Qu’est-ce que la gestion des identités et des accès?

Définition de la gestion des identités et des accès

Avec la gestion des identités et des accès (IAM), les personnes, les logiciels et les composants matériels appropriés – en fonction de leurs rôles et de leurs fonctionnalités – peuvent bénéficier d’un accès aux outils indispensables à l’exécution des tâches qui leur sont confiées, sans toutefois se voir octroyer l’accès aux outils superflus ou présentant un risque pour la sécurité de l’entreprise. Grâce à l’IAM, les entreprises peuvent simplifier leurs opérations en gérant les identités sans avoir à demander aux utilisateurs de se connecter en tant qu’administrateur pour accéder aux applications.

Initiative incontournable pour toute entreprise, l’IAM répond au besoin crucial d’autoriser un accès approprié aux outils et aux ressources dans des écosystèmes technologiques de plus en plus diversifiés, et de se conformer aux réglementations de confidentialité et de sécurité en constante évolution. L’IAM, qui a un impact important – au-delà de l’informatique – sur divers aspects de l’entreprise, nécessite une planification stratégique des activités  en plus de capacités techniques spécialisées.

Concepts associés à l’IAM

L’identité est de toute évidence au cœur de la gestion des identités et des accès. L’IAM a pour objectif d’attribuer à chaque individu ou entité une identité numérique unique qu’il faudra ensuite prendre en charge, contrôler et gérer tout au long de son cycle de vie.

Une autre notion essentielle de l’IAM est celle des ressources numériques, qui désignent toute combinaison de données et d’applications, comme les logiciels, les bases de données, les API, les appareils et autres composants d’un système informatique.

Dès lors qu’un collaborateur, un client, un appareil, un robot ou toute autre entité identifiable doit accéder aux ressources d’une entreprise, la solution IAM confirme l’identité et contrôle son accès à la ressource numérique concernée.

Terminologie de l’IAM

Avant de se lancer dans une discussion approfondie sur la gestion des identités et des accès, voici quelques définitions succinctes des termes associés à connaître :

