Article

Qu’est-ce que la gestion des identités et des accès (IAM) ?

Access ManagementIdentity Security
Temps de lecture : 19 minutes

Définition de la gestion des identités et des accès

La gestion des identités et des accès (IAM) est un ensemble de pratiques et de technologies qui permettent aux organisations de sécuriser les identités numériques et de contrôler l’accès des utilisateurs à des informations sensibles. Cela inclut l’inscription des utilisateurs, l’authentification, le contrôle d’accès basé sur les rôles, ainsi que l’audit et le respect des réglementations.

L'IAM protège les données sensibles et les systèmes contre les accès non autorisés et les violations. Elle facilite également la gestion des identités numériques, des permissions d’accès et des politiques de sécurité en automatisant ces processus.

Les concepts clés de la gestion des identités et des accès

Identités numériques

Une identité numérique est l’ensemble des informations liées à une personne, une organisation ou un appareil sur un réseau ou en ligne. Ces informations, ou attributs de données, peuvent inclure :

  • La date de naissance
  • Le domaine
  • L’adresse e-mail
  • L’adresse IP (protocole internet)
  • Les antécédents médicaux
  • Les activités de recherche en ligne (par exemple, historique de navigation, transactions électroniques)
  • L’historique ou comportement d’achat
  • Le numéro de sécurité sociale
  • Le nom d’utilisateur et le mot de passe

Ressources numériques

Les ressources numériques sont des actifs existant sous forme numérique et accessibles par voie électronique. Elles sont stockées, traitées et transmises via des ordinateurs et des réseaux. Voici quelques exemples de ressources numériques dans le contexte de la gestion des identités et des accès (IAM) :

  • API (interfaces de programmation d’applications) : ensembles de règles pour permettre à différents logiciels de communiquer.
  • Services cloud : fournissent des capacités de calcul, de stockage et des applications via Internet.
  • Bases de données : collections structurées de données, comme les bases SQL ou NoSQL.
  • Certificats numériques : certificats SSL (Secure Sockets Layer)/TLS (Transport Layer Security) et autres formes d’authentification numérique utilisées pour sécuriser les communications et les transactions.
  • Contenu numérique : images, vidéos, fichiers audio, animations et médias interactifs.
  • Messagerie électronique et plateformes de communication : services de messagerie électronique, applications de messagerie instantanée, réseaux sociaux.
  • Fichiers et documents : textes, feuilles de calcul, présentations, documents PDF, etc.
  • Appareils IoT (internet des objets) : appareils connectés à l’internet qui collectent et transmettent des données.
  • Ressources réseau : adresses IP, enregistrements DNS (système de noms de domaine), routeurs, pares-feux et autres composants de l’infrastructure réseau.
  • Applications logicielles : logiciels cloud, applications mobiles, systèmes d’entreprise.
  • Machines virtuelles et instances cloud : environnements informatiques hébergés sur des infrastructures physiques ou cloud.
  • Pages web et sites web : tout document HTML (Hyper Text Markup Language) accessible via un navigateur web, y compris les sites d’information et de commerce.

Gestion des identités vs. gestion des accès

Les termes « gestion des identités » et « gestion des accès » sont souvent confondus, bien qu’ils désignent deux concepts distincts. La gestion des identités se concentre sur la vérification qu'une entité est bien celle qu'elle prétend être. En revanche, la gestion des accès s'appuie sur ces informations d'identité validées pour déterminer les ressources auxquelles l'entité peut accéder et comment elle peut les utiliser.

Différence entre gestion des identités et des accès et gestion des identités

La gestion des identités et des accès (IAM) et la gestion des identités sont deux aspects de la cybersécurité étroitement liés mais distincts. La gestion des identités se limite à l’administration des identités numériques, tandis que l’IAM ajoute une couche de contrôle d’accès pour assurer une utilisation sécurisée et conforme des ressources. Pour en savoir plus sur la différence entre IAM et la gestion des accès à privilèges, consultez cet article de SailPoint.

Gestion des identitésGestion des identités et des accès
Concerne principalement le cycle de vie de l’identité numérique des utilisateurs.Inclut la gestion des identités avec des contrôles d’accès basés sur des politiques de sécurité.
Fonctions principales : – Création, mise à jour et suppression de comptes d’utilisateurs – Gestion des modifications des informations d’identité au fil du temps – Vérification de l’identité d’un utilisateur avant de lui accorder l’accès.Fonctions principales : – Permettre aux utilisateurs de s’authentifier une seule fois et d’accéder à plusieurs systèmes avec une authentification unique (SSO) – Définir et appliquer des politiques qui déterminent les autorisations des utilisateurs – Améliorer la sécurité en exigeant plusieurs formes de vérification (c’est-à-dire l’authentification multifactorielle ou MFA) – Accorder ou refuser l’accès à des ressources spécifiques en se fondant sur des politiques établies.

