Modernisation de la gestion des identités à grande échelle

Une importante agence publique chargée des services informatiques gère la gestion des identités et des accès pour plus de 145 000 utilisateurs répartis dans des dizaines d'entités publiques, notamment des services chargés de l'application de la loi dont les systèmes doivent répondre aux exigences de sécurité strictes des Services d'information de la justice pénale (CJIS).  

En tant que client de longue date de RSA, l’agence comptait depuis des années sur RSA SecurID et Authentication Manager pour protéger son environnement sur site. Elle avait désormais besoin d’une feuille de route : un moyen d’étendre cette infrastructure fiable à un environnement Microsoft axé sur le cloud, d’alléger la charge de travail du service d’assistance qui s’était alourdie avec l’augmentation de sa base d’utilisateurs, et de mettre en place le système d’authentification sans mot de passe et résistant au phishing requis par sa stratégie Zero Trust. 

L'agence a trouvé cette voie grâce à RSA. Plutôt que de remplacer ses systèmes existants, l’agence a modernisé ses capacités : elle a étendu sa plateforme RSA existante au cloud grâce à RSA ID Plus, ajouté des fonctionnalités de libre-service et d’automatisation du cycle de vie avec RSA ID Plus Prime, et déployé RSA Help Desk Live Verify pour combler l’une des vulnérabilités les plus exploitées au sein des grandes organisations : le service d’assistance lui-même. Le résultat est une plateforme d’identité certifiée FedRAMP, conforme à la norme FIPS 140-3 et aux exigences CJIS, qui fonctionne de concert avec Microsoft Entra Identity pour protéger les ressources cloud, hybrides et sur site à partir d’une console unique et unifiée. 

Les services informatiques des administrations régionales opèrent à une échelle qui rend la modernisation de la gestion des identités à la fois urgente et complexe. À elle seule, cette agence gère plus de 145 000 identités d’utilisateurs réparties entre des dizaines d’entités, chacune présentant des profils de risque, des obligations de conformité et des besoins d’authentification différents. Le parc Microsoft, au cœur de son infrastructure, s’était considérablement développé, Microsoft 365 et Microsoft Entra Identity gérant désormais l’accès aux charges de travail dans le cloud à l’échelle de l’entreprise. Dans le même temps, les systèmes sur site, l’accès au réseau via RADIUS, les applications héritées et les environnements hautement sécurisés qui ne pouvaient pas être migrés vers le cloud restaient essentiels aux opérations quotidiennes. 

Microsoft offre de solides capacités de gestion des identités au sein de son propre écosystème, mais les domaines dans lesquels Entra présentait des limites correspondaient également à ceux où le risque de cette agence était concentré : les charges de travail hybrides et sur site, les applications héritées nécessitant une authentification par jeton matériel, les environnements isolés physiquement (air-gapped) ou dépendants de RADIUS, ainsi que les cas d’utilisation à haut niveau de sécurité soumis à des exigences de conformité FIPS et CJIS. Pour combler ces lacunes en matière de vulnérabilité, il fallait une plateforme spécialement conçue pour prendre le relais là où Microsoft s’arrête. RSA ID Plus, en tant que complément à Microsoft Entra agréé par FedRAMP, était cette plateforme. 

L'infrastructure d'identité existante de l'agence fonctionnait sur une ancienne version d'une solution d'authentification RSA déployée sur site. Cette ancienne solution prenait en charge environ 109 000 jetons logiciels et 36 000 clés matérielles. Et bien qu’il ait toujours été fiable, il ne suffisait plus à répondre aux besoins croissants de l’agence. Plusieurs problèmes critiques pour l’activité étaient apparus : 