• Gestion des accès : la gestion des accès concerne les procédures et les outils utilisés pour superviser et gérer l’accès au réseau. Qu’elles soient « on-premises » ou basées sur le cloud, les solutions de gestion des identités comprennent généralement des fonctionnalités telles que l’authentification, l’autorisation, l’audit de la sécurité et l’analyse du degré de confiance.
• Active Directory (AD): généralement accessible via le système d’exploitation Windows Server, Active Directory (AD) est un service d’annuaire propriétaire de Microsoft, utilisé dans le cadre de l’identification des utilisateurs. Les intégrations de ce service permettent d’effectuer un provisioning et un deprovisioning transparents de l’accès, avec pour objectif d’alléger la charge de travail de l’équipe informatique.
• Authentification biométrique : cette méthode de sécurité permet d’authentifier les utilisateurs en faisant appel à des caractéristiques qui leur sont propres, comme les empreintes digitales, la rétine et les traits du visage.
• Gestion des droits d’accès à l’infrastructure cloud (CIEM) : CIEM est le processus de gestion des identités et des accès dans des environnements d’infrastructure cloud dont la complexité va grandissante. Ce processus fait appel à une approche appelée « privilège minimum », pour garantir que les utilisateurs n’ont accès qu’aux ressources dont ils ont besoin, et uniquement tant qu’ils en ont besoin.
• Deprovisioning : le deprovisioning consiste à supprimer l’accès des utilisateurs aux applications, aux systèmes et aux données d’un réseau.
• Identité numérique : l’identité numérique englobe les attributs qui caractérisent un utilisateur (son nom, son numéro national d’identification, son adresse électronique, ses données biométriques et d’autres informations d’identification personnelle), ainsi que l’activité numérique et les modèles de comportement (historique de navigation, téléchargements et système d’exploitation).
• Gestion des identités et des accès (IAM) : dans le domaine de la cybersécurité, l’IAM est une discipline spécialisée ayant pour but que seules les personnes autorisées puissent avoir accès aux données et aux ressources appropriées, au bon moment et pour les bonnes raisons.
• Identité en tant que service (IDaaS) : solution de gestion des identités et des accès hébergée dans le cloud, l’IDaaS est un modèle de distribution d’applications qui permet aux utilisateurs de se connecter à des services de gestion des identités et de les utiliser.
• Gouvernance des identités : la gouvernance des identités consiste à utiliser des logiciels et des systèmes informatiques afin de gérer l’accès des utilisateurs et de faire respecter la conformité.
• Provisioning des identités : élément clé du cadre de gouvernance des identités, le provisioning des identités gère les comptes des utilisateurs et veille à ce qu’ils aient accès aux bonnes ressources et qu’ils les utilisent de la bonne manière.
• Authentification multifactorielle (MFA) : il s’agit d’un outil de gestion des accès qui combine au moins deux mécanismes de sécurité dans le cadre de l’accès aux ressources informatiques, notamment aux applications et appareils.
• Principe du privilège minimum : en vertu de ce principe, pour protéger les données et les applications, l’accès à une identité n’est consenti que pour la durée minimale requise et uniquement pour les ressources nécessaires à l’accomplissement de la tâche.
• Gestion des accès privilégiés (PAM) : l’accès privilégié est limité à des utilisateurs bien précis – par exemple les administrateurs – qui doivent avoir accès aux applications, aux systèmes ou aux serveurs dans le cadre de la mise en œuvre, de la maintenance et des mises à jour. Étant donné les conséquences catastrophiques que pourrait avoir une violation de ces informations d’identification pour une entreprise, les outils PAM séparent ces comptes d’utilisateurs des autres et suivent de près les activités qui y sont associées.
• Contrôle d’accès basé sur les rôles (RBAC) : ce type de contrôle permet à l’entreprise de créer et de faire appliquer un accès avancé, en attribuant un ensemble d’autorisations. Les autorisations sont basées sur le niveau d’accès dont les catégories d’utilisateurs spécifiques ont besoin pour accomplir leurs tâches. En d’autres termes, en fonction de facteurs tels que leurs fonctions et leurs responsabilités, différentes personnes dans l’entreprise peuvent avoir des niveaux et des types de privilèges d’accès complètement différents.
• Séparation des tâches (SoD) : la séparation des tâches, ou « ségrégation des tâches », est un principe de sécurité auquel les entreprises font appel pour prévenir les erreurs et les fraudes. Ce contrôle interne s’appuie sur la fonction RBAC pour prévenir les erreurs.
• Authentification unique (SSO) : il s’agit d’un service d’authentification permettant à un utilisateur d’accéder à plusieurs applications et sites au moyen d’un unique ensemble d’informations d’identification.
• Authentification des utilisateurs : l’une des principales tâches des systèmes IAM est de confirmer qu’une identité est bien celle qu’elle prétend être lorsqu’elle se connecte à des applications et à des données et qu’elle les utilise. La méthode d’authentification classique, qui consiste à saisir son nom d’utilisateur et son mot de passe sur une page de connexion, est aujourd’hui bien connue. Cependant, les solutions d’authentification des utilisateurs les plus modernes s’appuient sur des technologies telles que l’intelligence artificielle pour mieux protéger les ressources de l’entreprise.

Différence entre authentification et autorisation

Les termes « authentification » et « autorisation » sont souvent utilisés de manière interchangeable, mais il s’agit en réalité de processus distincts utilisés pour protéger une entreprise contre les cyberattaques.

L’authentification consiste à vérifier une identité, tandis que l’autorisation vise à valider les applications, fichiers et données spécifiques accessibles à un utilisateur.

Tandis que l’autorisation fait appel à des paramètres mis en œuvre et maintenus par l’entreprise, l’authentification s’effectue au moyen de mots de passe, de numéros d’identification personnels à usage unique, d’informations biométriques et d’autres informations fournies ou saisies par l’utilisateur.

Pourquoi la gestion des identités et des accès est déterminante pour l’entreprise

Pourquoi l’IAM est-elle importante ?

Pour garantir la sécurité et la conformité, et ainsi améliorer la productivité organisationnelle, l’entreprise a besoin d’une solution IAM. Mais ce besoin ne se limite pas aux ressources humaines, il s’étend également à toute entité à laquelle est attribuée une identité, comme les appareils IoT et les API. Le nombre croissant de types d’appareils et d’emplacements à partir desquels les applications et les données sont accessibles souligne l’importance de la gestion des identités et des accès.