Pourquoi l’entreprise a-t-elle besoin de la gestion des identités et des accès et de la gestion des identités ?

La gestion des identités et des accès (IAM) est cruciale pour la sécurité, la conformité et l’efficacité opérationnelle. Elle ne concerne pas seulement les employés, mais aussi les sous-traitants, partenaires, clients, ainsi que les dispositifs et segments de code (comme les API ou les microservices).

En outre, les systèmes de gestion des identités permettent aux équipes informatiques d’appliquer des politiques d’entreprise à l’accès des utilisateurs. Par exemple, des conditions dépendantes peuvent être définies, comme l’exigence d’une connectivité sécurisée lors de l’accès à des informations sensibles.

Avantages de la gestion des accès et des identités et de la gestion des identités

  1. Application du principe du moindre privilège : utilisation de contrôles d’accès granulaires pour limiter l’accès des utilisateurs aux seules ressources nécessaires.
  2. Automatisation de l’intégration et du départ : octroi, modification ou révocation automatiques de l’accès lors de l’arrivée, du changement de rôle ou du départ des utilisateurs.
  3. Authentification unique (SSO) : permet aux utilisateurs d’accéder à plusieurs systèmes avec une seule identité, simplifiant ainsi la gestion des accès.
  4. Amélioration de la productivité : optimisation de l’accès aux ressources, réduisant ainsi le temps que le service informatique consacre à la gestion des comptes d’utilisateurs.
  5. Élimination des mots de passe faibles: mise en œuvre de politiques de mots de passe strictes pour renforcer la sécurité des accès.
  6. Identification des risques potentiels : utilisation de l’intelligence artificielle pour détecter des anomalies dans l’accès aux données.
  7. Mesure des performances : suivi de l’efficacité des programmes de gestion des identités grâce à des indicateurs de performance.
  8. Réduction des menaces internes : application de l’analyse comportementale pour détecter des schémas d’accès inhabituels des utilisateurs internes.
  9. Simplification de la conformité : gouvernance de l’accès, suivi de l’utilisation et automatisation des rapports de conformité réglementaire.
  10. Prise en charge du modèle Zero Trust: utilisation d’un dossier d’identité complet et à jour pour garantir que l’accès est accordé uniquement en fonction des besoins spécifiques des utilisateurs.

Fonctionnement de la gestion des identités et des accès et de la gestion des identités

Le processus commence par l’établissement d’une identité numérique pour chaque entité gérée. Une fois cette identité créée, un système IAM administre cette identité tout au long de son cycle de vie, incluant la maintenance et les modifications nécessaires.

Pour garantir que seul l’accès nécessaire est accordé, les systèmes de gestion des identités et des accès permettent à l’entreprise d’attribuer des autorisations étroitement définies sur la base des identités au lieu d’autoriser un accès général par le biais d’un nom d’utilisateur et d’un mot de passe.

Ces systèmes sont utilisés pour contrôler quels utilisateurs ont accès à quelles ressources, quels appareils et quels actifs dans le réseau. Ils empêchent l’accès non autorisé aux ressources, ce qui accroît la sécurité et la productivité et réduit les risques et les vulnérabilités.

Les systèmes de gestion des identités et des accès surveillent en permanence les sources d’information. En cas de changement dans la source d’information, le système IAM extrait les nouvelles informations, les recalcule, applique des politiques, puis transmet ces informations à d’autres systèmes. En règle générale, ces systèmes disposent d’un ensemble de règles et de scripts utilisés pour traiter les données.

Choisir le bon système de gestion des identités et des accès

Lors de l’évaluation d’un système IAM, il est crucial de réaliser une analyse des besoins spécifiques de l’organisation. Voici quelques points à considérer :

1. Secteur d’activité

Les systèmes de base de la gestion des identités et des accès fournissent les fonctionnalités nécessaires à de nombreuses organisations. Cependant, certains secteurs ont des exigences uniques. Il existe des solutions adaptées à différents secteurs (par exemple, la santé, les services financiers) et elles comportent des fonctionnalités qui répondent à leurs besoins spécifiques (par exemple, conformité, sécurité avancée, bases d’utilisateurs géographiquement distribuées).

