Sécurité des accès, bien plus que du SSO

Avec l’adoption du cloud computing et des logiciels SaaS, le nombre d’applications utilisées dans les milieux professionnels ne cesse d’augmenter.

Selon l’étude 2025 SaaS Trends Report de la société Najar, les organisations de 200 à 350 employés utiliseraient en moyenne 300 logiciels et applications. Pour chaque utilisateur, ce sont autant d’accès, identifiants et mots de passe à sécuriser.

Une multiplication des usages numériques qui entraîne également un élargissement de la surface d’attaque, et donc des opportunités d’intrusion pour les cybercriminels.

Confrontés à ces espaces de travail complexes, les DSI et RSSI doivent garder la maîtrise des accès et des droits de leurs utilisateurs.

Mais alors, comment s’assurer que seuls les utilisateurs légitimes accèdent aux ressources de l’entreprise ? Comment concilier sécurité et confidentialité des données, sans freiner les usages ?

Oodrive, prestataire de confiance souverain et qualifié SecNumCloud répond à ces enjeux en proposant une approche intégrée de la sécurité des accès, combinant IAM, MFA et gestion du cycle de vie des identités.

Éclairages et explications dans cet article.

IAM, Zero Trust : les bases d’une gestion des accès maîtrisée.

Qu’ils soient internes ou externes à votre organisation, les utilisateurs actifs au sein de votre système d’information doivent être strictement encadrés.

Pour y parvenir, chaque compte doit être associé à un rôle et à des droits, définis selon la fonction et les besoins réels de l’utilisateur. Des règles contextuelles peuvent affiner ces autorisations en incluant la typologie de l’équipement, la localisation ou encore le niveau de sensibilité des données consultées.

Les solutions d’IAM (Identity and Access Management) simplifient ce travail de gestion des équipes informatiques, tout en réduisant les erreurs humaines : elles centralisent et automatisent la gestion des identités, rôles et droits au sein d’une interface unique.

Mais, cette approche repose encore sur une forme de confiance accordée à l’utilisateur connecté. Pour aller plus loin, il est nécessaire de renforcer les contrôles d’accès en adoptant le modèle Zero Trust que recommande Oodrive, qui considère qu’aucun utilisateur, appareil ou session ne doit être présumé fiable par défaut.

Chaque tentative d’accès doit ainsi être vérifiée, authentifiée et validée, quelle que soit son origine.

En complément, le principe du moindre privilège vient encadrer les droits de l’utilisateur, qui n’accède qu’aux données strictement nécessaires à sa tâche.

La collaboration sécurisée

Découvrez notre plateforme collaborative, certifiée ISO 27001 & 27701 et qualifiée SecNumCloud

En savoir plus

Des mécanismes comme le Just in Time (JIT) restreignent encore ces accès, en imposant des limites de durée. Ainsi, en cas de compromission d’un compte utilisateur, l’impact reste-t-il contenu à un périmètre restreint.

Le SSO (Single Sign-On) : simplifier les accès sans compromettre la sécurité.

Une bonne pratique en matière de gestion des accès est de limiter la multiplication des identifiants. En permettant à l’utilisateur d’accéder à plusieurs applications avec un seul couple identifiant-mot de passe, le SSO (Single Sign On) répond à cet enjeu.

Lors du recours au SSO, aucun mot de passe utilisateur n’est jamais transmis aux applications tierces. L’accès repose sur l’émission d’un jeton d’authentification (aussi appelé « token »), généré par un fournisseur d’identité (Identity Provider – IdP).

Zina BOUSHIH, Ingénieure Avant-vente chez Oodrive, détaille le fonctionnement de cette technologie : « Chez Oodrive, on va plutôt interroger l’annuaire d’identité du client. Est-ce que cet utilisateur a le droit d’accéder aux services, ou pas ? Selon la réponse renvoyée par le fournisseur d’identité, nos applications autorisent ou bloquent l’accès à l’utilisateur. Pour assurer cette communication, nous avons recours à quatre protocoles SSO : LDAP, SAML v2 (utilisé par 80 % de nos clients), Kerberos et OpenID Connect. »

Un gain de temps très apprécié des utilisateurs : authentifiés une seule fois depuis leurs postes, ils accèdent ensuite aux applications utilisant le service de SSO sans ressaisir aucun mot de passe, tout au long de leur journée de travail.

Pour les équipes informatiques, l’avantage est double : l’authentification est renforcée (pas de mots de passe partagés avec des tiers) et la DSI garde le contrôle sur la création des identités.

Malgré ces avantages, le SSO n’apporte pas à lui seul un niveau de sécurité suffisant. Il n’est pas non plus adapté à tous les usages, comme le rappelle Zina BOUSHIH : « Il n’est pas recommandé d’activer un service SSO pour des environnements de secours, destinés à une phase de remédiation tel que les PRA et PCA. »

De plus, en cas de compromission, l’identifiant unique de l’utilisateur devient un point de vulnérabilité critique.

C’est pour cela que Oodrive recommande et déploie des solutions d’authentification multifacteur (MFA), de supervision et de traçabilité des accès  afin de garantir une sécurité renforcée et un contrôle continu des accès et identités.

Durcir la sécurité des accès grâce au MFA

Le Multi-Factor Authentication (MFA) est fortement recommandé pour renforcer la sécurité des points d’accès, notamment lors du recours au SSO.