Les solutions IAM permettent à l’entreprise de gérer l’accès en fonction de rôles ou de groupes plutôt que d’utilisateurs individuels, ce qui simplifie considérablement les opérations informatiques. Elles permettent ainsi aux professionnels de l’informatique de se consacrer entièrement à des projets non automatisés qui requièrent toute leur expertise. Et parce qu’elle leur permet d’accéder aux outils nécessaires tout en minimisant les inconvénients liés à la gestion des mots de passe, une solution IAM fait généralement l’unanimité au sein des différentes équipes.

Son utilisation dépasse cependant largement le cadre des employés. Elle s’étend aux sous-traitants, partenaires, clients, robots, et même aux segments de code tels que les API ou les microservices. La mise en œuvre d’une solution IAM offre des avantages tels que l’augmentation de l’efficacité, la réduction des coûts, l’amélioration de la productivité et l’optimisation de la fonctionnalité des systèmes techniques, ce qui en fait un outil indispensable à l’entreprise.

Rôle de l’IAM dans la sécurité

La gestion des identités et des accès réduit les risques de sécurité liés aux mots de passe. L’entreprise s’expose à des risques de violation de données causés non seulement par des mots de passe faibles et des informations de récupération de mots de passe, mais aussi par des erreurs humaines comme l’utilisation de mots de passe faciles à deviner, la réutilisation des mêmes mots de passe dans plusieurs applications et systèmes, et les modifications mineures apportées aux mots de passe, au lieu d’en générer de nouveaux de manière aléatoire.

L’écosystème IAM est encore plus complexe, et la demande de sécurité encore plus grande, lorsqu’il s’agit d’environnements hybrides et multi-cloud et de solutions SaaS (logiciel en tant que service). Dans les entreprises, la mise en place d’une structure de gestion des identités et des accès est aujourd’hui essentielle pour assurer une sécurité haute performance des données.

Pour garantir une gestion à toute épreuve des identités et des accès, l’entreprise ne peut se contenter de sécuriser un réseau. Elle doit réviser les stratégies d’accès qui sont souvent obsolètes, y compris les règles et les définitions de rôles qui ne sont plus adaptées à la croissance de l’entreprise. Le système IAM doit également aller au-delà de l’informatique pour couvrir tous les pans de l’entreprise, notamment grâce à des intégrations favorisant une visibilité et un contrôle accrus.

IAM et conformité réglementaire

Le paysage de la conformité réglementaire évolue rapidement. Outre les législations bien connues telles que le Règlement général sur la protection des données (RGPD) de l’Union européenne, la loi HIPPA (Health Insurance Portability and Accountability Act) et la loi SOX (Sarbanes-Oxley Act), beaucoup d’autres régions, pays et États promulguent leurs propres réglementations relatives à la confidentialité des données. En matière de sécurité des données, la gestion des identités et des accès répond à des exigences rigoureuses et garantit la transparence et la documentation indispensables à la mise en conformité.

Des processus IAM incomplets ou inefficaces peuvent conduire les entreprises à ne plus être en conformité avec les réglementations officielles ou les normes sectorielles. Et même lorsque l’entreprise dispose d’un programme efficace de gestion des identités et des accès, des informations erronées ou lacunaires concernant le programme ou la manière dont les données sont protégées peuvent compromettre un audit.

IAM et scénarios BYOD (« Apportez votre propre matériel »)

Les solutions IAM améliorent la productivité des employés en leur permettant d’accéder à de grandes quantités de données et à de nombreuses applications sur différents appareils et dans différents emplacements. L’IAM facilite également la collaboration avec les partenaires, les fournisseurs et les autres tiers qui soutiennent l’entreprise.

IAM et Internet des objets (IoT)

Si la prolifération des appareils IoT offre de nombreux avantages, elle n’en suscite pas moins son lot de préoccupations liées à la cybersécurité. Les solutions IAM traitent les appareils IoT comme des identités qui doivent être authentifiées et autorisées avant que l’accès aux ressources numériques de l’entreprise ne soit octroyé.

