Carrières
Instagram Linkedin

Transport

Double authentification : renforcer la sécurité des accès sans compromettre l’usage

15

jours / an

1

Expert sécurisation identité et accès / DevOps

Protéger les applications critiques ne relève plus d’une simple précaution, mais d’un impératif stratégique. Dans le secteur du transport, une entreprise suisse doit  renforcer la sécurisation des accès à une application métier sensible accessible via un portail Citrix. Utilisée par des collaborateurs internes comme par des prestataires externes, cette solution soulève des enjeux forts en matière de contrôle des identités et de fluidité d’usage. Qim info répond à cette problématique par un dispositif de double authentification sur-mesure, combinant Citrix, Red Hat SSO et Keycloak.

Sécuriser l’accès à une application critique métier

Dans cette entreprise du secteur du transport, une application métier sensible accessible via un portail Citrix constitue un outil clé pour le fonctionnement quotidien des équipes. Utilisée à la fois par des collaborateurs internes et des prestataires externes, elle concentre des données critiques et nécessite un contrôle strict des accès.

Jusqu’alors, tous les utilisateurs accédaient à l’application via une authentification unique, sans distinction de parcours ni de niveau de sécurité. Ce fonctionnement, bien que simple à administrer, présentait plusieurs limites :

  • Une vulnérabilité importante en cas de compromission des identifiants,
  • Une absence de différenciation entre utilisateurs internes et externes,
  • Une traçabilité limitée des connexions.

Pour répondre à ces enjeux, l’entreprise fait appel à Qim info pour concevoir un dispositif de double authentification capable de renforcer la sécurité des accès sans complexifier l’usage au quotidien.

Définir les objectifs du dispositif de sécurité

L’organisation vise donc à renforcer la sécurité de son application métier tout en garantissant une expérience fluide pour l’ensemble des utilisateurs. Le dispositif attendu doit répondre à plusieurs exigences :

  • Adapter le niveau d’authentification aux profils internes et externes,
  • Renforcer la traçabilité des connexions,
  • Centraliser la gestion des identités via des outils interopérables,
  • S’intégrer sans rupture dans l’environnement technique existant.

Qim info a pour mission de concevoir une solution robuste, adaptée à la diversité des profils, tout en garantissant un accès sécurisé et fluide.

Technos

Mettre en œuvre une solution sur-mesure avec Citrix, Red Hat SSO et Keycloak

Pour mener à bien ce projet, Qim info a mobilisé un expert DevOps spécialisé en gestion des identités et sécurisation des accès, engagé à hauteur de 15 jours par an pour piloter, maintenir et faire évoluer le dispositif.

Déployer un dispositif de sécurité adapté aux enjeux métier

L’intervention repose sur cinq axes clés, en parfaite cohérence avec les besoins exprimés par l’entreprise :

  1. Filtrage des accès : mise en place d’un contrôle d’accès granulaire à l’application cible via Citrix Gateway, en s’appuyant sur Red Hat SSO configuré en SAML comme fournisseur d’identité (IdP).
  2. Propagation des droits : définition de règles d’accès basées sur les groupes Active Directory, avec synchronisation via Red Hat SSO pour garantir une attribution automatique des autorisations.
  3. Authentification multifacteur (MFA) : activation obligatoire du MFA pour les prestataires externes afin de sécuriser les accès les plus sensibles, tout en maintenant une expérience fluide pour les collaborateurs internes.
  4. Déploiement de la solution : mise en production sur les environnements cibles, avec connecteurs personnalisés développés sous Keycloak, une solution open source dédiée à la gestion des identités et à la fédération des accès.
  5. Transfert de compétences et support : accompagnement des équipes internes via des sessions de formation ciblées, complété par un support de niveau 3, dédié au traitement des incidents complexes et à la maintenance avancée des composants SSO.

Comprendre le parcours d’authentification avec Citrix, Red Hat SSO et Keycloak

Le dispositif repose sur une chaîne d’authentification fluide et structurée, conçue pour adapter le niveau de sécurité au profil de chaque utilisateur. Voici les étapes clés du parcours :

1. Portail Citrix

L’utilisateur, qu’il soit collaborateur interne ou prestataire externe, accède d’abord à un portail Citrix sécurisé. Ce point d’entrée constitue la première barrière de contrôle vers l’application cible.

2. Redirection vers Red Hat SSO

Citrix redirige automatiquement l’utilisateur vers Red Hat SSO, configuré comme fournisseur d’identité (IdP) en mode SAML. Ce service assure une authentification centralisée et conforme aux standards de sécurité.

3. Annuaire Active Directory

Red Hat SSO interroge l’annuaire Active Directory (AD) pour valider l’identité de l’utilisateur et récupérer ses attributs : appartenance à un groupe, rôle, statut interne ou externe.

