Gartner est largement considéré comme une autorité dans le secteur des technologies. En ce qui concerne la cybersécurité en particulier, c’est l’une des nombreuses entreprises qui définissent essentiellement le paysage et le marché.
Le rapport 2022 Critical Capabilities of Identity and Access Management de Gartner,publié en novembre, fournit de nombreuses informations précieuses sur le secteur.
Bien que ce rapport contienne indéniablement des informations importantes, il n’est pas particulièrement facile à analyser sans connaissances techniques. C’est là que nous intervenons.
Nous allons explorer chacun des principaux points de discussion – chacune des capacités critiques de la GIA – pour les expliquer en termes plus compréhensibles, y compris pourquoi ils sont importants.
Ensuite, nous reprendrons les principaux points de discussion pour les expliquer en termes plus simples, notamment ce qu’ils signifient pour votre entreprise.
Identité du personnel et la gestion des identités et des accès des clients (GIAC)
La GIAC et l’identité du personnel, également connue sous le nom GIA, sont deux cadres similaires mais différents qui sécurisent l’accès aux systèmes informatiques, aux ressources de l’entreprise et aux comptes d’utilisateurs. Les deux partagent des technologies similaires, telles que l’authentification unique, l’authentification multifactorielle et la surveillance du comportement de l’identité.
En outre, la GIAC et l’identité du personnel posent les bases du modèle de confiance zéro. Ces nouveaux cadres comprennent qu’il n’y a plus de frontières concrètes enfermées entre quatre murs. Au contraire, l’architecture de l’entreprise moderne est un ensemble de plateformes SaaS, d’API et d’accès de tiers.
Cependant, la GIAC et la gestion des identités du personnel sont fondamentalement différents dans leurs objectifs de base, bien qu’ils utilisent des technologies similaires. La GIAC s’efforce d’améliorer l’expérience de l’utilisateur final, de réduire ou d’éliminer la fraude et d’enregistrer le consentement aux politiques de confidentialité. À l’inverse, la gestion de l’identité du personnel se concentre sur un meilleur provisionnement des utilisateurs, une authentification plus sûre et des annuaires universels robustes.
Connexion aux services d’annuaire
Cette fonctionnalité est l’un des piliers de la GIA, permettant à une plateforme de gérer les identités internes et externes tout en synchronisant ces identités par le biais de la norme ouverte SCIM. Il est important de noter que dans un contexte moderne, ces identités ne se limitent pas uniquement aux utilisateurs humains. Les appareils physiques, les appareils IoT, les services, les applications, les processus automatisés et les scripts peuvent également posséder leurs propres identités.
Pourquoi c’est important
Comme le note notre partenaire ForgeRock, les services d’annuaire sont essentiellement des bases de données qui stockent des informations critiques pour l’entreprise, telles que les identifiants, les préférences d’authentification, les données d’application et les informations sur les appareils. Il s’ensuit que si une plateforme de GIA ne peut pas s’intégrer de manière sécurisée aux services d’annuaire ou gérer ses propres services, elle peut tout aussi bien ne pas être fonctionnelle.
Administration des accès
L’administration des accès peut être divisée en deux segments, interne et externe. L’administration des accès internes couvre l’intégration, le provisionnement, la gestion des mots de passe, la gestion des profils, la gestion du cycle de vie et l’administration générale des employés. La gestion des accès externes englobe des fonctionnalités très similaires pour les utilisateurs externes, tout en prenant en charge la fédération avec des fournisseurs d’identité tiers, la gestion des justificatifs d’identité tiers (BYOI) et la gestion des consentements.
Pourquoi c’est important
L’administration consiste à garder le contrôle de votre organisation – de ses systèmes, de ses actifs et de son écosystème. Sans la possibilité de gérer directement les utilisateurs, en particulier le provisionnement et le désprovisionnement, les identités de votre organisation tombent dans le chaos. Imaginez une organisation où chaque compte utilisateur est un administrateur de domaine, et vous aurez une bonne idée de ce à quoi cela peut ressembler.
Outils de développement
Les outils de développement, comme leur nom l’indique, permettent à une plateforme de GIA de prendre en charge des normes ouvertes, des interfaces de programmation d’applications (API) et de la documentation. Certains outils de GIA fournissent également des trousses de développement logiciel (SDK). On observe également une tendance croissante à l’utilisation d’outils de développement à code réduit ou sans code.
Pourquoi c’est important
Si votre organisation souhaite intégrer des contrôles de GIA dans une application développée en interne, elle a besoin d’une plateforme de GIA avec des outils de développement intégrés.
Autorisation et accès adaptatif
En termes simples, l’accès adaptatif permet à une solution de GIA de gérer et de modifier les politiques, les contrôles et les décisions d’accès en fonction des données contextuelles. Cela permet une approche plus dynamique et plus flexible de la gestion des accès. Les solutions plus avancées peuvent également intégrer des fonctionnalités telles que l’analyse comportementale et la détection des fraudes.
Pourquoi c’est important
Dans le paysage actuel des menaces, le risque n’est plus statique. Sans la capacité d’évaluer les risques de manière flexible et automatique, vous n’avez d’autre choix que d’appliquer unilatéralement des contrôles d’accès et des décisions sans tenir compte du contexte. Dans un monde de travail distribué et de chaînes d’approvisionnement numériques tentaculaires, c’est une perspective dangereuse.
