L’essor de l’informatique en cloud, la prévalence des appareils mobiles et l’évolution constante des exigences de conformité créent le besoin d’un meilleur moyen de gérer l’accès des employés et des clients aux systèmes et aux logiciels.
La gestion des identités et des accès (GIA) s’est imposée pour répondre à ce besoin. La GIA crée une approche systématique de l’administration des utilisateurs qui fonctionne dans les écosystèmes complexes et interconnectés des organisations modernes.
Le marché de la GIA devrait atteindre plus de 20 milliards de dollars américains d’ici 2025, soit une croissance significative par rapport aux 10 milliards de dollars de 2018. La polyvalence de la GIA pousse principalement son adoption rapide pour accommoder les dernières technologies et tendances, tout en assurant la sécurité et la conformité.
Un rapport de Forrester a examiné comment l’adoption de l’IAM est propulsée par son rôle intégral dans la sécurité de Confiance zéro, permettant l’authentification sans mot de passe, et abordant les vulnérabilités des identités non humaines, comme les API (interface de programmation d’application) et les appareils IoT (Internet des objets).
Il semble que tout dans l’informatique pointe vers une solution : la GIA.
Pourtant, même si la GIA est une évolution de pratiques informatiques de longue date, la compréhension de toutes les pièces mobiles peut encore être déroutante. C’est pourquoi nous avons décomposé tous les termes, stratégies et technologies pour clarifier les choses.
Poursuivez votre lecture pour en savoir plus sur cette approche en pleine expansion qui permet de gérer en toute sécurité les utilisateurs dans un écosystème technologique en constante expansion.
Qu’est-ce que la gestion des identités et des accès (GIA) ?
La GIA est une approche systématique de la gestion de l’accès aux ressources informatiques, qui consiste à appliquer des contrôles d’accès sur la base de l’identité, tout en offrant une visibilité sur les événements d’accès. Les technologies qui composent la GIA permettent au service informatique d’attribuer des identités aux utilisateurs, puis de définir des politiques d’identité qui déterminent les systèmes et les logiciels auxquels ils peuvent accéder.
Cette approche simplifie l’adaptation à un écosystème technologique en constante évolution. Par exemple, si vous adoptez une nouvelle technologie cloud, vous pouvez faire correspondre ses rôles et autorisations à vos politiques de GIA existantes. Ainsi, tous les membres de l’entreprise disposeront immédiatement des niveaux d’accès appropriés, sans que le service informatique ait à effectuer un travail manuel fastidieux.
La GIA est souvent discuté en mettant l’accent sur les employés, les gestionnaires et les dirigeants, mais elle s’applique également aux actifs informatiques, souvent connus sous le nom d’identités non humaines. Par exemple, les services virtualisés, les intégrations tierces et les appareils IoT auront tous des identités déterminant ce à quoi ils peuvent accéder, ce qui renforce encore la sécurité.
Pourquoi avez-vous besoin de la GIA ?
La GIA est devenue la nouvelle norme car elle cible trois aspects importants auxquels les organisations de toutes tailles accordent la priorité :
- La sécurité : Le mot de passe est la faille fatale de la sécurité traditionnelle. Il suffit d’un seul mot de passe piraté pour que l’ensemble de l’organisation soit potentiellement en danger. La GIA réduit les points de défaillance potentiels en cas de compromission d’un mot de passe, ouvrant la voie aux technologies sans mot de passe. En outre, la GIA comporte des dispositifs de protection intégrés pour empêcher les intrus ou les erreurs de causer de graves dommages.
- La productivité : Se connecter continuellement à de nouvelles plateformes tout au long de la journée de travail nuit considérablement à la productivité. Les technologies de GIA permettent aux employés de se connecter une fois avec un service d’authentification unique (SSO), puis de poursuivre leur journée de travail sans se connecter à d’autres plateformes dont ils ont besoin individuellement. La productivité informatique est également améliorée car la GIA permet de limiter l’accès à des ressources spécifiques sur la base de l’identité plutôt que par utilisateur, ce qui réduit la charge de travail du département informatique.
- La conformité : La conformité est récemment passée au premier plan des préoccupations de chacun. La GIA rend l’atteinte et le maintien de la conformité beaucoup plus simples en exploitant les dernières technologies de sécurité pour respecter le RGPD, l’HIPAA et d’autres exigences en garantissant la confidentialité des utilisateurs et la sécurité des systèmes.