2. Options de déploiement : cloud vs on-premises

Les solutions de gestion des identités dans le cloud (IDaaS, ou identity-as-a-service) sont devenues l’option par défaut pour la plupart des organisations. Cependant, certaines ont besoin d’options « on-premise » (sur site) ou hybrides. Il est important de connaître les options de déploiement, ainsi que leurs points forts et l'assistance disponible.

3. Taille de l’organisation

Les besoins en logiciels de la gestion des identités et des accès varient en fonction de la taille de l’organisation, et ce afin d’adapter les capacités et les outils aux environnements informatiques, aux sites de l’entreprise, aux emplacements des utilisateurs et aux charges de travail. La croissance prévue est un autre élément important dont il convient de tenir compte. Une organisation qui s’attend à une croissance importante doit choisir un système capable de s’adapter à l’évolution des besoins.

4. Exigences en matière d’assistance

La première considération en matière d’assistance devrait être liée au déploiement et à la mise en œuvre. Les fournisseurs de services de gestion des identités et des accès et de gestion des identités doivent être évalués en fonction de l’assistance qu’ils offrent et de la manière dont celle-ci s’aligne sur les besoins de l’organisation.

Une fois le système lancé, il nécessitera une maintenance et une surveillance continues. Les organisations doivent également déterminer si ces tâches seront gérées en interne ou si l’assistance d’un fournisseur est nécessaire.

5. Base d’utilisateurs

La base d’utilisateurs d’une organisation doit être prise en compte dans l’évaluation des systèmes de gestion des identités et des accès. Par exemple, il convient de déterminer si les utilisateurs humains se limitent aux employés ou s’ils incluent les utilisateurs externes, tels que les sous-traitants, les clients et les partenaires. Les entités non humaines (par exemple, les appareils, les applications, le stockage dans le cloud) doivent également être prises en compte.

6. Capacités et fonctionnalités essentielles

Lors du choix d’un logiciel IAM, il est important de prioriser les fonctionnalités. Voici les capacités clés à rechercher :

Administration : modification en masse des utilisateurs, provisionnement automatisé, administration des mots de passe en libre-service.

Authentification et accès : connexion à plusieurs systèmes, technologies d’authentification (ex. : biométrie, mots de passe à usage unique, authentification basée sur la connaissance), expérience fluide de l’utilisateur en matière d’authentification, accès de tiers.

Annuaires d’identité : option d’annuaire cloud, intégration avec les référentiels d’identité existants (ex. : annuaire actif et LDAP [protocole allégé d'accès annuaire]).

Plateforme : personnalisation de l’interface, fiabilité, évolutivité, conformité avec les normes de sécurité, des API pour prendre en charge les intégrations avec les applications dans le cloud et « on-premises » (sur site).

Provisionnement : approbation des modifications d’accès, création et gestion des droits d’accès, synchronisation des profils.

Assistance pour les systèmes et les applications : accès à partir de différents appareils, capacités mobiles, intégration avec les applications courantes.

Défis liés à la mise en œuvre de la gestion des identités et des accès (IAM)

La mise en œuvre d’un système IAM présente plusieurs défis, notamment :

  • Compréhension et gestion des attentes des utilisateurs
  • Satisfaction des exigences des parties prenantes
  • Intégration des normes de conformité
  • Manque de connaissances et de compétences nécessaires pour prendre en compte les sources d’utilisateurs multiples, les facteurs d’authentification et les normes ouvertes du secteur
  • Expertise pour mettre en œuvre la gestion des identités et des accès à grande échelle

Déploiement : Cloud ou on-premises ?

Comme de nombreuses solutions, l’accès et la gestion des identités sont souvent migrés d’un système « on-premises » vers un système cloud. Les solutions d’accès et de gestion des identités hébergées et basées dans le cloud font partie de la catégorie « identité en tant que service » (IDaaS). Les déploiements IDaaS offrent un certain nombre d’avantages, notamment :

  • Systèmes distribués et redondants pour plus de fiabilité et de sécurité
  • Plus grande efficacité
  • Amélioration du temps de fonctionnement soutenue par des accords de niveau de service (SLA)
  • Réduction des coûts grâce à la diminution de la nécessité d’acheter et d’entretenir des systèmes et des infrastructures
  • Possibilité d’utiliser exclusivement la solution cloud ou de la déployer en tandem avec une solution de gestion des identités et des accès « on-premises ».