L’authentification unique et la gestion des sessions
La gestion des sessions permet à votre organisation d’exercer un contrôle global sur les durées de session et les jetons d’accès. L’authentification unique est étroitement liée à la gestion des sessions, car elle permet à un utilisateur de s’authentifier auprès d’une suite ou d’un ensemble d’applications avec une seule connexion.
Pourquoi c’est important
Cette capacité est importante pour deux raisons. Tout d’abord, l’authentification unique rend la sécurité et l’authentification beaucoup moins pénibles pour les utilisateurs, ce qui les rend moins enclins à essayer de contourner les contrôles de sécurité de votre organisation. Le contrôle des sessions, quant à lui, peut réduire considérablement le risque global.
En outre, cela s’applique également au déploiement et à l’administration – un système difficile à utiliser et à intégrer n’en vaut guère la peine.
Authentification de l’utilisateur
L’authentification des utilisateurs est exactement ce qu’elle semble être. C’est la façon dont la plateforme de GIA identifie et accorde l’accès aux utilisateurs légitimes. Outre l’authentification standard basée sur les informations d’identification, elle comprend l’authentification multifactorielle.
Pourquoi c’est important
Chaque organisation, quel que soit son marché ou son secteur d’activité, devrait intégrer l’authentification multifactorielle dans ses processus de connexion. La couche de sécurité supplémentaire qu’elle offre aux noms d’utilisateur et aux mots de passe peut souvent empêcher la compromission d’un compte et, par conséquent, une violation de données.
Contrôle d’accès à l’API
Essentiellement, cette fonction contrôle l’authentification et l’autorisation à une API plutôt qu’à un réseau, un appareil ou une application. Comme vous l’avez sans doute deviné, cette fonctionnalité est principalement destinée aux développeurs d’applications.
Pourquoi c’est important
En appliquant des contrôles de GIA à une API, le propriétaire de l’API peut s’assurer que seuls les utilisateurs disposant d’informations d’identification légitimes se voient accorder l’accès. Cela permet d’exercer un contrôle beaucoup plus fin et granulaire sur les personnes qui peuvent exploiter vos ressources et sur la manière dont elles peuvent le faire.
Activation des applications
Autre fondement essentiel de la GIA, l’activation des applications permet l’accès, l’authentification unique et l’authentification aux applications SaaS standard et des applications non standard. Dans certains cas, les plateformes de GIA qui prennent en charge l’activation des applications non standard peuvent également prendre en charge les serveurs, les VPN et les périphériques réseau. L’activation d’applications standard s’appuie sur des protocoles tels que OpenID Connect et SAML.
Pourquoi c’est important
C’est simple – si votre outil de GIA ne prend pas en charge l’activation des applications, vous ne pouvez pas l’utiliser pour gérer l’authentification ou l’autorisation des applications ou des systèmes utilisés par votre entreprise.
Analyses et rapports
Cette capacité englobe en fait plusieurs fonctions distinctes.
- Enregistrer et orchestrer les données relatives à tous les événements sur une plateforme de GIA, y compris l’accès et l’administration.
- Appliquer des analyses diagnostiques, prédictives et prescriptives pour obtenir des informations plus approfondies sur l’utilisation.
- Auditer les journaux d’accès et d’identité et générer des rapports personnalisés.
Pourquoi c’est important
Vous ne pouvez pas arrêter ce que vous ne pouvez pas voir. En plus de fournir une visibilité sur les opérations de votre plateforme de GIA, les fonctionnalités d’analyse et de signalisation jouent un rôle essentiel dans la criminalistique numérique – si le pire se produit et que vous êtes victime d’une violation, elles peuvent vous aider à déterminer comment. Enfin, les fonctionnalités d’audit et de signalisation sont exigées dans certains secteurs d’activité.
Sécurité et résilience
Dans quelle mesure la plateforme de GIA se protège-t-elle contre les attaques ciblées ? Quelles sont les fonctionnalités mises en place pour détecter les menaces, assurer la résilience opérationnelle et protéger les informations d’identification ? Quelles sont les connaissances du fournisseur en matière de cybersécurité ?
Pourquoi c’est important
Les acteurs de la menace ciblent Active Directory – la principale solution de services d’annuaire dans la plupart des grandes organisations – depuis plus de vingt ans. Ils savent que s’ils parviennent à le compromettre et à accéder aux informations d’identité qu’il contient, ils ont carte blanche pour faire ce qu’ils veulent.
Il est donc logique qu’ils appliquent la même logique aux outils de gestion des identités et des accès.
Sauvegarde de l’identité
Il fut un temps où les réseaux d’entreprise étaient relativement simples, protégés du monde extérieur par des pare-feu et des contrôles d’authentification. Cette époque est loin derrière nous. Dans un monde défini par le travail distribué et l’interconnectivité numérique, les anciennes méthodes d’authentification et de gestion des accès sont désuètes – vous ne pouvez plus vous fier uniquement aux appareils, aux noms d’utilisateur ou aux mots de passe.
Vous devez gérer les identités et les politiques. Vous avez besoin de la GIA. Et nous pouvons vous aider à trouver l’outil adéquat pour votre organisation.