Avantages d’une solution IAM

• Automatisation : l’automatisation des fonctions à faible risque permet de concentrer l’attention des experts en informatique sur les problèmes plus importants et sur l’accélération de l’activité. L’entreprise peut renforcer l’efficacité de l’équipe informatique tout en réduisant les coûts informatiques. Les processus d’intégration et de départ peuvent également être automatisés pour octroyer, modifier, ou révoquer les accès en toute transparence à mesure que les utilisateurs rejoignent l’entreprise, la quittent, ou changent de rôle.
• Détection avancée des anomalies d’accès : l’IAM s’appuie sur l’intelligence artificielle pour aider les entreprises à comprendre les tendances et les anomalies constatées dans les données d’accès, à identifier les risques potentiels et à suivre l’efficacité de leurs programmes d’identité.
• Stratégie de défense Zero Trust : l’entreprise qui fait appel à la gestion des identités et des accès peut mettre en place un modèle Zero Trust qui va au-delà des simples décisions d’authentification et qui utilise un enregistrement d’identité exhaustif et à jour pour chaque utilisateur, garantit que les utilisateurs n’ont accès qu’aux ressources dont ils ont besoin, au moment où ils en ont besoin, et s’adapte au gré des changements et de la détection de nouvelles menaces.
• Élimination des mots de passe faibles : les mots de passe par défaut, fréquemment utilisés ou mal structurés sont des causes fréquentes de violations de données. Mais l’administration des mots de passe fait peser une lourde charge sur le service informatique – pour preuve : 40 % de tous les appels au service d’assistance concernent des problèmes de mots de passe, et le coût moyen d’un appel pour une réinitialisation de mot de passe s’élève à 17 dollars. Avec la gestion des mots de passe, l’entreprise peut utiliser efficacement les politiques de mot de passe pour imposer des exigences strictes en la matière et elle peut faire appel à des groupes de synchronisation et à un dictionnaire de mots de passe afin d’améliorer le contrôle.
• Atténuation des menaces internes : les violations de données peuvent également être le fait d’initiés négligents ou malveillants, mais en l’absence d’une technologie appropriée, il est illusoire de ne s’appuyer que sur la sensibilisation des employés. La gestion des identités et des accès comble les failles de sécurité. Au-delà des employés, une telle solution considère que les sous-traitants, clients, partenaires, smartphones et serveurs constituent des identités devant être traitées comme des initiés et qu’en combinant la gestion des identités des systèmes, applications et fichiers de données avec la surveillance et l’analyse des comportements, il est possible de contrer les menaces internes.
• Simplification de la conformité : l’IAM facilite la gestion des accès, le suivi de l’utilisation et la mise en application des politiques et de stratégies pour l’ensemble des utilisateurs, applications et données, ce qui permet aux entreprises d’automatiser l’application des règlements et d’apporter la preuve de la conformité.

Fonctionnement de la gestion des identités et des accès

Les solutions IAM remplissent deux tâches essentielles : confirmer l’identité et s’assurer que seul le niveau d’accès approprié est autorisé.

Ce que fait une solution IAM

En validant les informations d’identification dans une base de données, une solution de gestion des identités et des accès permet de confirmer que l’utilisateur, le logiciel ou le matériel n’usurpe aucune identité. Pour garantir que seul l’accès nécessaire est octroyé, la solution IAM permet à l’entreprise d’octroyer des autorisations granulaires fondées sur les identités, plutôt que de s’appuyer sur un nom d’utilisateur et un mot de passe qui accordent un accès général.

Fonctions associées à la gestion des identités et des accès

Les solutions IAM assurent les fonctions suivantes :