Normes de la gestion des identités et des accès

Une solution IAM doit s’intégrer à de nombreux autres systèmes afin de fournir une visibilité complète de l’accès à tous les systèmes, utilisateurs et rôles de l’entreprise. Les normes prises en charge par les plateformes de gestion des identités et des accès pour faciliter ces intégrations sont notamment les suivantes.

OAuth 2.0

OAuth est un protocole de gestion des identités à normes ouvertes qui fournit un accès sécurisé aux sites web, aux applications mobiles, à l’Internet des objets et à d’autres appareils. Il utilise des jetons qui sont cryptés en transit et élimine la nécessité de partager des informations d’identification. OAuth 2.0, la dernière version d’OAuth, est un cadre populaire utilisé par les principales plateformes de réseaux sociaux et de services aux consommateurs.

Langage de balisage des assertions de sécurité (SAML)

SAML est une norme ouverte utilisée pour échanger des informations d’authentification et d’autorisation entre des solutions de contrôle d’identité et d’accès et d’autres applications. Cette méthode, qui utilise XML pour transmettre des données, est généralement la méthode utilisée par les plateformes de gestion des identités et des accès pour permettre aux utilisateurs de se connecter aux applications intégrées à des solutions IAM.

OpenID Connect (OIDC)

Avec la publication d’OpenID Connect, OpenID est devenu une couche d’authentification largement adoptée pour OAuth. Comme SAML, OpenID Connect (OIDC) est largement utilisé pour le SSO, mais OIDC utilise REST/JSON au lieu de XML. En utilisant les protocoles REST/JSON, OIDC a été conçu pour fonctionner avec des applications natives et mobiles, alors que le principal cas d’utilisation de SAML est celui des applications basées sur le web.

Protocole allégé d’accès annuaire (LDAP)

Le protocole LDAP est l’un des plus anciens protocoles de gestion des identités ; il stocke et organise des données (par exemple, des informations sur les utilisateurs ou les appareils) pour aider les utilisateurs à trouver des données organisationnelles et personnelles et pour authentifier les utilisateurs afin qu’ils accèdent à ces données. Il s’agit d’un protocole ouvert et normalisé qui permet aux applications de communiquer avec les services d’annuaire et qui est couramment utilisé pour prendre en charge l’authentification des utilisateurs, y compris l’authentification unique (SSO), la couche de sécurité d’authentification simple (SASL) et la couche de sockets sécurisés (SSL).

Système de gestion des identités interdomaines (SCIM)

Créé pour simplifier le processus de gestion des identités des utilisateurs, le provisionnement SCIM permet aux organisations d’opérer efficacement dans le cloud et d’ajouter ou de supprimer facilement des utilisateurs. Cela permet de réduire les coûts, de minimiser les risques et de rationaliser les flux de travail. Le SCIM facilite également les communications entre les applications basées dans le cloud.

Cas d’utilisation de la gestion des identités et des accès (IAM)

Conformité réglementaire

La gestion des identités et des accès aide les organisations à se conformer aux exigences réglementaires en gérant l’accès et les privilèges des utilisateurs, ainsi que la gouvernance des données. Les solutions IAM simplifient également les audits de conformité grâce à des rapports automatisés qui détaillent les droits d’accès et les privilèges et fournissent des informations sur les protocoles de protection des données établis pour empêcher l’accès non autorisé aux informations sensibles.

Apportez vos appareils personnels (BYOD)

Les solutions de gestion des identités et des accès peuvent améliorer la productivité des employés en leur permettant d’accéder non seulement à de grands volumes de données et à de multiples applications, mais aussi à de nombreux appareils et lieux. Les solutions de gestion des identités et d’IAM aident les administrateurs à intégrer des appareils personnels en veillant à mettre en œuvre la vérification de l’identité et les contrôles d’accès appropriés.

Internet des objets (IoT)

Les protocoles de sécurité peuvent être étendus aux appareils IoT difficiles à gérer grâce aux solutions IAM. Ces outils traitent les appareils IoT comme des utilisateurs, utilisant des méthodes d’authentification et d’autorisation éprouvées pour faciliter la surveillance et la gestion de ces dispositifs.

Éléments futurs de la sécurité des identités

Les prochaines avancées dans le domaine de l’IAM pourraient inclure les éléments suivants :

  • Modèles de confiance dynamiques Des modèles d’IA qui ajusteront l’autorisation en fonction du comportement et de l’historique des interactions.
  • Accès sans contrainte La biométrie universelle utilisée dans les domaines physique, numérique et téléphonique comprend des protocoles sophistiqués de protection de la vie privée.
  • Identification universelle Les identités fusionnées sont fédérées et universelles, ce qui fait que « Apportez votre propre identité » sera la norme.

