Qu'est-ce que la gestion des identités et des accès

7 March, 2021 | by: David Kodjani

La gestion des identités et des accès ou Identity and Access Management en anglais (IAM) est un moyen de savoir qui est un utilisateur et ce qu’il est autorisé à faire.

L’IAM est comme le videur à la porte d’une boîte de nuit avec une liste de qui est autorisé à entrer, de qui n’est pas autorisé à entrer et de qui peut accéder à la zone VIP. L’IAM est également appelé gestion d’identité.

En termes plus techniques, l’IAM est un moyen de gérer un ensemble donné d’identités numériques des utilisateurs, et les privilèges associés à chaque identité. Il s’agit d’un terme général qui couvre un certain nombre de produits différents qui remplissent tous la même fonction de base. Au sein d’une organisation, l’IAM peut être un produit unique ou une combinaison de processus, de produits logiciels, de services en nuage et de matériel qui donnent aux administrateurs une visibilité et un contrôle sur les données organisationnelles auxquelles les utilisateurs individuels peuvent accéder.

Les composantes de la gestion des identités et des accès sont :

  • L’identification

Il s’agit là de reconnaître l’utilisateur qui souhaite se connecter. Les solutions IAM associent l’utilisateur à une fiche d’information qui lui est propre. Il est ainsi possible au système de connaître instantanément les données personnelles du visiteur et son droit d’accès aux fichiers. Tous les utilisateurs sont donc plus faciles à administrer et à structurer : cette cartographie limite les possibilités d’intrusion.

  • L’authentification

L’authentification permet à l’utilisateur d’entrer sur l’application. A ce stade interviennent des procédures complexes de cryptage, notamment l’utilisation de plusieurs facteurs d’authentification qui permettent de garantir l’intégrité de la connexion ou du paiement. Il peut s’agir d’une validation par code, d’une confirmation biométrique ou d’un certificat numérique. De plus en plus utilisée, cette authentification, dite forte, est la meilleure défense contre le phishing à l’heure actuelle.

  • L’autorisation

L’autorisation représente le droit d’accès à un fichier donné. La gestion des identités et des accès détermine quel utilisateur possède quels droits sur les fichiers et assure ainsi une structuration rigoureuse des accès. Ceux-ci peuvent être de différente nature, allant de la simple lecture à l’exécution ou à l’administration complète d’un programme.

  • La gestions des utilisateurs

Celle-ci couvre l’administration de l’ensemble des fiches utilisateurs. Cela permet ainsi de modifier les profils et de faire évoluer les droits d’accès selon le besoin. Par ailleurs, l’utilisation d’un annuaire central offre la possibilité d’étendre les accès utilisateurs à des systèmes tiers.

Le terme « accès » désigne les données qu’un utilisateur peut voir et les actions qu’il peut effectuer une fois connecté. Une fois que un utilisateur X se connecte à son courrier électronique, il peut voir tous les courriers électroniques qu’il a envoyés et reçus. Cependant, il ne devrait pas pouvoir voir les courriels envoyés et reçus par Y, son collègue de travail. En d’autres termes, ce n’est pas parce que l’identité d’un utilisateur est vérifiée qu’il doit pouvoir accéder à tout ce qu’il veut dans un système ou un réseau. Par exemple, un employé de bas niveau au sein d’une entreprise devrait pouvoir accéder à son compte de messagerie d’entreprise, mais il ne devrait pas pouvoir accéder aux dossiers de paie ou aux informations confidentielles sur les ressources humaines.

La gestion des accès est le processus de contrôle et de suivi des accès. Chaque utilisateur d’un système aura des privilèges différents au sein de ce système en fonction de ses besoins individuels. Un comptable a en effet besoin d’accéder et de modifier les fiches de paie, donc une fois qu’il a vérifié son identité, il devrait pouvoir consulter et mettre à jour ces fiches ainsi qu’accéder à son compte de messagerie.