4.Adaptation du niveau d’authentification

Selon le profil détecté, deux parcours sont déclenchés :

  • Les collaborateurs internes accèdent à l’application via une authentification standard.
  • Les prestataires externes doivent s’authentifier à l’aide d’un second facteur, comme un code à usage unique ou une application mobile.

5. Gestion des droits avec Keycloak

Les autorisations d’accès sont vérifiées selon des règles définies dans Keycloak. Celles-ci sont automatiquement synchronisées avec les groupes Active Directory pour garantir une attribution cohérente des droits.

6. Accès final à l’application

Si tous les contrôles sont validés, l’utilisateur accède à l’application métier dans un cadre sécurisé, sans interruption ni friction, conforme aux politiques internes de sécurité.

Mesurer les bénéfices de la double authentification

Dans la solution mise en place par Qim info, l’authentification multifacteur (MFA) est spécifiquement appliquée aux prestataires externes, afin de renforcer la sécurité des accès pour ces utilisateurs. Ce mécanisme repose sur la combinaison de plusieurs facteurs d’identification, tels qu’un mot de passe associé à un code temporaire ou à une application mobile. Les collaborateurs internes, quant à eux, bénéficient d’un parcours d’accès fluide, conforme aux politiques de sécurité de l’entreprise.

Cette approche différenciée permet de renforcer la sécurité sans compromettre l’ergonomie ni multiplier les obstacles inutiles. Le dispositif répond ainsi aux enjeux de sécurité, de conformité et d’efficience.

Selon une étude publiée par Microsoft Research en 2023, la mise en œuvre du MFA permet de réduire jusqu’à 99,22% le risque de compromission des comptes, et jusqu’à 98,56% même en cas de fuite de mots de passe. Ces chiffres confirment l’efficacité concrète de ce type de dispositif dans un environnement à fort enjeu de sécurité.

Les bénéfices opérationnels sont multiples :

  • Une protection renforcée des accès sensibles,
  • Une meilleure traçabilité des connexions,
  • Une centralisation des règles d’accès,
  • Une harmonisation des pratiques de sécurité sur l’ensemble des profils.

L’ensemble du dispositif s’intègre naturellement aux outils déjà en place, sans nécessiter de refonte de l’environnement applicatif.

Pour renforcer l’efficacité globale de la stratégie de sécurité, il est essentiel de compléter ces dispositifs techniques par une approche humaine. Consultez notre article : Sensibilisation de vos équipes à la cybersécurité pour y découvrir comment former efficacement vos équipes pour réduire les risques liés aux erreurs humaines et instaurer une culture de sécurité partagée.

S’appuyer sur l’expertise Cloud & DevOps de Qim info

Au sein de son département Cloud & DevOps, Qim info conçoit des dispositifs de cybersécurité robustes, alignés sur les contraintes réelles des organisations. De la sécurisation des accès à la gestion fine des identités, ses experts interviennent sur des projets critiques en s’appuyant sur des technologies éprouvées.

Cette approche allie exigence technique, conformité réglementaire et simplicité d’usage, pour des environnements applicatifs sûrs et performants. Présente à Genève, Lausanne, Zurich, Bâle, Annecy et Lyon, Qim info déploie des solutions cybersécurité évolutives, personnalisées et conformes aux standards du marché.

Vous souhaitez renforcer vos accès sensibles ? Nos spécialistes Cloud & DevOps vous accompagnent dans la construction d’une réponse sur-mesure. Pour mieux comprendre les compétences mobilisées, découvrez notre article : Tout savoir sur le métier d’ingénieur en cybersécurité.

Découvrez notre département Cloud & DevOps Solutions

Faites évoluer vos infrastructures avec des solutions cloud agiles, sécurisées et adaptées à vos enjeux métiers.

Échanger avec un expert Cloud & DevOps

GENÈVE Carouge

Rue du Tunnel, 15-17
1227 Carouge – CH
+41 (0) 22 304 15 00

GENÈVE Petit-Lancy

Route de Chancy, 59
1213 Petit-Lancy – CH
+41 (0) 22 304 15 00

LAUSANNE

Place Bel-Air 1
1003 Lausanne – CH
+41 (0) 21 341 15 00

ZURICH

Dreikönigstrasse 55
8002 Zürich – CH
+41 (0) 44 201 01 34

BÂLE

Schützengraben 7,
4051 Basel – CH
+41 (0) 61 723 01 88

ANNECY

7 Av. du Pré Félin
74940 Annecy – FR
+33 (0) 4 56 67 49 91

© Qim info – Design : WeAreBandits – Growth : Nexoka
Instagram Linkedin
Instagram Linkedin