• Gestion des identités des utilisateurs : il est ici question de créer, modifier et supprimer des utilisateurs, de manière autonome ou en les intégrant à d’autres répertoires. De nouvelles identités peuvent également être créées pour les utilisateurs qui nécessitent un accès spécialisé aux systèmes ou aux outils de l’entreprise.
• Provisioning et deprovisioning des utilisateurs : le provisioning consiste à identifier les outils et les niveaux d’accès qui seront octroyés à un utilisateur. Avec une solution IAM, il peut être accordé en fonction du rôle, du service ou d’une autre catégorie d’identité. Plutôt que d’exiger que soit spécifié l’accès à chaque ressource pour chaque utilisateur, ce processus repose sur le contrôle d’accès basé sur les rôles (RBAC), une méthode qui offre un véritable gain de temps. Avec la méthode RBAC, les utilisateurs se voient octroyer un ou plusieurs rôles selon leur fonction ou d’autres critères, et l’accès leur est octroyé automatiquement par la solution IAM. En cas de besoin, la solution IAM permet également à l’entreprise d’effectuer rapidement le deprovisioning des utilisateurs – autrement dit de supprimer leur accès – afin de minimiser les risques de sécurité.
• Authentification des utilisateurs : les méthodes utilisées par les solutions de gestion des identités et des accès pour confirmer l’identité des utilisateurs sont l’authentification multifactorielle (MFA) et l’authentification adaptative. Dans le cadre de l’authentification multifactorielle, la solution IAM exige plusieurs éléments de preuve d’identité, par exemple un mot de passe et une étape d’identification par reconnaissance faciale. Avec l’authentification multifactorielle, il est demandé aux utilisateurs de fournir des informations d’identification spécifiques lorsqu’ils tentent d’accéder à des outils ou à des ressources, tandis qu’avec l’authentification adaptative, le niveau de sécurité est renforcé, car les informations d’identification demandées diffèrent selon la situation.
• Authentification unique (SSO) : l’authentification unique (SSO) permet aux utilisateurs de confirmer leur identité par le biais d’un portail IAM unique qui, plutôt que de leur demander de se connecter à plusieurs ressources, leur donne accès à tous les outils autorisés.
• Audits et rapports : dans le cadre de la gestion des identités et des accès, les audits permettent aux entreprises d’identifier et de surveiller les blocages, les erreurs et les comportements suspects des utilisateurs, afin de prendre les mesures qui s’imposent. Les rapports fournis par la solution IAM favorise la sécurité et la conformité en enregistrant des activités telles que les heures de connexion et de déconnexion des utilisateurs, les systèmes et ressources auxquels ils ont accédé, et le type d’authentification utilisé.

Composantes de la sécurité des identités

La sécurité des identités fait intervenir trois composantes essentielles :

• Intelligence : la visibilité et la capacité de détection et de correction des risques offertes par l’intelligence artificielle et le Machine Learning permettent à l’entreprise de garder une longueur d’avance.
• Automatisation : afin que les collaborateurs puissent se concentrer sur la productivité, l’innovation et la collaboration, l’automatisation des processus liés aux identités est essentielle pour permettre aux entreprises de détecter, gérer et sécuriser efficacement l’accès des utilisateurs.
• Intégration : les intégrations renforcent la capacité de l’entreprise à incorporer un contexte d’identité dans l’environnement et à contrôler de manière centralisée l’accès à toutes les données et applications, à tous les systèmes, et à l’infrastructure cloud, pour tous les types d’identité.

Différence entre gestion des identités et gestion des accès

Si un lien existe bel et bien entre la gestion des identités et la gestion des accès, les deux termes ne sont pourtant pas interchangeables. Afin de faciliter l’authentification, la gestion des identités confirme que l’utilisateur n’est pas un usurpateur, et des informations le concernant (par exemple, le service dans lequel il travaille, le nom de son superviseur, l’intitulé de son poste, ses subordonnés directs) sont conservées à cet effet.

La gestion des accès fait appel à des informations relatives à l’identité de l’utilisateur pour déterminer les applications et les données auxquelles il est autorisé à accéder, et ce qu’il est en droit de faire avec celles-ci. Par exemple, de nombreux utilisateurs peuvent avoir accès au logiciel de gestion des achats de l’entreprise et être autorisés à saisir des demandes d’achat, mais tous les utilisateurs ne sont pas autorisés à les approuver, et aucun utilisateur n’est autorisé à approuver ses propres demandes.

Différence entre IAM basée sur le cloud et IAM « on-premises »

La gestion des identités et des accès se faisait auparavant « on-premises » (sur site) au moyen d’un serveur situé physiquement dans l’entreprise. La migration vers le cloud de la solution IAM renforce l’efficacité et réduit les coûts pour l’entreprise, en ce qu’il n’est plus nécessaire d’acheter et de maintenir une infrastructure « on-premises ». La gestion des identités et des accès dans le cloud offre par ailleurs d’autres avantages, par exemple :

• une disponibilité accrue
• des systèmes distribués et redondants offrant plus de fiabilité et de sécurité
• des accords de niveau de service (SLA) plus courts

Gestion des identités et des accès, cloud, et identité en tant que service (IDaaS)

L’entreprise moderne est mise au défi de contrôler l’accès des utilisateurs aux données et aux applications « on-premises », dans des systèmes conventionnels et des clouds privés, et dans un ou plusieurs clouds publics. La gestion de l’accès des utilisateurs doit se faire de la manière la plus harmonieuse possible, sans alourdir inutilement la charge pesant sur les équipes informatiques.

