Le flot des données augmente jour après jour : pour les en­tre­prises, les autorités et autres or­ga­ni­sa­tions, cela implique désormais d’ad­mi­nis­trer les données de milliers d’uti­li­sa­teurs avec des droits d’accès très variés, sur un très grand nombre de pla­te­formes et de systèmes. Clients, par­te­naires com­mer­ciaux, col­la­bo­ra­teurs, four­nis­seurs d’accès au Cloud : ils ont tous recours à des réseaux. La gestion des identités a aujourd’hui pris une ampleur qui dépasse souvent bien largement les seules in­fras­truc­tures d’une or­ga­ni­sa­tion.

Mais ce n’est pas la seule raison qui contraint les en­tre­prises et les autorités à s’occuper sé­rieu­se­ment de l’ad­mi­nis­tra­tion et du trai­te­ment des données. Des règles de con­for­mité les obligent à ad­mi­nis­trer les droits d’accès sur le long terme. La gestion des identités et des accès, ou IAM, a pour objet l’ad­mi­nis­tra­tion des identités des uti­li­sa­teurs et de leurs ha­bi­li­ta­tions.

Avec la dé­cen­tra­li­sa­tion des systèmes, l’accès au Cloud depuis le monde entier et l’uti­li­sa­tion d’appareils mobiles toujours plus fréquente, l’IAM est devenue une des solutions d’ad­mi­nis­tra­tion des données les plus im­por­tantes. Sans système de gestion des identités et des accès, il est presque im­pos­sible de savoir quel uti­li­sa­teur a besoin de quels droits d’accès à quel moment, ni comment il use de ce droit d’accès sur un appareil. L’IAM offre un moyen de naviguer dans ce dédale de données en toute sérénité.

Le b.a.-ba de l’IAM

Plus une en­tre­prise, une or­ga­ni­sa­tion ou une ad­mi­nis­tra­tion est grande, plus elle doit gérer un grand nombre d’identités, d’accès et d’au­to­ri­sa­tions. C’est là qu’in­ter­vient l’Identity and Access Ma­na­ge­ment. L’IAM facilite et au­to­ma­tise la création, le suivi et la gestion des identités des uti­li­sa­teurs et des droits d’accès qui leur sont at­tri­buées. Cette seule fonction apporte déjà une aide précieuse, mais le système de gestion permet en outre de s’assurer du respect des règles de con­for­mité : toutes les personnes et tous les services sont cor­rec­te­ment iden­ti­fiés, autorisés et vérifiés, tandis que tous les droits d’accès res­pec­tent les règles et cor­res­pon­dent au rôle de l’uti­li­sa­teur dans l’en­tre­prise.

La gestion des identités et des accès permet aux uti­li­sa­teurs d’accéder ra­pi­de­ment et en sécurité, parfois avec une au­to­ri­sa­tion, aux dif­fé­rents systèmes, ap­pli­ca­tions, struc­tures sur le Cloud, etc. Cette propriété est aussi appelée Pro­vi­sio­ning, soit « mise à dis­po­si­tion ». L’IAM permet aussi de révoquer cette mise à dis­po­si­tion de l’uti­li­sa­teur, ce que l’on appelle aussi le De-Pro­vi­sio­ning. C’est là toute l’idée derrière la gestion des identités et des accès : disposer d’un système basé sur des rôles et des règles.

Dans de nombreux cas, les ha­bi­li­ta­tions et au­to­ri­sa­tions d’accès peuvent être choisies di­rec­te­ment par les uti­li­sa­teurs. Sur un portail en self-service, ou bien dans le cadre de processus de requêtes et de va­li­da­tions en­tiè­re­ment au­to­ma­ti­sés, tous les res­pon­sables sont cependant impliqués afin de toujours garder le contrôle et garantir la sécurité.

Petit b.a.-ba de l’IAM :

  • La gestion des accès sert à su­per­vi­ser et contrôler les accès au réseau ;
  • Le contrôle de l’accès au réseau en fonction du contexte (Context-aware Network Access Control) est une méthode régulée d’accès aux res­sources du réseau tenant compte du contexte de l’uti­li­sa­teur ;
  • La gestion du cycle de vie des identités regroupe tous les processus et toutes les tech­no­lo­gies qui entrent en jeu dans la mise à dis­po­si­tion, la sup­pres­sion et le suivi des identités nu­mé­riques ;
  • La syn­chro­ni­sa­tion des identités s’assure que dif­fé­rents systèmes reçoivent des in­for­ma­tions co­hé­rentes pour chaque identité numérique spé­ci­fique ;
  • L’au­then­ti­fi­ca­tion multi-facteurs (MFA) cor­res­pond à une au­then­ti­fi­ca­tion exigeant plus d’un facteur (iden­ti­fiant et mot de passe), comme une au­then­ti­fi­ca­tion à deux facteurs ;
  • L’au­then­ti­fi­ca­tion basée sur les risques (RBA) est une variante flexible de l’au­then­ti­fi­ca­tion per­met­tant par exemple à un uti­li­sa­teur de se connecter au réseau depuis un nouveau lieu ;
  • Le Security In­for­ma­tion and Event Ma­na­ge­ment (SIEM) apporte une vue d’ensemble complète sur la sécurité in­for­ma­tique, notamment des évé­ne­ments suspects et des attaques récentes ;
  • L’analyse des com­por­te­ments uti­li­sa­teurs (UBA) se concentre sur les com­por­te­ments d’uti­li­sa­tion pour détecter les risques de sécurité.

