivité des utilisateurs. Leur adhésion a été obtenue facilement.» Mieux, le SSO est désormais intégré dans la méthodologie projet de l’entreprise, afin de garantir la bonne reconnaissance par l’outils des fenêtres d’interface graphique d’ouverture et de fermeture de session - le SSO d’Evidian «fonctionne par détection» de ces éléments.