• Charge de travail du service d'assistance : Les réinitialisations d'identifiants et les demandes d'intégration généraient environ 2 500 appels au service d'assistance par mois. L'expérience en libre-service associée à l'ancienne solution offrait des possibilités de personnalisation limitées et ne permettait pas de réduire ce volume. Pire encore, le service d'assistance lui-même constituait un risque pour la sécurité : les attaques par ingénierie sociale consistant à usurper l'identité d'utilisateurs légitimes pour obtenir un accès via les canaux d'assistance représentaient un risque non maîtrisé. 
• « Zero Trust » et authentification multifactorielle (MFA) résistante au phishing : L’initiative « Zero Trust » de l’agence exigeait une authentification résistante au phishing dans tous les environnements, et pas seulement dans les systèmes natifs du cloud. Les processus traditionnels basés sur les mots de passe et les codes OTP ne permettaient pas de répondre à cette exigence, et l’agence devait donc étendre ses capacités aux authentificateurs push, biométriques, à codes QR, ainsi qu’aux authentificateurs matériels certifiés FIDO2 et FIDO, tout en préservant son investissement existant dans les jetons. 
• Conformité et certification : Les services chargés de l'application de la loi au sein de l'agence exigeaient une authentification conforme à la norme CJIS, avec des pistes d'audit centralisées et des rapports en temps réel. Les exigences fédérales en matière d'harmonisation orientaient vers des solutions agréées FedRAMP. Les cas d'utilisation hautement sécurisés nécessitaient des authentificateurs matériels certifiés FIPS 140-3.
• Rapports et gouvernance : Les rapports manuels, établis à partir de tableurs, ne permettaient pas de s'adapter aux exigences en matière d'audit et de conformité à l'échelle de 145 000 utilisateurs. L'agence avait besoin d'une visibilité automatisée et en temps réel sur les événements d'authentification, l'état du cycle de vie des jetons et l'activité des utilisateurs. 

La modernisation devait répondre à tous ces enjeux simultanément, sans pour autant imposer un remplacement complet qui aurait perturbé un effectif de 145 000 utilisateurs qui connaissent déjà l'authentification RSA. 

RSA ID Plus est certifié FedRAMP et spécialement conçu pour très complexe environnements hybrides. Il s'intègre à Microsoft Entra Identité via SAML et OpenID Connect, permettant d'étendre une politique d'authentification cohérente à Microsoft 365, aux applications hébergées dans le cloud et aux systèmes sur site, sans remplacer la couche d'identité Microsoft ni obliger l'organisme à gérer deux consoles distinctes. Alors qu'Entra couvre le cloud Microsoft, RSA prend en charge tout le reste : RADIUS, les applications héritées, les environnements isolés physiquement et les charges de travail qui nécessitent un niveau de sécurité supérieur à celui offert par les outils natifs du cloud. 

“ L'agence n'a pas eu à choisir entre la protection de son environnement Microsoft et la préservation de son investissement dans RSA. La solution RSA ID Plus a permis de concilier ces deux objectifs. ”

RSA offrait également ce qu’aucune solution ponctuelle ne pouvait proposer : une réponse complète au problème du service d’assistance. RSA Help Desk Live Verify (brevet en instance) assure une authentification bidirectionnelle sans mot de passe pour les interactions avec le service d’assistance, permettant ainsi au personnel du service d’assistance et aux utilisateurs de vérifier mutuellement leur identité sans code PIN, sans secret partagé ni questions de sécurité pouvant faire l’objet de recherches ou d’attaques par ingénierie sociale. Pour une agence gérant 145 000 utilisateurs Au sein de dizaines d'entités, Help Desk Live Verify a remédié à une vulnérabilité systémique qu'aucune extension de l'authentification multifactorielle (MFA), à elle seule, n'aurait pu éliminer. 

Pour les cas d’utilisation exigeant le plus haut niveau d’assurance au sein de l’agence, notamment les environnements relevant du CJIS, les systèmes des forces de l’ordre et les fonctions nécessitant du matériel certifié FIPS, RSA a proposé la gamme RSA iShield Key 2 : des authentificateurs matériels certifiés FIDO2 et FIPS 140-3 niveau 3, prenant en charge une authentification sans mot de passe et résistante au phishing, conforme au décret présidentiel 14028, ainsi qu’aux directives OMB M-22-09 et M-24-14. Aucun autre fournisseur participant à l’évaluation n’était en mesure d’offrir ce niveau de garantie matérielle tout en proposant la gamme hybride proposée par RSA. 

