Avec la récente vague de compromissions informatiques très publiques, de nombreux acteurs de la sécurité informatique réévaluent leur stratégie globale de sécurité. Il est inévitable qu'à un moment ou à un autre de cette évaluation, l'idée de mettre en place une authentification multifactorielle soit envisagée.
Les cartes à puce sont souvent discutées et rapidement rejetées en tant qu'alternative aux systèmes multifactoriels existants. Toutefois, ces dernières années, de nombreux changements ont été apportés à l'offre de cartes à puce, notamment une réduction du coût total et une mise en œuvre plus facile dans des environnements hétérogènes.
La première étape d'un déploiement réussi de cartes à puce consiste à déterminer le type de software dont l'organisation a besoin pour aller de l'avant. Les besoins évidents comprennent les cartes, les lecteurs de cartes et les pilotes associés, ainsi que software. Une organisation devra également envisager un système de gestion des cartes à puce et éventuellement des imprimantes de cartes.
1. Les ressources
Il peut être difficile de trouver de bonnes ressources pour aider à la réalisation d'un projet de carte à puce et, trop souvent, je constate que les clients font appel au SOC trop tard dans le processus. Cela conduit souvent à devoir repenser certaines décisions qui ont été prises ou à créer une hypothèse qui n'a pas encore été entièrement vérifiée. S'engager avec une organisation qui possède une expérience significative dans le déploiement des cartes à puce dès le début du projet permet de réduire les erreurs et les hypothèses coûteuses, ce qui permet d'accélérer et d'améliorer l'expérience de l'utilisateur final lorsque les cartes sont déployées.
2. Sélection de la carte à puce
Il semble que tout le monde veuille vous vendre des cartes à puce de nos jours, mais attention, toutes les cartes ne sont pas égales. Il existe des options en ce qui concerne les systèmes d'exploitation des cartes, les exigences en matière d'intergiciels, la compatibilité des systèmes d'exploitation, le facteur de forme et l'espace disponible sur la carte. Tous ces éléments doivent être soigneusement pris en compte pour que la carte à puce convienne à votre organisation.
L'erreur la plus fréquente que je vois commettre aujourd'hui par les organisations est de ne considérer que le coût par carte et de ne pas tenir compte de ce qui est nécessaire pour que la carte fonctionne dans l'environnement. Si la carte à puce choisie nécessite une adresse software supplémentaire pour fonctionner dans un environnement Windows (typiquement appelé middleware PKCS 11), il est probable qu'elle vous coûtera beaucoup plus cher sur 5 ans qu'une carte qui n'en a pas besoin. Voici un calcul rapide pour montrer les différences de coût :
| Java Smartcard nécessitant un middleware PKCS #11 | Carte à puce CSP de base | |
| Coût d'acquisition de la carte à puce | 15.00 | 25.00 |
| Coût pour chaque siège de l'intergiciel | 35.00 | Inclus dans Windows |
| Coût de maintenance de l'année 1 à 5 pour le logiciel médiateur (20 % de la liste) | 35.00 | Inclus dans Windows |
| Coût total par utilisateur | 85.00 | 25.00 |
REMARQUE : l' exemple ne tient pas compte des coûts liés aux correctifs et aux efforts de déploiement, qui augmenteraient encore les coûts des logiciels intermédiaires.
Le tableau ci-dessus montre clairement que le coût de la carte ne représente qu'un faible pourcentage du coût total pour l'organisation.
3. Système de gestion des cartes à puce
Le choix du système de gestion des cartes à puce est tout aussi important que celui de la carte à puce. Une fois de plus, ces systèmes se présentent sous différentes formes et tailles et les choix les plus évidents ne sont pas toujours les meilleurs.
Le système de gestion des cartes à puce gère le cycle de vie de la carte à puce dans une organisation. Il fournit une plate-forme qui permet d'effectuer les opérations quotidiennes liées à la technologie de la carte à puce. Ces opérations comprennent la réinitialisation des codes PIN, le déblocage des cartes et la gestion des certificats d'une carte, etc.
La plupart des fournisseurs de cartes à puce proposent un système de gestion des cartes à puce spécifique au fournisseur, ce qui n'est probablement pas la meilleure option pour la plupart des organisations. Tout d'abord, votre organisation est liée à un fabricant de cartes spécifique et même si cela ne semble pas important dans un premier temps, dans quelques années, lorsqu'un nouveau type de carte, de facteur de forme ou de fonction, sera disponible auprès d'un autre fabricant, vous ne voudrez pas avoir à supporter des plates-formes de gestion multicartes. Par ailleurs, en fonction de la complexité de votre organisation, il peut être nécessaire de prendre en charge immédiatement différents types de cartes à puce. Par exemple, une carte CSP de base moins coûteuse pour Windows et des cartes PKCS11 pour les machines Linux et UNIX.
4. Champ d'application - Marcher avant d'essayer de courir
Les cartes à puce peuvent être utilisées à de nombreuses fins dans une organisation. Elles peuvent être utilisées pour la connexion à deux facteurs, l'accès VPN et elles peuvent être combinées avec la technologie pour l'accès physique ou être utilisées comme cartes de paiement pour la cafétéria.
Alors que la plupart des organisations ont pour objectif final d'éliminer l'utilisation de mots de passe pour l'ouverture de session, de nombreux projets de cartes à puce restent bloqués dans le groupe informatique parce que l'impact du changement n'est pas pris en compte de manière appropriée.
Commencez par déployer les cartes auprès d'un petit groupe dans un but précis. Par exemple, les administrateurs informatiques pour la connexion aux serveurs ou les cadres pour éliminer les attaques basées sur les mots de passe pour les informations de grande valeur. Déployer des milliers de cartes à puce et insister pour que tout le monde les utilise le lendemain pour se connecter se traduira probablement par un faible taux d'adoption et un retour d'information négatif. N'oubliez pas que dans cet exemple, vous demandez aux gens de se connecter sans mot de passe, ce que la plupart d'entre eux n'ont jamais fait. Il s'agit d'un changement important pour une personne non technique.
5. Planification
Comme pour tout autre projet informatique, la planification est essentielle à la réussite du déploiement d'une carte à puce. Travailler avec une équipe qui a déjà une expertise dans le domaine des déploiements de cartes à puce peut réduire de manière significative les raisons courantes de l'échec des déploiements de cartes à puce. Une communication et une formation adéquates sont essentielles à la réussite du déploiement.
Il est tout aussi important de s'assurer que le cycle de vie complet de la carte à puce est pris en compte. Trop souvent, nous avons vu des organisations consacrer du temps et de l'argent au déploiement des cartes, mais très peu au renouvellement ou au remplacement. L'utilisation de la technologie appropriée pour s'adapter à l'environnement et aux processus existants réduira la complexité.
Les consultants de CSS ont travaillé avec des clients du monde entier pour déployer avec succès plus de 100 000 cartes à puce. Nous travaillons avec des partenaires stratégiques et le client afin de garantir la meilleure solution de carte à puce possible pour votre organisation. Nous sommes fiers d'offrir une assistance de qualité pour répondre à la spécificité de chaque environnement et aux préoccupations organisationnelles.