Sécuriser l’entreprise avec l’IAM

La gestion des identités et des accès est essentielle pour protéger les actifs et systèmes critiques d’une entreprise contre les cyberattaques potentielles. En exploitant les capacités des solutions IAM, les entreprises peuvent non seulement réduire les coûts de gestion des identités, mais aussi s’adapter rapidement aux nouveaux défis et opportunités.

Glossaire de la gestion des identités et des accès (IAM) et de la gestion des identités

Gestion des accès La gestion des accès est un ensemble de pratiques et d’outils utilisés pour contrôler, surveiller et gérer l’accès aux ressources informatiques.

Active Directory (AD) AD est le service d’annuaire des identités des utilisateurs de Microsoft. Il est intégré à d’autres systèmes pour provisionner et déprovisionner les droits d’accès des utilisateurs.

Authentification L’authentification est le processus par lequel un utilisateur (c’est-à-dire une personne, une application ou un service) vérifie son identité avant de se voir accorder l’accès à des systèmes numériques. Les outils utilisés pour l’authentification comprennent les mots de passe, les numéros d’identification personnels à usage unique et les informations biométriques.

Autorisation L’autorisation est le processus de validation des applications, des fichiers et des données auxquels l’utilisateur peut accéder sur la base des paramètres d’autorisation mis en œuvre et maintenus par l’organisation. Les privilèges d’accès des utilisateurs sont autorisés une fois que leur identité a été authentifiée.

Authentification biométrique Cette méthode d’authentification utilise des caractéristiques uniques telles que les empreintes digitales, la rétine et les traits du visage pour vérifier l’identité des utilisateurs.

Gestion des droits de l’infrastructure cloud (CIEM) Le CIEM est un processus de sécurité utilisé pour gérer les identités, les droits d’accès, les privilèges et les autorisations dans les environnements d’infrastructure cloud.

Déprovisionnement Le déprovisionnement est l’action de supprimer l’accès des utilisateurs aux applications, aux systèmes et aux données au sein d’un réseau.

Identité en tant que service (IDaaS) L’IDaaS est une offre de services de gestion des identités et des accès basée sur le cloud.

Gouvernance et administration des identités (IGA) L’IGA est une approche de la gestion des identités et du contrôle d’accès basée sur des politiques qui englobe l’ensemble du cycle de vie des identités.

Provisionnement des identités Le provisionnement des identités est utilisé pour gérer les comptes des utilisateurs, en s’assurant qu’ils ont accès aux bonnes ressources et qu’ils les utilisent de manière appropriée.

Authentification multifactorielle (MFA) La MFA est un outil de gestion des accès qui combine deux ou plusieurs mécanismes d’authentification pour accéder aux ressources informatiques, y compris les applications et les appareils.

Principe du moindre privilège Le principe du moindre privilège est une approche de la sécurité qui n’accorde à un utilisateur que des niveaux minimaux d’accès ou d’autorisations aux ressources nécessaires à l’exécution de la tâche pendant la durée minimale requise.

Gestion des accès à privilèges (PAM) La PAM gère l’accès étendu que les utilisateurs privilégiés se voient accorder aux applications, systèmes ou serveurs pour effectuer leur travail (par exemple, la mise en œuvre, la maintenance et les mises à jour). Les outils de PAM séparent ces comptes d’utilisateurs des autres et suivent de près les activités qui leur sont associées.

Gestion des accès basée sur les rôles (RBAC) La RBAC permet à l’entreprise de créer et d’appliquer un accès avancé en attribuant un ensemble d’autorisation basées sur le niveau d’accès nécessaire à des catégories d’utilisateurs spécifiques pour accomplir leurs tâches. Grâce à la RBAC, différents utilisateurs se voient accorder des privilèges d’accès en fonction de leur rôle, de leurs fonctions et de leurs responsabilités.

Séparation des tâches (SoD) Aussi connue sous le nom de ségrégation des tâches, la séparation des tâches est un principe de sécurité utilisé par les organisations pour prévenir les erreurs et les fraudes.

Authentification unique (SSO) La SSO est une fonction d’authentification qui permet à un utilisateur d’accéder à plusieurs applications et sites à l’aide d’un seul ensemble d’informations d’identification.