La gestion des identités versus la gestion des accès
La GIA englobe deux concepts informatiques distincts mais liés qui existent depuis des années : la gestion des identités et la gestion des accès. La fusion de ces deux concepts a donné naissance à une nouvelle façon pour les organisations de gérer les deux au sein d’un même système tout en améliorant simultanément la sécurité et l’efficacité.
La gestion des identités entrepose des informations sur les utilisateurs autorisés, telles que les titres de poste, les rapports directs et les identifiants (credentials).
La gestion des accès détermine les ressources auxquelles un utilisateur est autorisé à accéder et ce que les utilisateurs sont autorisés à faire dans ces ressources. Par exemple, la plupart des employés ont besoin d’accéder à un logiciel de suivi du temps, mais seuls les responsables doivent avoir la possibilité d’approuver les feuilles de temps.
Il est facile de comprendre pourquoi ces deux concepts ont maintenant fusionné dans la GIA. Combinés, ils créent un moyen cohérent pour l’informatique de gérer les identités et ce que ces identités sont autorisées à faire.
Termes et technologies que vous devez connaître
La GIA englobe une série de technologies et de termes. Comprendre ce qu’ils signifient tous vous aidera à comprendre l’intérêt d’adopter une stratégie de GIA et à élaborer la vôtre.
Authentification
L’authentification consiste à valider qu’un utilisateur est bien celui qu’il prétend être. Traditionnellement, cela se faisait à l’aide de noms d’utilisateur et de mots de passe. Cependant, les dernières tendances en matière d’authentification sont mieux décrites comme une authentification basée sur le contexte.
Authentification basée sur le contexte
Les technologies d’authentification modernes prennent en compte des facteurs autres que les noms d’utilisateur et les mots de passe, tels que le périphérique, la géolocalisation et les tendances historiques d’accès, pour authentifier davantage un utilisateur.
Par exemple, supposons qu’un utilisateur qui se connecte habituellement le matin à partir d’un PC Windows à Toronto se connecte soudainement à minuit depuis un PC Linux à Calgary. Dans ce cas, le système empêchera son accès, même s’il dispose des informations d’identification appropriées.
Autorisation
L’autorisation garantit qu’un utilisateur authentifié ne peut accéder qu’à des ressources informatiques approuvées. Avec la GIA, les administrateurs informatiques déterminent les niveaux d’autorisation en gérant les identités. Si un utilisateur authentifié tente d’accéder à une ressource non autorisée, l’accès lui est refusé et la tentative est enregistrée.
Gestion des accès privilégiés (GAP)
Les cadres, les responsables informatiques et les autres chefs de service ont souvent des niveaux d’accès plus élevés que les autres membres de l’entreprise. Les solutions de gestion des accès privilégiés (GAP) varient en termes d’exécution, mais toutes s’efforcent de minimiser la possibilité d’accéder à ces comptes et de les modifier.
Par exemple, un représentant de l’assistance technique peut être en mesure de réinitialiser les mots de passe des comptes standards, mais ne pourra pas toucher aux comptes privilégiés.
De plus, les solutions de GAP surveillent et enregistrent toutes les activités des utilisateurs privilégiés afin d’identifier les intrusions potentielles si ces comptes rompent soudainement les tendances historiques. Si un compte privilégié commence à accéder à des systèmes qu’il ne touche pas habituellement, la plateforme peut en restreindre l’accès, même s’il est techniquement autorisé à utiliser ces plateformes.
Authentification multifactorielle (AMF)
L’authentification multifactorielle (AMF) ajoute une couche supplémentaire de sécurité lors de l’authentification de l’utilisateur. Les noms d’utilisateur et les mots de passe sont toujours requis, mais l’authentification multifactorielle ajoute d’autres méthodes d’authentification comme un jeton USB, un code envoyé par courriel ou par SMS, ou une authentification biométrique. En conséquence, l’AMF est largement considérée comme l’une des méthodes les plus sûres pour sécuriser l’accès aux données et applications sensibles.