Les solutions IAM fournies via le cloud sont aujourd’hui monnaie courante. Les outils de gestion des identités et des accès basés sur le cloud offrent à l’entreprise plus de sécurité et de flexibilité que les logiciels classiques d’administration des identifiants et mots de passe. Le modèle de distribution d’applications IDaaS est proposé sous la forme d’un produit individuel ou en complément des plates-formes « on-premises » de gestion des identités et des accès.

Technologies et outils de gestion des identités et des accès

Avec les solutions IAM, les administrateurs disposent des technologies et outils nécessaires pour modifier les rôles des utilisateurs, suivre les activités, générer des analyses et des rapports et mettre en œuvre des stratégies. Les technologies et outils spécifiquement utilisés sont les suivants :

• Gestion des accès privilégiés : ce processus, conçu pour gérer et surveiller les accès privilégiés aux comptes et aux applications, alerte les administrateurs système en cas d’événements à haut risque
• Provisioning et deprovisioning automatisés : l’automatisation facilite et accélère l’octroi, la modification ou la révocation des accès
• Séparation des tâches : ce principe de sécurité permet la création d’un ensemble complet de politiques de séparation des tâches qui mettent en application des contrôles essentiels, au moyen d’un logiciel d’analyse et de détection automatiques des violations
• Gestion du cycle de vie des identités : tout en offrant aux collaborateurs un accès rapide à la technologie leur permettant d’accomplir leurs tâches, ce processus permet d’éviter d’exposer l’entreprise à de graves risques de sécurité par l’octroi de trop d’accès aux comptes.
• Flux de travail : ce processus élimine la tâche souvent complexe de création des flux de travail personnalisés et allège la charge de travail des équipes en automatisant les tâches répétitives

Stratégie de mise en œuvre de la gestion des identités et des accès

La gestion des identités et des accès (IAM) est la pierre angulaire d’une architecture Zero Trust, c’est pourquoi la stratégie de mise en œuvre d’une solution IAM doit inclure les principes de ce modèle de sécurité, tels que l’accès à privilège minimum et les politiques de sécurité basées sur l’identité. Une stratégie Zero Trust implique que chaque utilisateur soit constamment identifié et que son accès soit géré, ce qui diffère de la posture de sécurité traditionnelle qui consiste à octroyer l’accès sans exiger de réidentification par la suite. Dans le cadre de ce modèle de sécurité, la solution IAM de l’entreprise contrôle et protège en permanence les identités et les points d’accès de ses utilisateurs.

Les autres principes clés sont donnés ci-dessous :

• Gestion centralisée des identités : sur le plan de l’identité, la gestion de l’accès aux outils et aux ressources est un aspect essentiel du modèle de sécurité Zero Trust, pour lequel une approche centralisée permet d’être plus efficace et mieux organisé.
• Accès sécurisé : cette fonction est généralement gérée par l’authentification multifactorielle (MFA) ou l’authentification adaptative, mais l’entreprise peut également recourir à une approche hybride.
• Contrôle d’accès basé sur les politiques : les utilisateurs doivent se voir accorder les autorisations nécessaires – et rien d’autre – à l’accomplissement de leurs tâches, en fonction de leur rôle, de leur service ou d’autres catégories ou fonctions définies.
• Comptes privilégiés : ces comptes permettent d’accéder à des données confidentielles et sensibles sur les systèmes, réseaux et bases de données. Par exemple, les comptes privilégiés peuvent permettre aux professionnels de l’informatique d’une entreprise de gérer ses applications, ses logiciels et ses serveurs.
• Formation et soutien : la formation à la solution de gestion des identités et des accès permet de s’assurer que l’entreprise tire le meilleur parti de la plate-forme, et le soutien continu l’aide à comprendre les changements technologiques et à gérer les mises à jour de la solution en interne.

Mise en œuvre d’une solution IAM tactique

La réalisation d’un audit des systèmes actuels et anciens est souvent la première étape pour mettre en œuvre de façon optimale une solution tactique de gestion des identités et des accès.