Cette collaboration a été rendue possible grâce à ThunderCat Technology en tant que revendeur de solutions et Carahsoft Technology Corp en tant que distributeur, apportant tous deux au programme une solide expérience en matière de marchés publics. RSA Professional Services a mis à disposition pendant douze mois un consultant résident dédié à mi-temps, intégré au sein de l’agence, chargé de la conception, de la mise en œuvre et du transfert de connaissances tout au long du projet. 

Le déploiement s’est déroulé en deux phases. Au cours de la première, RSA ID Plus a été déployé selon un modèle de cloud hybride, reliant la solution d’authentification RSA existante de l’agence à la plateforme cloud RSA via des « Identity Routers » intégrés. Les jetons matériels et logiciels existants ont été conservés sans réenregistrement. Microsoft Active Directory et LDAP ont été intégrés en tant que sources d’identité. Les politiques d’authentification ont été étendues à Microsoft Entra et Microsoft 365 via SAML et OIDC. L’ensemble des moyens d’authentification modernes (notifications push, biométrie, codes QR, matériel certifié FIDO2 et FIDO) a été activé parallèlement au parc de jetons existant. L’agence a déployé son premier portail d’authentification unique (SSO).  

Au cours de la deuxième phase, la solution RSA ID Plus Prime a été déployée sur la plateforme. Le portail en libre-service de Prime a remplacé l’ancienne console Authentication Manager, en étant configuré pour reproduire les flux de travail existants, ce qui a permis de limiter au minimum la formation nécessaire à la transition. Le portail d’administration du service d’assistance a fourni au personnel d’assistance une interface dédiée, tandis que RSA Help Desk Live Verify a sécurisé ces interactions contre les attaques d’ingénierie sociale. Le cadre d’intégration Prime AMIS a remplacé les rapports manuels par des fonctionnalités automatisées en temps réel : API, flux de travail et audit. La vérification d’identité via le portail Prime Identity Verification Portal, servant d’interface pour Socure ID Proofing (la solution de vérification d’identité existante de l’agence), a sécurisé et rationalisé les workflows d’intégration des nouveaux utilisateurs et de récupération des identifiants, sans nécessiter d’intervention informatique intensive auprès des utilisateurs finaux. 

Cette modernisation a permis d'obtenir des résultats dans trois domaines : le niveau de sécurité, l'efficacité opérationnelle et la conformité réglementaire. 

Sécurité et conformité 

• Une authentification multifactorielle (MFA) résistante au phishing à l'échelle de l'entreprise : L'agence est passée du système OTP traditionnel à une suite complète d'authentificateurs résistants au phishing, comprenant des notifications push, la biométrie, des codes QR, la technologie FIDO2 et du matériel certifié FIPS 140-3, le tout géré depuis une console unique dans des environnements cloud, hybrides et sur site. Cette solution répondait ainsi aux exigences du modèle « Zero Trust » et respectait les exigences du CJIS en matière d’authentification à haut niveau de sécurité dans les systèmes des forces de l’ordre.
• Alignement entre FedRAMP et FIPS : L'autorisation FedRAMP de RSA ID Plus a fourni le niveau de conformité fédéral requis par l'agence. Pour les cas d’utilisation nécessitant le plus haut niveau d’assurance, la certification FIPS 140-3 de niveau 3 de la RSA iShield Key 2 répondait aux exigences des décrets EO 14028 et OMB M-22-09, alors qu’aucune solution équivalente n’était disponible parmi les outils natifs de Microsoft. 
• Élimination du risque lié à l'ingénierie sociale au niveau du service d'assistance : RSA Help Desk Live Verify a éliminé ce vecteur d'attaque en remplaçant la vérification basée sur une base de connaissances par une authentification bidirectionnelle sans mot de passe, garantissant ainsi que ni les utilisateurs ni le personnel d'assistance ne puissent être victimes d'une manipulation psychologique visant à compromettre leurs identifiants. 