Dans l’informatique dématérialisée, les données sont stockées à distance et accessibles via Internet. Comme les utilisateurs peuvent se connecter à l’internet depuis presque n’importe quel endroit et n’importe quel appareil, la plupart des services dans les cloud sont indépendants des appareils et des lieux. Les utilisateurs n’ont plus besoin d’être au bureau ou sur un appareil appartenant à l’entreprise pour accéder au cloud. La preuve, le télétravail est de plus en plus fréquent. Par conséquent, l’identité devient le point le plus important du contrôle de l’accès, et non le périmètre du réseau; l’identité de l’utilisateur, et non son appareil ou son emplacement, détermine les données dans le cloud auxquelles il peut accéder et s’il peut y avoir accès.

Supposons qu’un cybercriminel veuille accéder à des fichiers sensibles dans le centre de données d’une entreprise. Avant l’adoption généralisée de l’informatique dématérialisée, le cybercriminel devait passer le pare-feu de l’entreprise qui protégeait le réseau interne ou accéder physiquement au serveur en pénétrant par effraction dans le bâtiment ou en soudoyant un employé interne. L’objectif principal du criminel était de passer le périmètre du réseau.

Cependant, avec l’informatique dématérialisée, les fichiers sensibles sont stockés dans un serveur dématérialisé distant. Comme les employés de l’entreprise ont besoin d’accéder aux fichiers, ils le font en se connectant via un navigateur ou une application. Si un cybercriminel veut accéder aux fichiers, il n’a donc besoin que des identifiants de connexion des employés (comme un nom d’utilisateur et un mot de passe) et d’une connexion Internet ; le criminel n’a pas besoin de passer par un périmètre de réseau.

L’IAM permet donc d’éviter les violations d’identité attacks et de données dues à l’escalade des privilèges (lorsqu’un utilisateur non autorisé a un accès trop important). Les systèmes IAM sont donc essentiels pour l’informatique en cloud et pour la gestion des équipes distantes.

L’IAM est souvent un service en nuage par lequel les utilisateurs doivent passer pour accéder au reste de l’infrastructure en nuage d’une organisation. Il peut également être déployé dans les locaux d’une organisation sur un réseau interne. Enfin, certains fournisseurs de cloud public peuvent regrouper l’IAM avec leurs autres services.

Les entreprises qui utilisent une architecture multi cloud ou hybride cloud peuvent au contraire faire appel à un fournisseur distinct pour l’IAM. Le découplage de l’IAM de leurs autres services publics ou privés cloud leur offre une plus grande flexibilité : elles peuvent toujours conserver leur identité et accéder à leur base de données si elles changent de fournisseur de cloud.

Dans le cadre de la gestion des identités et des accès, les entreprises doivent mettre en œuvre des pratiques, stratégies et procédures, de même que des solutions et produits, adaptés à leurs besoins spécifiques.

L’IGA est un terme générique désignant l’ensemble des mesures d’IAM prises par une entreprise pour s’assurer et prouver que les utilisateurs disposent des accès adéquats et suffisants. Correctement implémentée, l’IGA lui permet de contrôler et gouverner toutes ses identités, ainsi que les accès accordés, notamment aux applications, données et comptes à privilèges. Une gouvernance des accès solide réduit les risques et garantit un meilleur contrôle des réseaux locaux, hybrides ou dans le Cloud.

L’Active Directory, ou AD, permet également aux entreprises de créer et de gérer les accès à privilèges d’un grand nombre d’utilisateurs. Ceux-ci sont divisés en plusieurs niveaux (appelés « groupes » dans l’AD). Chaque groupe dispose de droits d’accès spécifiques et des privilèges sur les différents systèmes auprès desquels les utilisateurs s’authentifient.

Le principal avantage de l’AD est le contrôle centralisé des accès sur une grande partie (mais pas la totalité) du réseau, ce qui simplifie la mise en œuvre de paramètres, tels que des mises à jour de sécurité, et l’octroi de privilèges aux utilisateurs. Toutefois, les fonctions d’IGA de base nécessaires à une bonne utilisation de l’AD s’avèrent souvent complexes et propices aux erreurs sans la mise en place d’outils de l'IAM supplémentaires pour alléger la charge de travail.