• Cela exige d’identifier les principales parties prenantes et de collaborer régulièrement avec elles dès le début de la mise en œuvre.
• Il faut ensuite dresser la liste des objectifs de la solution IAM et identifier les capacités requises pour les atteindre.
• Enfin, il est également nécessaire de déterminer les opportunités et les défis, de catégoriser les types d’utilisateurs et de produire des cas d’usage.

Les outils ci-dessous sont ceux généralement utilisés pour mettre en œuvre une solution IAM dans l’entreprise :

• Outils de gestion des mots de passe
• Logiciel de provisioning
• Applications d’exécution des stratégies de sécurité
• Applications de suivi et de création de rapports
• Référentiels ou bases de données d’identités

Défis liés à la mise en œuvre de la gestion des identités et des accès

Les défis généralement rencontrés lors de la mise en œuvre d’une solution IAM sont les suivants :

• Comprendre et gérer les attentes des utilisateurs
• Répondre aux exigences des parties prenantes
• Intégrer les normes de conformité
• Disposer des connaissances et compétences requises lorsque de multiples sources d’utilisateurs, facteurs d’authentification et normes sectorielles ouvertes sont pris en compte
• Faire preuve du savoir-faire indispensable à la mise en œuvre d’une solution IAM à grande échelle

Normes associées à la gestion des identités et des accès

Afin de fournir une visibilité complète de l’accès à tous les systèmes, utilisateurs et rôles de l’entreprise, la solution IAM doit s’intégrer avec de nombreux autres systèmes. Les normes présentées ci-dessous sont celles que les plates-formes IAM prennent en charge afin de faciliter ces intégrations :

• OAuth 2.0 : reposant sur des normes ouvertes, OAuth est un protocole de gestion des identités qui fournit un accès sécurisé aux sites web, aux applications mobiles, aux appareils IoT et à d’autres appareils. Il fait appel à des jetons qui sont chiffrés en transit et permet de ne plus avoir à partager des informations d’identification. OAuth 2.0, la dernière version du protocole, est un cadre largement utilisé par les principales plates-formes de médias sociaux et les services aux consommateurs, de Facebook et LinkedIn en passant par Google, PayPal et Netflix.
• OpenID Connect (OIDC) : avec la parution d’OpenID Connect (qui utilise le chiffrement à clé publique, ou asymétrique), OpenID est devenue une couche d’authentification largement adoptée pour le protocole OAuth. Tout comme la norme SAML, OpenID Connect (OIDC) est largement utilisée dans le cadre de l’authentification unique (SSO), mais la norme OIDC utilise les protocoles REST/JSON au lieu du protocole XML. Et c’est précisément parce qu’elle fait appel à ces protocoles que la norme OIDC peut fonctionner avec des applications natives et mobiles, tandis que le principal cas d’usage de la norme SAML concerne les applications web.
• Lightweight Directory Access Protocol (LDAP) : le protocole LDAP, l’un des plus anciens protocoles de gestion des identités que compte le secteur, stocke et organise les données – telles que les informations sur les utilisateurs ou les appareils – de manière à faciliter les recherches. Le fonctionnement du protocole LDAP s’appuie sur la pile TCP/IP sous-jacente pour rechercher le contenu du répertoire et relayer les informations d’authentification et d’autorisation. En ce qu’il repose sur du texte en clair, le protocole LDAP traditionnel n’est pas en soi un protocole sécurisé, c’est pourquoi les entreprises sont passées au protocole LDAPS, ou à LDAP sur SSL. Le protocole LDAPS permet le chiffrement des données LDAP en transit entre le serveur et le client, de sorte que le vol de données d’identification est impossible.
• Security Assertion Markup Language (SAML) : SAML est une norme ouverte utilisée pour échanger des informations d’authentification et d’autorisation entre, dans le cas nous concernant, une solution IAM et une autre application. Cette méthode, qui utilise le protocole XML pour transmettre les données, est celle généralement utilisée par les plates-formes de gestion des identités et des accès pour permettre aux utilisateurs de se connecter aux applications intégrées à des solutions IAM.
• System for Cross-Domain Identity Management (SCIM) : créé pour simplifier le processus de gestion des identités des utilisateurs, le provisioning SCIM permet en substance aux entreprises d’être efficaces dans le cloud et d’ajouter ou de supprimer facilement des utilisateurs. Ce faisant, elles optimisent les budgets, réduisent les risques et rationalisent les flux de travail. La norme SCIM facilite également la communication entre les applications basées sur le cloud.