Améliorations opérationnelles 

• Baisse du nombre de demandes adressées au service d'assistance : Le portail en libre-service « Prime » a permis aux utilisateurs de gérer eux-mêmes leurs identifiants, d'enregistrer leurs dispositifs d'authentification et de finaliser leur mise en service sans intervention du service informatique. L'agence prévoit ainsi de réduire de 2 500 le nombre d'appels reçus chaque mois par le service d'assistance concernant des demandes liées à l'identité.
• Rapports en temps réel et préparation aux audits : La génération automatisée de rapports via la plateforme Prime AMIS a remplacé les processus manuels, offrant ainsi aux équipes chargées de la conformité une visibilité en temps réel sur les événements d'authentification, l'état du cycle de vie des jetons et l'activité des utilisateurs, ce qui est essentiel pour répondre aux obligations d'audit CJIS au sein de toutes les entités chargées de l'application de la loi de l'agence. 
• Une modernisation sans interruption : Les 109 000 jetons logiciels et les 36 000 jetons matériels de l'agence ont été conservés et transférés. Aucune réinscription n’a été nécessaire pour les 145 000 utilisateurs. Le nouveau portail en libre-service a été configuré pour reproduire les flux de travail existants. Les utilisateurs finaux ont perçu cette transition comme une amélioration et non comme une perturbation. 
• Haute disponibilité à grande échelle : L'architecture hybride à haute disponibilité a permis d'assurer la résilience sur l'ensemble des voies d'authentification (cloud, sur site et RADIUS), sans nécessiter de nouvelle infrastructure. 

Renforcement de l'environnement Microsoft 

• RSA, la solution de sécurité dont Entra avait besoin : La solution RSA ID Plus a étendu la politique d’authentification à Microsoft 365, aux charges de travail Azure et aux systèmes sur site grâce à une intégration unique, apportant ainsi une couverture hybride, une assurance matérielle et un niveau de conformité que Microsoft Entra ne pouvait pas offrir à lui seul. L’intégration de la méthode d’authentification externe (EAM) RSA/Microsoft Entra a permis de préserver l’investissement existant dans Microsoft tout en renforçant le niveau de sécurité dans l’ensemble de l’environnement combiné. 
• Une expérience homogène sur les deux plateformes : Le portail SSO « My Page » de RSA offrait aux utilisateurs une interface d'authentification homogène, que leur charge de travail se trouve sur Microsoft 365 ou sur un système sur site. Les politiques suivaient l'utilisateur quel que soit l'environnement. 

La plateforme actuellement exploitée par l’agence est conçue pour évoluer. Son architecture hybride permet d’intégrer de nouvelles agences, de nouveaux utilisateurs et de nouveaux cas d’utilisation sans nécessiter de refonte de l’architecture. Les fonctionnalités FIDO2, de vérification d’identité et de matériel certifié FIPS sont en place pour prendre en charge les obligations relatives à l’authentification sans mot de passe à mesure qu’elles s’étendent à l’ensemble des entités de l’État. Le transfert de connaissances intégré tout au long de la mission des services professionnels de RSA garantit que le personnel de l’agence est en mesure d’exploiter et de faire évoluer la plateforme de manière autonome. 

Pour un organisme public régional qui faisait confiance à RSA depuis des années et qui devait se moderniser sans tout repartir de zéro, la voie à suivre passait nécessairement par le partenariat qu’il avait déjà établi, ainsi que par un environnement Microsoft qui, grâce à cela, est désormais nettement plus sécurisé. 

Cette mission a été menée en partenariat avec OrageCà Technology, l'un des principaux revendeurs de technologies pour le secteur public, et Carahsoft Technology Corp, l'un des plus grands distributeurs informatiques du secteur public aux États-Unis. OrageCà et l'expérience de Carahsoft dans la gestion des procédures de passation de marchés au niveau fédéral et des États a permis de mener à bien ce programme de modernisation de manière efficace, et leur implication continue au sein de l'écosystème RSA soutient les initiatives en cours en matière d'identité dans le secteur public à travers tout le pays.