Avec le contrôle d’accès basé sur des rôles (ou RBAC, Role-Based Access Control), utilisé par la plupart des entreprises de plus de 500 employés, l’accès aux systèmes est limité aux utilisateurs autorisés en fonction de leur rôle au sein de l’entreprise (ou du groupe d’appartenance dans l’AD).

Cette approche offre différents niveaux d’accès aux applications et aux données selon le rôle. Les permissions sont automatiquement accordées en fonction des tâches affectées aux employés, telles que définies par une source d’informations faisant autorité, comme un système RH.

Il existe également des solutions faciles à utiliser pour s’assurer que le processus d’authentification ne ralentit pas la productivité. L’approbation par smartphone et la reconnaissance des empreintes digitales sont deux exemples parmi d’autres de la façon dont les entreprises peuvent déployer une couche de sécurité supplémentaire de manière efficace sans pénaliser les employés.

Comme la plupart des systèmes disposent d’un compte administrateur ayant des droits et privilèges et qui sont souvent partagés, il est plus sage d’adjoindre à la solution d’IAM une gestion sécurisée des identifiants à privilèges. La gestion des mots de passe à privilèges peut être ajoutée en tant que couche supplémentaire de sécurité. Les outils de gestion des mots de passe à privilèges stockent ces derniers dans un coffre-fort sécurisé, les attribuent selon des paradigmes d’approbation et des workflows préétablis, et les modifient à intervalles prédéfinis.

Couplée à la gestion des mots de passe à privilèges, la gestion des sessions à privilèges permet aux entreprises de contrôler, surveiller et enregistrer les sessions à privilèges des administrateurs, fournisseurs à distance et autres utilisateurs à haut risque. Les enregistrements de sessions jouent un rôle particulièrement important pour l'informatique, car ils aident les entreprises à détecter les activités suspectes dans leurs systèmes.

Autre outil utile à l'informatique, l’analyse du comportement des utilisateurs à privilèges sert à identifier les comportements suspects et à mettre en lumière les menaces aussi bien internes qu’externes. La technologie d’analyse des comportements utilisateur peut détecter les anomalies et les hiérarchiser en fonction du niveau de risque, d’où la possibilité pour les entreprises de prioriser la réponse aux menaces et de prendre des mesures appropriées.

Alliées à d’autres sources d’informations, comme des logs système et d’audit, et des données de session, les données d’analyse des comptes à privilèges renforcent et complètent les fonctions de gestion des accès à privilèges (PAM) des entreprises.

Les avantages des solutions de Gestion des identités et des accès sont de plusieurs nature.

La sécurité est le premier d’entre eux. Intégrant des fonctionnalités complexes et nécessitant un véritable cadre d’implémentation, ces solutions apportent avec elles une véritable structuration des données. L’organisation qui en découle et les méthodes d’authentification utilisées permettent une meilleure visibilité sur les accès et, tout naturellement, un niveau de sécurité bien supérieur à ce qu’il serait sans.

Au-delà des questions de protection des données, l’IAM présente également de véritables atouts organisationnels. Facilitant l’organisation des informations client, elle contribue à l’amélioration du parcours de celui-ci sur un site et permet d’accéder à des données précieuses pour le suivi et les échanges, quel que soit le stade de la relation entre celui-ci et l’entreprise.

Les processus de sécurisation couvrent une utilisation sur smartphone, apportant une grande souplesse d’utilisation.

Les cybermenaces n’étant pas près de s’arrêter, le meilleur moyen de se préparer à les affronter est de bâtir une stratégie de cybersécurité intégrant les nombreuses facettes de l’IAM.

Les cybercriminels ont compris qu’il était plus facile de s’attaquer à des personnes, souvent considérées comme la voie de moindre résistance vers les réseaux d’entreprise. Aussi l’identité devient-elle rapidement le nouveau périmètre de sécurité des entreprises.

Une mise en œuvre appropriée de la gestion des accès et des identités est une condition essentielle pour limiter les répercussions potentielles d’une cyberattaque sur l’entreprise et réduire les risques d’activités malveillantes internes.

Copyright © 2021 AfroAware