Projets

Bouygues Immobilier met en oeuvre une SSO informatique et accès physique

Au lieu de se contenter d'une simple carte à puce couplée à une solution de SSO permettant d'accéder aux PC et aux applications, Bouygues Immobilier a déployé un badge multifonction qui gère aussi les accès physiques et fait office de porte-monnaie électronique.

PublicitéAu début du projet, le système d'information de Bouygues Immobilier (filiale du groupe Bouygues comptant environ 1400 employés) avait beaucoup évolué depuis cinq ans en intégrant de nombreuses nouvelles applications.

Cette quantité croissante d'information gérée rendait plus sensibles les identifiants/mots de passe correspondants, que les utilisateurs avaient tendance à noter à droite à gauche. Parallèlement, beaucoup d'impressions et d'opérations de numérisation n'étaient pas sécurisées.

À l'occasion de l'emménagement dans le nouveau siège GALEO situé à Issy Les Moulineaux, la décision est donc prise de déployer un badge d'entreprise couplé à une solution de signature unique (SSOX de l'éditeur français Avencis).

Un badge couplé à une solution de SSO
Déjà distribué à quelque 500 employés, ce badge offre en réalité plusieurs fonctions complémentaires. Tout d'abord, parce que le format badge permet d'imprimer le logo de Bouygues Immobilier, il renforce le sentiment d'appartenance à l'entreprise.

D'autre part, grâce à sa puce sans contact (RFID), il permet l'accès aux bâtiments - siège et sites distants. Il fait également office de porte-monnaie électronique. Enfin, il unifie les accès aux PC et aux applications tout en sécurisant les impressions et numérisations.

« L'adoption de la solution a été facilitée par l'aspect multifonction et par un accompagnement quasiment personnalisé lors du déploiement qui a simplifié l'acquisition d'un nouveau mode de connexion. La gratuité des boissons chaudes lors d'un paiement avec le badge ajoute à l'image positive de la solution», explique Olivier Radix, RSSI de Bouygues Immobilier.

De plus, le niveau de sécurité s'en est trouvé renforcé, puisque l'utilisateur a généralement besoin de conserver sur lui son badge lorsqu'il s'éloigne de son poste de travail (ce qui entraîne le verrouillage automatique de la session) et que la plupart des utilisateurs ne connaissent plus leurs mots de passe (ce qui évite de les noter et de les partager).

Pour l'accès unifié à Windows et aux applications, tous les couples identifiants/mots de passe sont chiffrés et stockés sur la puce du badge, et automatiquement joués lors de chaque tentative d'accès, via un agent installé sur le PC. En fonction des applications et des usages, ces mots de passe peuvent être gérés par l'outil de SSO et non choisis par les utilisateurs (c'est le cas notamment pour le mot de passe Windows). D'autre part, l'usage du badge est protégé par un code PIN d'au minimum 4 caractères alphanumériques, avec un blocage après cinq essais infructueux.

Numérisations simplifiées et impressions sécurisées
Parallèlement, des lecteurs ont été connectés sur les ports USB des scanners. Là où l'utilisateur devait auparavant renseigner ses identifiants et mots de passe Windows pour une numérisation vers son répertoire, il suffit désormais de passer le badge devant le lecteur pour associer la numérisation au bon utilisateur.

Publicitéasés sur le même principe technique, des tests sont en cours pour la sécurisation des impressions : Lorsqu'une impression est envoyée en mode sécurisé, elle est déclenchée sur n'importe qu'elle imprimante équipée, après passage du badge de l'utilisateur devant le lecteur de l'imprimante. Un déploiement est à l'étude sur les sites concernés d'ici à la fin de l'année.

En cas d'oubli du badge, l'utilisateur ne connaissant plus son mot de passe Windows, deux solutions de secours sont prévues. Tout d'abord, l'utilisateur peut débloquer son PC et ses applications en répondant à des questions préétablies, tandis que l'entrée dans le bâtiment s'effectue comme celle d'un visiteur. Deuxième mode,en cas d'oubli des réponses, l'utilisateur peut obtenir auprès du help desk un mot de passe valable pour la journée.

Vers la gestion de différents cas particuliers
La suite du projet va maintenant consister à déployer la solution à tous les collaborateurs et à gérer différentes exceptions. Tout d'abord, la synchronisation des mails sur certains smartphones impose encore la connaissance du mot de passe Windows par les utilisateurs concernés. « Nous étudions une solution qui permettrait d'identifier le smartphone via son numéro de série, associé à un mot de passe choisi par l'utilisateur », explique Olivier Radix.

La connexion depuis un PC personnel ou public pourrait pour sa part passer par une version mobile de l'outil de SSO, implémentée sur une clé USB.

Autres cas particuliers à l'étude : Le partage par plusieurs utilisateurs de la même session Windows tout en utilisant leur badge personnel (utilisation ciblée sur quelques postes dédiés à des usages spécifiques tels que scanner applicatif ou accueil) ou, à l'inverse, l'authentification simultanée d'utilisateurs qui accèdent simultanément à plusieurs PC.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Les contraintes de fonctionnement propres à votre entreprise imposent-elles des environnements IT au plus proche des utilisateurs ou des lieux de production ?