L'AFPA choisit d'authentifier ses personnels par PKI sur clé USB
L'AFPA est un organisme d'insertion professionnelle. Il devrait achever en cette fin d'année le déploiement d'une PKI d'origine Microsoft, avec des certificats hébergés sur une clé USB. La solution est couplée à des logiciels de SSO et de chiffrement. L'AFPA, (Association nationale pour la Formation Professionnelle des Adultes) est un organisme d'intérêt général pour l'insertion professionnelle. Il est organisé en 22 directions régionales. L'AFPA emploie plus de 11 900 salariés dont 5 000 formateurs. Il gère 272 sites de formation, 207 sites d'orientation et 7 établissements d'étude et de recherche. L'AFPA a mis en place une infrastructure sécurisée globale pour l'ensemble de ses collaborateurs. La solution déployée associe une authentification forte, le chiffrement et le SSO (Authentification unique) pour sécuriser et simplifier l'exploitation quotidienne des outils de l'association. Le projet remonte à 2006. L'AFPA voulait mettre en place des services de sécurité à partir d'un même support physique d'authentification sur les postes de travail : authentification forte à l'ouverture de session et sur les accès distants, protection par chiffrement des données du disque dur et authentification unique pour accéder aux applications métier protégées initialement par différents mots de passe. « La solution devait activer les différents services de sécurité de la manière la plus transparente possible pour l'utilisateur » précise Frédéric BOISSEL, responsable sécurité des systèmes d'information de l'AFPA. La solution retenue est une clé USB protégée par un code secret PIN, abritant les certificats numériques d'authentification et de chiffrement. La clé s'interface automatiquement avec le VPN Checkpoint de l'AFPA, le produit de chiffrement de l'éditeur PRIM'X (Zone Central) et le SSO de l'éditeur AVENCIS (SSOX), ainsi qu'avec la PKI de Microsoft. L'intégration des trois services de sécurité a constitué un critère de choix déterminant. « Aujourd'hui, l'utilisateur introduit sa clé USB et saisit son code PIN. Ensuite, d'un simple clic sur une icône, il accède directement au réseau de l'entreprise, à son « coffre » SSO et à son coffre de documents chiffrés », poursuit Frédéric BOISSEL. L'AFPA a réalisé un volume d'activité d'un milliard d'euros en 2007 et emploie plus de 11 000 personnes réparties sur 350 sites en France. La DSI de l'association gère un parc de plus de 10 000 PC répartis sur 110 domaines Windows. Fin 2007, 500 utilisateurs (Comité Exécutif, postes nomades, postes sensibles) étaient équipés de la solution complète. L'ensemble des utilisateurs bénéficiera de tout ou partie de ces services de sécurité d'ici la fin de l'année 2008. Le produit retenu est le token de CYBER-PASS de la société SCRYPTO. Il s'accompagne d'un outil de d'administration ou CMS (Card Management System), pour une structure comptant de nombreux sites dispersés géographiquement. Le CMS s'installe sur un serveur WEB, sans installation sur le poste client. L'AFPA a délégué l'administration du parc de clés USB à un centre d'appel national. L'outil assure la gestion complète du cycle de vie des tokens, de la création à la révocation, et pilote les échanges avec la PKI et les différentes applications de sécurité. Il a permis des procédures à distance adaptées à l'organisation répartie de l'AFPA, notamment en cas de perte du support physique ou de son verrouillage suite à la saisie accidentelle de 3 codes PIN erronés.