Twitter Facebook Google Plus Linkedin email Imprimer Pdf

|||

Barclays France améliore sa sécurité avec le « zéro mot de passe ».

Publié le 02 juin 2010 par Pierre Picard

Assurer sécurité et efficacité

En doublant de taille en quatre ans, Barclays France a prouvé que son offre séduisait sa clientèle d’entreprises et de particuliers aisés. Mais le succès crée ses propres défis. Le directeur sécurité de la banque, Bertrand Dunoyer de Segonzac, a fait le constat que la gestion des procédures de sécurité d’accès aux applications n’était plus adaptée.

Rigoureuses, les règles de sécurité du groupe étaient difficiles à faire intégrer par des employés toujours plus nombreux. Les applications étaient en nombre croissant et de technologies très diverses. Avec presque autant de mots de passe que d’applications, les erreurs et oublis étaient fréquents. Le help desk était donc surchargé, avec un coût très important en termes d’assistance et de productivité perdue. Dans le même temps, les contrôles stricts se renforçaient : mots de passe complexes renouvelés tous les mois, verrouillage après trois erreurs par exemple.
Paradoxalement, cette abondance de mots de passe nuisait à la sécurité informatique : les utilisateurs notaient leurs mots de passe par écrit.

La direction de la sécurité a donc élaboré une proposition pour résoudre cette situation. Mais comment déclencher une décision d’investir dans un projet de sécurité – et sur un sujet comme les mots de passe ? La solution allait venir des utilisateurs eux-mêmes. « Lors d’une consultation sur leur environnement de travail, les employés ont souhaité de la direction générale de Barclays une solution aux problèmes de mots de passe » explique Bertrand Dunoyer de Segonzac. « J’ai donc obtenu le feu vert pour une solution radicale mais réaliste : éliminer les mots de passe dans toute la banque. »

Supprimer les mots de passe… en toute sécurité

En pratique, la banque a décidé que l’objectif « zéro mot de passe » serait accompli par deux solutions complémentaires. D’abord, les utilisateurs accèdent à leur PC avec une solution de biométrie supprimant la nécessité de retenir les nombreux mots de passe. Une fois authentifiés, un single sign-on (SSO ou authentification unique) remplit à leur place les mots de passe leur permettant d’accéder à toutes leurs applications. L’accès aux applications de la banque serait ainsi protégé avec une seule méthode d’authentification, simple mais sûre : présenter son doigt à un lecteur biométrique. Outre la sécurité et la simplicité d’utilisation, cette combinaison apporte un plus à la banque en termes d’image et d’innovation.

Choisir une solution

Suite à un appel d’offre auprès de trois fournisseurs, Barclays France a retenu le produit d’authentification unique Evidian Enterprise SSO. « Nous avons apprécié la réactivité des équipes techniques d’Evidian. Leur solution était la seule à nous permettre d’administrer SSO et biométrie à partir d’un seul écran, ce qui simplifie la gestion. Et Evidian fournit un mode de secours efficace en cas de non fonctionnement de la biométrie » indique Bertrand
Dunoyer de Segonzac

Lors d’une phase pilote, l’équipe de Barclays France a testé ses principales applications pour s’assurer que le SSO pouvait automatiser l’entrée des mots de passe. Elle a constaté que ses applications pouvaient être intégrées rapidement, malgré leur diversité : Lotus Notes, client/serveur, Web, applications en mode terminal sur OS/400 et Unix…et ce, sans impact sur les applications elles-mêmes.

Les aspects fonctionnels et légaux étaient également critiques. « La CNIL est très vigilante sur l’utilisation des empreintes digitales ; il faut fournir un dossier très argumenté. Notamment, les données biométriques ne doivent pas être centralisées, mais se trouver sur le PC ou un support externe » explique Bertrand Dunoyer de Segonzac.
Le fournisseur de biométrie, lui, a été choisi après une période pilote d’un mois, sur des critères d’ergonomie et de fiabilité.

La mise en place

Différents scénarii ont été établis durant la phase de pré-déploiement. Cas des collaborateurs se déplaçant d’un poste à l’autre, prise en compte des portables, protection des ports USB et passage en site de secours… Il s’est révélé nécessaire de consacrer plusieurs minutes au démarrage pour apprendre aux utilisateurs à utiliser la solution. Des séances de formation ont donc permis de gagner du temps et d’éviter les problèmes.

L’équipe informatique a choisi de déployer la solution service par service, en faisant un bilan formel après chaque installation. Les équipes du siège à Paris ont été les premières à bénéficier de la solution, suivies des sites de province. Cela a permis de découvrir des particularités qui n’étaient pas anticipées, et d’en tenir compte lors du déploiement suivant.
« L’installation elle-même est légère. Mais la diversité des cas dépassait largement ce que nous prévoyions, et l’outil d’Evidian a su prendre cela en compte facilement. Et le projet a révélé des dysfonctionnements préexistants » précise Bertrand Dunoyer de Segonzac.

Les résultats

Le SSO par biométrie a été très rapidement intégré dans les habitudes quotidiennes, et les utilisateurs sont les premiers promoteurs de la solution auprès de leurs collègues non équipés.
Parallèlement, l’équipe informatique a constaté une baisse significative de la charge de help desk.
Barclays France a démontré qu’il était possible de combiner ergonomie, productivité et sécurité. Meilleur témoin de cette réussite, son expérience a contribué au choix d’Evidian Enterprise SSO par Barclays Wealth au Royaume-Uni.

En chiffres

  • Plus de 120 points de vente sur tout le territoire.
  • 170.000 clients.
  • 1500 employés dont 500 conseillers bancaires.
  • 40 applications.
  • Baisse de 30% des appels au help desk.

En savoir plus sur Evidian Enterprise SSO  >>

Assurer sécurité et efficacité

En doublant de taille en quatre ans, Barclays France a prouvé que son offre séduisait sa clientèle d’entreprises et de particuliers aisés. Mais le succès crée ses propres défis. Le directeur sécurité de la banque, Bertrand Dunoyer de Segonzac, a fait le constat que la gestion des procédures de sécurité d’accès aux applications n’était plus adaptée.

Rigoureuses, les règles de sécurité du groupe étaient difficiles à faire intégrer par des employés toujours plus nombreux. Les applications étaient en nombre croissant et de technologies très diverses. Avec presque autant de mots de passe que d’applications, les erreurs et oublis étaient fréquents. Le help desk était donc surchargé, avec un coût très important en termes d’assistance et de productivité perdue. Dans le même temps, les contrôles stricts se renforçaient : mots de passe complexes renouvelés tous les mois, verrouillage après trois erreurs par exemple.

Paradoxalement, cette abondance de mots de passe nuisait à la sécurité informatique : les utilisateurs notaient leurs mots de passe par écrit.

La direction de la sécurité a donc élaboré une proposition pour résoudre cette situation. Mais comment déclencher une décision d’investir dans un projet de sécurité – et sur un sujet comme les mots de passe ? La solution allait venir des utilisateurs eux-mêmes. « Lors d’une consultation sur leur environnement de travail, les employés ont souhaité de la direction générale de Barclays une solution aux problèmes de mots de passe » explique Bertrand Dunoyer de Segonzac. « J’ai donc obtenu le feu vert pour une solution radicale mais réaliste : éliminer les mots de passe dans toute la banque. »

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*