Authentification unique (SSO)
La plupart des consommateurs connaissent l’authentification par authentification unique (single sign on – SSO) en se connectant à diverses plateformes avec des comptes Google ou Facebook. De même, dans le contexte professionnel, un service SSO authentifie l’utilisateur une fois. Il sert ensuite d’intermédiaire entre l’utilisateur et les diverses applications qu’il utilisera tout au long de la journée.
En arrière-plan, le service SSO s’authentifie auprès de l’application cible lorsqu’on y accède sans aucune interaction de la part de l’utilisateur.
Gestion des identités et des accès des clients (GIAC)
La gestion des identités et des accès des clients (GIAC) permet aux organisations de saisir, d’entreposer et de gérer en toute sécurité les identités et les profils des clients. De plus, la GIAC détermine les niveaux d’accès aux applications et autres ressources informatiques. Elle est similaire à la GIA, qui se concentre sur les utilisateurs internes, tandis que la GIAC se concentre sur les clients ou les partenaires.
La GIAC utilise un grand nombre de technologies identiques à celles de la GIA, notamment AMF, SSO et l’enregistrement des accès. La GIAC diffère de la GIA en incluant la gestion des consentements et des préférences pour assurer la conformité avec des réglementations telles que le RGPD.
GIA comme service IAM-as-a-Service (IDaaS)
Également connu sous le nom d’Identity-as-a-Service, IDaaS est une solution de GIA spécialisée avec une livraison basée sur le cloud. Une plateforme IDaaS gère l’AMF, le SSO et les administrateurs universels pour le compte de l’organisation. De plus, de nombreuses plateformes IDaaS offrent à la fois des options d’auto-administration et de gestion afin que les organisations puissent minimiser les charges de travail internes.
Système de gestion des identités inter-domaines (SGII) System for Cross-Domain Identity Management (SCIM)
Le provisionnement des utilisateurs dans la GIA s’appuie sur SGII pour maintenir les données utilisateur à jour dans tous les systèmes de l’écosystème. SCII est également la base de certaines technologies SSO, mais va au-delà de l’authentification et vérifie que les deux systèmes disposent d’informations actualisées sur l’utilisateur.
SGII apporte une sécurité supplémentaire lorsque les données utilisateur sont modifiées dans un système mais pas dans un autre, ce qui peut créer un vecteur d’attaque potentiel s’il n’est pas mis à jour. Cette fonctionnalité est importante si un utilisateur est supprimé, car elle empêche l’utilisateur de conserver des droits d’authentification dans un autre actif. This feature is significant if a user is deleted as it prevents the user from retaining authentication rights in another asset.
SCIM provides added security when user data is modified in one system but not another, which can create a potential attack vector if not updated. This feature is significant if a user is deleted as it prevents the user from retaining authentication rights in another asset.
Stratégies de GIA pour renforcer la sécurité
La gestion des identités et la gestion des accès ont toutes deux existé dans l’informatique pendant un certain temps avant de fusionner dans la GIA. Mais la GIA ne se contente pas d’unifier ces concepts ; il les améliore pour fournir une sécurité plus substantielle et plus souple.
La GIA améliore la sécurité dans un écosystème technologique en constante évolution en unifiant tous les termes ci-dessus dans une stratégie cohésive. Lorsqu’elle est mise en œuvre efficacement, la GIA fonctionne selon le principe du moindre privilège et exploite les politiques de sécurité axées sur les identités.
Gestion centrale des identités
Lorsque de nouveaux employés sont embauchés, une identité leur est attribuée et ils héritent de tous les droits et autorisations qui y sont associés. Ce processus évite de demander au service informatique d’accorder l’accès à des applications spécifiques par utilisateur. Si un employé est transféré dans un nouveau service ou promu, il lui suffit de se voir attribuer une nouvelle identité. La gestion centrale des identités prépare le terrain d’une sécurité plus solide dans toute l’organisation.
Architecture de Confiance zéro
La GIA est la pierre angulaire technologique de l’architecture de Confiance zéro, car elle construit la base d’une authentification continue à mesure qu’un utilisateur se déplace dans l’environnement. Une stratégie de GIA axée sur la sécurité permet aux employés d’accéder uniquement à ce dont ils ont besoin, et rien de plus.
