Projets

SG-CIB gère les accès physiques et informatiques avec un badge unique

Société Générale Corporate et Investment Banking (SG-CIB) a témoigné sur la mise en place de sa SSO sur les Assises de la Sécurité à Monaco le 4 octobre 2012.

PublicitéLa gestion des mots de passe reste une des grandes difficultés dans les entreprises aux systèmes d'information aux innombrables applications. La mise en place d'un Single Sign On (SSO) avec gestion d'identité associée est alors la réponse.

Société Générale Corporate et Investment Banking (SG-CIB) est la banque d'investissement internationale du groupe Société Générale. Elle a donc des activités qui vont du financement structuré aux opérations de trading sur les marchés boursiers où la moindre coupure de service est inenvisageable. « Les traders ont des besoins très pointus, mais nous devons aussi gérer des utilisateurs qui ne sont pas du tout technophiles » constate Franck Ebrard, RSSI de la SG-CIB. Il a témoigné de son projet de SSO au cours d'un atelier des Assises de la Sécurité à Monaco le 4 octobre 2012.

Les systèmes d'information utilisés sont très complexes et comprennent de nombreuses applications différentes avec des règles différentes de gestion des accès. Franck Ebrard se souvient : « un trader m'avait raconté mettre vingt minutes à activer son poste de travail le matin en saisissant trente deux identifiants/mots de passe. Une telle complexité entraîne les mauvaises pratiques comme le fameux mot de passe sur post-it. »

La solution logique face à ce genre de situation est le SSO : poste de travail, applications, réseau, accès physique aux locaux... Pour cela, il n'était pas question de redévelopper tout le système d'information.

Grâce à un développement réalisé par Evidian (Groupe Bull) couplé a une carte a puce pour le stockage des certificats ainsi que la technologie Mifare pour le sans contact, le défi a pu être relevé. Les traders possèdent plusieurs postes de travail simultanés (une vingtaine). Une carte introduite dans un poste maître gère tous les accès sur tous les postes de sa grappe. Si un poste supplémentaire est disponible, il peut être dynamiquement ajouté à la grappe.

Retirer la carte implique le verrouillage des postes de la grappe. Or si un trader va aux toilettes, ce qui implique qu'il emporte sa carte pour sortir et re-rentrer dans les locaux sécurisés, il va a priori déclencher le verrouillage de toutes ses applications, ce qui n'est pas possible. L'utilisateur va donc pouvoir temporairement déléguer ses postes à son voisin, ce qui est bien sûr tracé.

La mise en oeuvre de cette SSO a été bien entendu un projet informatique. Mais l'équipe de la DSI a travaillé avec les utilisateurs, la direction juridique (déclarations CNIL, modification du règlement intérieur...), les responsables immobiliers...

Le projet a été mis en place dans un premier temps sur un groupe test. La DSI a alors étudié les retours volontaires mais aussi les usages ou non-usages.

Après quinze mois de projet, le déploiement sur 16000 positions de travail a pris quatre mois. L'échange des anciennes cartes pour accès physique avec les nouvelles cartes SSO se faisaient sur rendez-vous, avec sessions de formation. La communication a été une grosse partie du projet pour assurer la gestion du changement.

PublicitéPour les salariés qui oublient leurs cartes chez eux, (...)

Pour les salariés qui oublient leurs cartes chez eux, il est possible de temporairement repasser en mode mot de passe en se présentant physiquement à un help-desk avec sa carte d'identité. Ce help-desk fournit alors des mots de passe temporaires.

Il reste quelques soucis sur des locaux à l'étranger où l'accès physique utilise une technologie incompatible ainsi qu'avec quelques applications incompatibles. Et certains utilisateurs ont encore un peu de mal avec le concept de badge unique. « Une demande de badge supplémentaire pour que l'utilisateur puisse laisser sa carte dans le lecteur tout en quittant les locaux, cela arrive encore » soupire Franck Ebrard.