Amadeus sécurise l’accès à ses applications avec LoginPeople

A l’occasion d’un atelier organisé sur le salon ROOMn, début avril, à Deauville, Florent Maupay, responsable de la sécurité applicative chez Amadeus, a expliqué avoir misé sur la solution d’authentification multifacteurs de LoginPeople pour sécuriser l’accès à ses applications. Avant ce déploiement, Amadeus ne disposait pas de solution d’authentification multifacteurs pour l’accès à ses applications. Mais les enjeux sont importants. Comme le rappelle Florent Maupay, Amadeus fournit une solution de réservation pour agents de voyage qui couvre plus de 390 compagnies aériennes et 350 000 agences de voyage. L’entreprise compte 10 000 employés répartis à travers le monde. En tout, elle a géré 443 millions de réservations en 2013. Amadeus pèse, in fine, pour 40 % des réservations sur l’aérien. Ses systèmes supportent jusqu’à 120 000 transactions par seconde, avec un pic quotidien de 10 000 authentifications à la seconde.

D’où le besoin d’une solution robuste et hautement scalable. Florent Maupay explique que celle de LoginPeople, déployée en interne, dans les centres de calcul d’Amadeus, répond à cette problématique. Mais ce n’est pas le seul besoin couvert : « nombre de nos applications sont accessibles via le Web. Elles servent à gérer les utilisateurs et leurs droits, les prix des billets, l’enregistrement, mais également l’accompagnement des passagers à l’aéroport », explique le responsable de la sécurité applicative. Les données manipulées s’avère hautement sensibles parce que le détournement, par un pirate, « des droits d’un de nos clients, c’est potentiellement tous ses avions qui sont cloués au sol. » Amadeus pourrait alors encourir de lourdes pénalités susceptibles de mettre sa pérennité en péril.

L’accompagnement des passagers à l’aéroport est un poste particulièrement sensible. Des agents tapent manuellement identifiant et mot de passe sur l’écran d’un iPad, devant tout le monde… il suffirait d’une caméra mal intentionnée… Le besoin d’une solution d’authentification robuste apparaît alors clairement. Mais afin de ne pénaliser ni la productivité des personnels ni l’accompagnement des passagers, la transparence est essentielle. De même que le support de plateformes très variées et la simplicité de déploiement afin de limiter les contraintes logistiques.

La solution de LoginPeople, dite d’ADN numérique, s’est imposée naturellement : « elle est basée sur ce que sait l’utilisateur et sur ce qu’il utilise. » Il s’agit ainsi d’ajouter au duo login/mot de passe un troisième composant, le matériel utilisé et dont une signature, basée sur les composants électronique, et enregistrée dans une base de données. Le dispositif a récemment reçu la certification CSPN par l’Anssi. L’ensemble est intégré à l’annuaire Active Directory d’Amadeus.

Pour son déploiement, l’entreprise a retenu quelques options visant à simplifier l’adoption, en partant du postulat selon lequel l’utilisateur est connu, mais son matériel. Celui-ci doit donc faire l’objet d’un enrôlement initial, à l’aide d’un mot de passe à usage unique transmis par un canal distinct. Un même équipement peut être enrôlé pour plusieurs utilisateurs. Et un même utilisateur peut déclarer plusieurs équipements différents. De quoi supporter les scénarios dans lesquels les composants d’un parc matériel ne sont pas strictement et constamment affectés à un même et unique utilisateur.

Enfin, Amadeus a choisi de ne vérifier le couple utilisateur/matériel qu’à l’ouverture de session sur les applications. Ne pas procéder à des vérifications périodiques en cours de session semble répondre à ses besoins.