Vous n’avez pas nécessairement besoin d’adopter la Confiance zéro après avoir mis en œuvre la GIA. Vous bénéficierez toujours de l’amélioration de l’authentification des utilisateurs, du contrôle d’accès et de la gestion basée sur l’identité. Cependant, la GIA rend l’architecture de Confiance zéro plus simple à mettre en œuvre, ce qui est un excellent moyen de continuer à améliorer la sécurité.
Contrôle basé sur les politiques
La GIA permet d’appliquer des politiques informatiques axées sur les identités, chaque identité déterminant les niveaux d’accès. De plus, les politiques elles-mêmes améliorent la sécurité en n’accordant à une identité spécifique qu’un accès aux applications et aux ressources informatiques nécessaires à la fonction professionnelle correspondante, sans privilèges supplémentaires.
Les contrôles basés sur des politiques simplifient également l’intégration des utilisateurs dans les nouvelles applications au fur et à mesure de leur adoption. Les droits et les rôles de la nouvelle application peuvent être mis en correspondance avec les politiques existantes, de sorte que chaque membre de l’entreprise n’a immédiatement accès qu’à ce dont il a besoin dans la nouvelle plate-forme.
Un bref aperçu de l’élaboration de votre stratégie de GIA
L’élaboration d’une stratégie de GIA à partir de la base peut être complexe et difficile, c’est pourquoi nous allons aborder la manière de commencer. Sachez que ce guide n’est en aucun cas exhaustif, mais qu’il présente les points essentiels de l’adoption de la GIA.
- Comprenez les besoins et les points sensibles : Commencez par évaluer votre environnement technologique, la manière dont il est authentifié et les vulnérabilités de sécurité connues. Ensuite, à quoi doit ressembler exactement votre future stratégie de GIA pour répondre aux besoins actuels et améliorer la sécurité ?
- Évaluez les fournisseurs de services : Vous devrez intégrer de nouvelles plateformes et de nouveaux outils pour créer une solution de GIA complète. Heureusement, vous n’aurez probablement pas à tout assembler, car divers services et solutions IDaaS sont disponibles pour simplifier la mise à jour vers la GIA.
- Déployez les nouvelles solutions de GIA : Une fois que vous avez construit votre nouvelle plateforme de GIA, il est temps de la déployer. En fonction des fournisseurs que vous avez choisis, cette étape peut être complexe ou vous pouvez bénéficier de l’aide de vendeurs.
- Dispenser une formation à l’échelle de l’entreprise : Vous devrez former le service informatique avant de déployer la GIA, mais par la suite, tout le monde devra être formé. La formation consistera à comprendre les nouvelles exigences SSO et AMF pour la plupart des employés. De plus, les gestionnaires et les cadres peuvent avoir besoin d’une formation supplémentaire.
- Adaptation et évolution permanentes : La GIA excelle à s’adapter à l’évolution des technologies, des tendances et des exigences de conformité. Continuez à évaluer l’efficacité et la sécurité de votre stratégie de GIA et apportez des améliorations si nécessaire. Mettez à jour les identités, les politiques ou l’enregistrement des accès pour tenir compte des nouvelles exigences réglementaires.
Nous avons peint à grands traits, mais vous pouvez maintenant voir le tableau dans son ensemble. L’adoption de la GIA n’est certainement pas une mince affaire, mais elle n’a pas besoin d’être confuse ou décourageante. Les étapes ci-dessus montrent que ce n’est pas aussi difficile qu’il n’y paraît à première vue.
Associez-vous à Indigo Consulting pour élaborer une stratégie ou pour gérer vos nouveaux programmes de GIA
La gestion des identités et des accès crée l’adaptabilité et la flexibilité dont les organisations ont besoin face à un paysage technologique en évolution et à des exigences de conformité changeantes. Après la GIA, vous serez prêt à faire face à chaque nouveau changement avec agilité et sans créer de charges manuelles importantes pour l’informatique.
Êtes-vous prêt à explorer différentes options et à passer à la GIA pour améliorer la sécurité et la productivité ? Indigo Consulting est spécialisé dans l’aide aux organisations pour élaborer des stratégies de GIA efficaces, et nous pouvons même devenir votre fournisseur intégré (managed provider). Contactez-nous dès aujourd’hui pour explorer vos options en matière de déploiement de la GIA.