Authentification forte en mode Security as a Service

Plus de 40.000 certificats à ce jour, essentiellement à destination de personnes privées ou professionnelles. D’importants clients sont les grandes institutions financières, les pouvoirs publics nationaux et certaines institutions européennes.

Aujourd’hui, les solutions de sécurité proposées par LuxTrust offrent la garantie d’une authentification forte de tous les acteurs d’échanges électroniques, une signature électronique à valeur légale, la non-répudiation de cette même signature, ainsi que l’assurance de l’intégrité des données échangées. «Le développement de l’économie numérique est à ce prix », estiment Fréderic Foeteler et Yves Nullens, directeurs de LuxTrust S.A. « Il repose en grande partie sur la confiance des utilisateurs. Aussi est-il nécessaire de garantir l’authentification et la confidentialité des données échangées.»

Dans les entreprises, on sent également bien que le «user name» et le «password» ne suffisent plus, le gouvernement luxembourgeois et les banques étant les premiers à avoir donné un signal fort en ce sens en motivant leur clientèle en déjà en novembre 2008 d’utiliser d’avantage les produits de LuxTrust pour se connecter en toute confiance aux applications enligne. Mais ce ne sont plus les seules. Si Single-Sign-On (SSO), Identity & Access Management (IAM) et Public Key Infrastructure (PKI) sont des solutions différentes, elles se renforcent. Dans l’industrie on constate une volonté de les coupler afin d’atteindre un niveau optimal de sécurité physique et d’accès logique.

«Pour les entreprises, c’est une façon simple de renforcer leur sécurité », poursuit Fréderic Foeteler. « Tout comme pour l’authentification forte dans un site e-banking, nos services peuvent être intégrés dans des applications génériques d’accès à des Portails, des ERP, des bases de données ou d’autres applications d’entreprises. Nous avons même démontré une intégration de notre concept de signature numérique et de service d’horodatage dans les flux de transmission des images satellitaires de l'Agence spatiale européenne. Partout où des informations numériques sont envoyées ou archivées, notre concept de sécurité et de valeur légale peut s’intégrer facilement.»

LuxTrust ne manque pas d’arguments. Le premier étant d’offrir une solution reconnue internationalement car certifiée. De fait, par-delà l’aspect purement technologique, la mise en place d’une PKI suppose la présence et le fonctionnement sans faille d’une entité faisant office de tiers de confiance. C’est une mission que LuxTrust remplit, se soumettant aux standards internationaux et nationaux les plus stricts ; c'est-à-dire LuxTrust est soumis aux règles de l’Institut européen des normes de télécommunication, de la Commission de Surveillance du Secteur Financier, de la Commission Nationale Pour la Protection des Données et de l’Organisation de l'aviation civile internationale pour l’émission des certificats et la gestion d’un réseau d’autorités d’enregistrement.

Chère la PKI? Oui, même pour les déploiements à grande échelle. Sauf si on la mutualise. C’est précisément ce que fait LuxTrust en offrant aux entreprises une forme de Security as a Service. «On vit un étonnant paradoxe: les entreprises veulent plus de sécurité, mais rechignent à s’en charger partant du principe que ça ne rapporte pas», analyse Fréderic Foeteler.

Sous forme de service, la sécurité devient plus abordable; elle perd aussi sa lourdeur technique. Dans la proposition de LuxTrust, le client institutionnel (banque, administration, entreprise…) paie à l’usage annuel par utilisateur ; par exemple pour la validation annuelle d’un Signing Stick l’entreprise paie 10,-EUR par certificat, quel que soit le nombre d’accès sur l’année. En clair, une entreprise qui compte 100 utilisateurs actifs paiera 1.000,-EUR par an. Seul engagement de l’entreprise: respecter les «best practices» de LuxTrust - des engagements de bon sens. En contrepartie, LuxTrust peut soutenir le client en cas de litige.

«Ce modèle économique est unique. Pour les entreprises, il positionne l’authentification forte à un niveau de prix impossible à atteindre dans le cas d’un développement interne spécifique, sans compter le fait que nos clients institutionnels profitent d’une sécurité à toute épreuve et de garanties de services inatteignables hors contexte de mutualisation, argumente Fréderic Foeteler. Pour les utilisateurs finaux, enfin, c’est la facilité même: un seul produit pour se connecter à différentes applications 24 heures sur 24 et 7 jours sur 7, service d’assistance compris et la garantie d’être toujours compatible avec Windows, Linux et Mac».