Ce verrou supplémentaire vient sécuriser les accès des collaborateurs internes, mais aussi celui des prestataires, partenaires ou intervenants externes à l’organisation.

Le MFA repose sur trois facteurs d’authentification :

• ce que je sais (un mot de passe ou un code PIN),
• ce que je possède (un appareil ou une clé d’authentification),
• et ce que je suis (une donnée biométrique, par exemple une empreinte digitale).

Pour l’accès à ses services, Oodrive propose plusieurs facteurs d’authentification secondaires : des codes TOTP (Time-based One-Time Password) générés toutes les 30 secondes par une application de confiance comme Oodrive Authenticator, ainsi que par des clés physiques FIDO2 pour les données les plus sensibles.

En complément et conformément aux recommandations de l’ANSSI, Oodrive impose un minimum de huit caractères, mais préconise des mots de passe de 16 caractères combinant majuscules, minuscules, chiffres et symboles.

En cas d’attaque par force brute (tests automatiques de mots de passe par un attaquant), le risque de compromission de votre identifiant est quasi nul.

Une fois la sécurité des accès renforcée, la gestion du cycle de vie des identités vient compléter la stratégie IAM. Elle permet l’application du principe du moindre privilège en accordant à chaque utilisateur les droits qui lui reviennent, ni plus ni moins.

Maîtriser le cycle de vie des identités, de la création à la clôture du compte utilisateur.

Un enjeu prioritaire, lorsque l’on cherche à renforcer la cybersécurité d’une organisation, est de réduire les angles morts : comptes dormants, inactifs ou mal configurés, ou encore droits résiduels qui subsistent après le départ d’un collaborateur. Ces situations fragilisent la sécurité des données et exposent l’organisation à des risques de fuite et d’intrusion.

Chez Oodrive, la gestion du cycle de vie utilisateur s’appuie sur un modèle simple, comme l’explique Zina BOUSHIH : « Nos utilisateurs sont classés selon trois statuts : actif, suspendu ou fermé. Ce système facilite l’administration des licences pour nos clients. »

Ainsi Oodrive propose au sein de sa suite collaborative :

• Une gestion centralisée chez le client des rôles et des droits, en cohérence avec le profil et les besoins réels de l’utilisateur, selon la logique RBAC (Role Based Access Control), ainsi que des attributs et règles de connexion pertinentes pour son activité : contrôle de l’équipement, de la localisation ou encore du niveau de confidentialité de la donnée consultée, selon la méthode ABAC (Attribute Based Access Control).
• Une fonctionnalité d’auto-provisioning, soit la création, l’attribution et la mise à jour automatique des droits et accès, en accord avec les données renseignées dans l’annuaire du client.
• Un nettoyage périodique des comptes : un compte inactif pourra être automatiquement suspendu après une période d’inactivité prédéfinie, puis fermé s’il n’est pas activé à nouveau dans un délai imparti. Les licences récupérées peuvent être réattribuées.

Traçabilité – Confidentialité – Souveraineté : la méthode Oodrive pour la sécurité des accès

Oodrive est la première solution SaaS à avoir obtenu la qualification SecNumCloud en 2019, pour ses solutions Oodrive Work et Oodrive Meet. Elles intègrent ainsi des fonctionnalités parmi les plus fiables du marché :

• Des journaux détaillés et non altérables : chaque action (création, partage, suppression, consultation, téléchargement) est journalisée, horodatée et fait l’objet d’une signature numérique non falsifiable.
• Des logs supervisés en continu par nos équipes et qui peuvent être exportés pour analyse par les SIEM et SOC de nos clients.
• Confidentialité absolue des données :  ni les administrateurs ni les équipes Oodrive n’ont accès aux contenus des documents, à moins que leurs propriétaires ne les partagent.
• Chiffrement avancé et cloisonnement : les données hébergées et traitées sur nos plateformes sont protégées par des dispositifs de sécurité avancés : chiffrement, HSM et cloisonnement, qui garantissent que les informations ne puissent être interceptées et lues par un tiers non autorisé.
• Protection des liens de partage : par mot de passe, codes TOTP, limite de durée, du nombre de téléchargements, mais aussi des mesures dissuasives comme l’apposition de filigranes sur les fichiers consultés et téléchargés, laissant une trace nominative et horodatée en cas de fuite de données.
• Un support spécialisé : dans une approche à taille humaine, Oodrive propose un support expert et de proximité : CSM dédié et équipes support spécialisées accompagnent les clients dans la configuration, la formation et la résolution des problèmes. Dans le cadre du SSO par exemple, les ingénieurs d’Oodrive peuvent accompagner les équipes informatiques à chaque étape de la configuration et du déploiement du service.

Oodrive, partenaire de confiance qualifié, pour la souveraineté de vos données

Qualifié SecNumCloud par l’ANSSI, Oodrive applique les plus hauts standards de sécurité et de conformité.

Chiffrement de bout en bout, journalisation exhaustive et immuable, auditabilité : le modèle Zero Trust est au cœur de nos pratiques, comme de nos solutions.

Nos infrastructures, hébergées en France, sont certifiées ISO 27701, témoignant de notre expertise en matière de protection des données personnelles.

Choisir Oodrive, c’est opter pour une approche souveraine de la gestion des données incluant le respect des exigences de conformité les plus strictes et une sécurité renforcée. Contactez nos experts pour construire une stratégie cloud souveraine, alignée avec vos exigences de sécurité et de conformité.