IAM et intelligence artificielle

Le recours à l’intelligence artificielle (IA) a pris de plus en plus d’importance dans le domaine de la gestion des identités et des accès, l’IA permettant aux entreprises d’aborder cette question avec plus de souplesse et de précision. Le processus de cybersécurité appelé « Analyse du comportement des utilisateurs et des entités » (UEBA) utilise l’IA pour détecter les activités qui devraient faire l’objet d’un examen plus approfondi, par exemple :

• Un grand nombre de tentatives de connexion dans un court laps de temps
• Des connexions ou des tentatives de connexion à partir d’emplacements ou d’appareils inconnus, ou à des heures inhabituelles pour l’utilisateur
• Des connexions effectuées par des utilisateurs qui ne figurent pas sur le réseau privé virtuel (VPN) de l’entreprise
• Des connexions manifestement malveillantes

L’IA peut évaluer les micro-interactions en fonction de l’heure, de l’emplacement et des activités de l’utilisateur, et déterminer les risques éventuels dans chaque cas. Grâce à l’authentification continue, cette analyse est effectuée à chaque interaction de l’utilisateur. La capacité à effectuer ces analyses en temps réel ou quasi réel est vitale pour prévenir ou atténuer rapidement les cybermenaces.

L’avenir de la gestion des identités et des accès

La tendance croissante au télétravail et à l’emploi d’appareils mobiles a rendu de plus en plus nécessaire la gestion des identités et des accès. Malgré des formations plus fréquentes et plus approfondies sur la cybersécurité au travail, les utilisateurs ne sont toujours pas conscients des risques potentiels associés aux réseaux non sécurisés et aux autres menaces de sécurité. Ils s’attendent par conséquent à pouvoir travailler sur leurs appareils préférés, quel que soit l’endroit où ils se trouvent. Lorsque les entreprises ne disposent pas d’une solution IAM adaptée, les équipes informatiques peuvent donner la priorité à la gestion des demandes des utilisateurs et au traitement des menaces de cybersécurité associées à l’élargissement des surfaces d’attaque résultant de la souplesse qui leur est offerte. Résultat : les initiatives de croissance peuvent être reléguées au second plan.

Pour protéger les ressources de l’entreprise, il est aujourd’hui essentiel de pouvoir développer rapidement des solutions IAM évolutives en approfondissant largement la compréhension des risques cyber. Les entreprises pourront tirer parti de nouvelles options de sécurité grâce à l’évolution des logiciels antivirus nouvelle génération, des pare-feu basés sur l’hôte et/ou grâce à la protection évolutive des points de terminaison (PEPT). L’écosystème numérique de l’entreprise continue d’évoluer, tout comme la gestion des identités et des accès.

Éléments futurs de la sécurité des identités

• Programme intégré de sécurité des identités : l’identité sera intégrée aux identités des machines, au cloud, aux API et à la protection des données
• Modèles de confiance dynamiques : les modèles d’IA adapteront l’autorisation en fonction du comportement et de l’historique des interactions
• Identité universelle : les identités fusionnées seront fédérées et universelles, et la nouvelle norme sera « Apportez votre propre identité » (BYOI)
• Accès sans faille : la biométrie universelle, que ce soit sur un support physique, numérique ou téléphonique, mettra en œuvre des protocoles de confidentialité sophistiqués

Sécuriser l’entreprise grâce à la gestion des identités et des accès

La gestion des identités et des accès (IAM) est un élément clé du programme de sécurité de l’entreprise, car elle protège les ressources et systèmes essentiels contre les points d’entrée dans le réseau – créés par inadvertance ou à dessein – qui pourraient être exploités par des cybercriminels. Les entreprises qui se dotent de solides capacités de gestion des identités et des accès et qui instaurent des programmes offrant un degré élevé de maturité tirent non seulement parti de budgets de gestion des identités moins élevés, mais aussi de la capacité à pivoter rapidement et de manière transparente en réponse aux futurs défis et opportunités commerciales.

Ces articles peuvent vous intéresser: