Moins de mots de passe, moins d’oublis, plus d’efficacité. Sur le papier, l’authentification unique a tout pour plaire aux petites entreprises. Mais centraliser les accès, c’est aussi concentrer les risques. Et en cas de compromission, les conséquences peuvent se propager très vite.
Le SSO (Single Sign-On), tout le monde en parle, peu prennent le temps d’en cadrer les usages. Devenu un standard dans les grandes entreprises, il gagne aussi du terrain dans les PME. Une suite bureautique qui l’intègre par défaut, un outil RH qui le propose en option, et le voilà configuré à l’échelle de la boîte, parfois sans réelle stratégie. Or, qui dit point d’accès centralisé dit exigence de sécurité maximale.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une bonne idée, à condition de faire les choses proprement
Si l’on peut affirmer une chose au sujet du SSO, c’est qu’il répond à un vrai besoin dans les petites structures parce qu’il fait gagner du temps à tout le monde : au salarié, qui n’a plus à jongler avec des dizaines de logins, et à l’équipe IT, qui ne passe plus ses journées à réinitialiser des mots de passe oubliés.
C’est aussi un bon moyen de remettre un peu d’ordre dans la gestion des comptes. Couplé à un système d’automatisation comme SCIM (protocole d’auto-création/suppression de comptes), le SSO facilite en effet la création et la suppression des accès au fil des arrivées, des départs ou des changements de poste, et ne permet d’ouvrir de sessions que pour des identités à jour, déclarées dans l’annuaire ou le système RH. Exit les comptes fantômes et les accès résiduels.
Malgré tout, le renforcement du contrôle d’accès par le SSO ne tient que si certains fondamentaux sont respectés. Sinon, il peut facilement créer des angles morts.
Un compte piraté, et c’est toute l’entreprise qui trinque
Car ce n’est pas parce qu’un mot de passe est saisi moins souvent qu’il est mieux protégé. Bien au contraire.
Toute la logique du SSO repose sur un fournisseur d’identité central (IdP), qui émet des assertions ou des tokens consommés par les applications, chacun avec ses propres droits, périmètres et durées de validité. Si ce fournisseur est compromis, tous les services associés peuvent potentiellement tomber : messagerie, documents partagés, CRM, facturation ou outils d’administration à distance. Jackpot pour l’attaquant.
Il faut toutefois distinguer l’authentification de l’autorisation. Le SSO permet de prouver son identité, mais l’accès effectif aux ressources dépend de ce que chaque application autorise. Ce sont les rôles, les groupes, les permissions, les règles d’authentification ou encore les contrôles de conformité du terminal qui définissent ce qu’un utilisateur peut réellement faire. Bien gérés, ces paramètres limitent les dégâts en cas d’intrusion. Mal configurés, ils élargissent le périmètre d’accès et transforment le SSO en accélérateur de compromission. Eh oui, il faut cloisonner, y compris dans les petites équipes !
À ces problèmes structurels s’ajoutent des pratiques techniques qui aggravent encore le risque : consentements OAuth accordés un peu vite à des applis tierces, scopes trop larges, access tokens à durée de vie excessive, refresh tokens oubliés après un départ, élévations de privilèges permanentes, ou absence de revalidation contextuelle pour les actions sensibles – le fameux step-up.
Et si, en plus, l’accès est autorisé depuis un terminal non conforme ou non géré, sans vérification de posture ni contrôle contextuel, alors plus rien ne freine la progression de l’attaquant. Dans les PME, où l’on dispose rarement d’un SOC, d’un SIEM ou d’une équipe de réponse, une attaque peut alors passer inaperçue pendant plusieurs jours, jusqu’à l’exfiltration de données ou au blocage complet des services.
Mettre en place un SSO… sans sacrifier la sécurité
Bref, le SSO n’est pas un problème en soi. En revanche, ce qui l’est, c’est son déploiement sans garde-fous.
Par conséquent, pas de SSO sans authentification multifactorielle, partout, pour tout le monde. Aucun service ne doit y déroger sous prétexte qu’il serait « moins critique ». On privilégie les méthodes résistantes au phishing, comme les passkeys (via WebAuthn/FIDO2), plutôt que les SMS ou les OTP classiques. On active des protections contre la fatigue MFA, comme la validation par numéro affiché ou le blocage des approbations en rafale. Et on n’oublie pas que les parcours de récupération de compte et les demandes d’aide au support doivent exiger le même niveau de preuve d’identité que la connexion elle-même.
Ensuite, on garde la main sur les droits. On segmente les rôles, on limite le périmètre des comptes à privilèges, et on évite de mélanger usages bureautiques et admin dans le même compte. Si possible, on met en place une élévation temporaire des droits (just-in-time) avec approbation, surtout pour les accès critiques. Et bien sûr, tout départ doit entraîner la révocation immédiate des droits et l’invalidation des sessions actives ou des refresh tokens.
On s’assure que les appareils utilisés respectent les critères de conformité, notamment pour les accès à distance. Et quand ce n’est pas possible – en cas de BYOD, par exemple – on peut recourir à un MAM léger ou à un agent de conformité, histoire de ne pas perdre totalement la main. Si certains accès ne peuvent pas être supprimés, on les encadre avec des protections adaptées, comme une authentification renforcée ou des restrictions d’usage. Et on adapte systématiquement les conditions d’accès selon le contexte : géolocalisation, horaire, terminal utilisé, détection de déplacements incohérents (« impossible travel »), etc.
Dans le même temps, on garde un œil sur ce qui se passe. Qui se connecte, quand, d’où, à quoi ? On active les fonctions de journalisation fournies par l’IdP, on configure des alertes simples sur les accès inhabituels, les élévations de privilège ou tout comportement suspect, et on documente un circuit de traitement en cas d’anomalie. Et si les moyens internes manquent, rien n’empêche de s’appuyer sur un prestataire extérieur ou un MSSP, ne serait-ce que pour poser les bons réglages au départ ou recevoir un coup de main en cas d’incident.
Enfin, il faut cesser de penser que tout se joue exclusivement dans la technique et ne pas négliger d’embarquer les équipes. Même le meilleur système de gestion des accès ne pourra rien contre un mot de passe communiqué par erreur, une session laissée ouverte sur un poste partagé ou une connexion à distance mal sécurisée. On prend donc le temps de sensibiliser régulièrement sur les risques, les bons réflexes, les arnaques courantes. Et surtout, on donne des consignes simples, au bon moment, pour que la sécurité devienne un réflexe, pas une contrainte. C’est tout bête, mais c’est souvent ce qui évite les vrais ratés.
Et si l’on ne peut pas garantir ce niveau d’exigence, mieux vaut parfois renoncer à centraliser les accès plutôt que créer un point de fragilité mal maîtrisé. Un système simple, bien segmenté et correctement isolé peut s’avérer plus résilient qu’un SSO bancal mis en place à la va-vite.