La mission prin­ci­pale d’un système de gestion des identités et des accès est d’attribuer une identité numérique à un uti­li­sa­teur. Une fois cette identité créée, elle est suivie, mise à jour et contrôlée. Avec l’IAM, les ad­mi­nis­tra­teurs sont équipés pour modifier les rôles des uti­li­sa­teurs dans leur réseau, su­per­vi­ser toutes les activités, créer des rapports ou tout sim­ple­ment appliquer la politique de sécurité.

Identity and Access Ma­na­ge­ment : champ d’ap­pli­ca­tion, fonctions et devoirs

Une stratégie de gestion des identités et des accès s’élabore de manière à refléter les accès autorisés sur l’ensemble d’un réseau, y compris toutes les règles de con­for­mité internes et externes. Pour assurer cette fonction, le système IAM comprend une vaste gamme de tech­no­lo­gies, outils, logiciels et ap­pli­ca­tions : ges­tion­naire de mots de passe, logiciel de pro­vi­sio­ning, ap­pli­ca­tions pour la politique de sécurité, la gestion de rapports ou encore le mo­ni­to­ring.

Ces fonc­tion­na­li­tés sont né­ces­saires pour obtenir un système de gestion des identités et des accès suf­fi­sam­ment flexible, per­for­mant et sécurisé pour répondre aux exigences actuelles. Il ne suffit donc plus d’au­then­ti­fier et de su­per­vi­ser un uti­li­sa­teur dans le système.

C’est pour cette raison que l’Identity and Access Ma­na­ge­ment va désormais bien plus loin : cette solution propose une gestion simple des droits d’accès des uti­li­sa­teurs, et même in­dé­pen­dam­ment du lieu et du réseau, par exemple pour des clients à l’in­ter­na­tio­nal ou des col­la­bo­ra­teurs en té­lé­tra­vail. Ce support est aussi avan­ta­geux pour les en­vi­ron­ne­ments in­for­ma­tiques hybrides, utilisant les solutions SaaS ou la gestion de la pratique moderne du BYOD. Les fonctions de l’IAM en font une solution très po­ly­va­lente, com­pa­tible avec toutes les ar­chi­tec­tures in­for­ma­tiques courantes comme Windows, Mac, Android, iOS ou UNIX, et même avec les appareils de l’IdO.

Un si grand nombre de pos­si­bi­li­tés augmente les risques en matière de sécurité. Dans un en­vi­ron­ne­ment in­for­ma­tique toujours plus complexe, les dangers se font, eux aussi, toujours plus complexes. L’IAM régule les accès par le biais de méthodes d’au­then­ti­fi­ca­tion clas­siques, comme les mots de passe, les jetons d’au­then­ti­fi­ca­tion, les cer­ti­fi­cats nu­mé­riques ou les systèmes de cartes. Avec les systèmes modernes de gestion des identités et des accès, on a même recours à l’au­then­ti­fi­ca­tion bio­mé­trique, avec les em­preintes digitales ou la re­con­nais­sance faciale sur les smart­phones.

À ce jour, même l’ap­pren­tis­sage au­to­ma­tique et l’in­tel­li­gence ar­ti­fi­cielle ont fait leur entrée pour permettre une pro­tec­tion optimale des données uti­li­sa­teur. Un exemple : une en­tre­prise opte pour un système d’IAM avec au­then­ti­fi­ca­tion multi-facteurs. Les facteurs sont le mot de passe choisi par l’uti­li­sa­teur, son smart­phone et l’au­then­ti­fi­ca­tion par empreinte digitale, re­con­nais­sance faciale ou scan de l’iris que son téléphone propose. Cette seule con­fi­gu­ra­tion totalise déjà trois facteurs, qui au­then­ti­fient l’identité de l’uti­li­sa­teur qui se connecte au système.

Les fonctions d’un système de gestion des identités et des accès sont non seulement sûres, mais aussi très pratiques. Cette solution propose un mécanisme per­met­tant aux uti­li­sa­teurs d’accéder à plusieurs réseaux avec les mêmes iden­ti­fiants. C’est une pratique très répandue aujourd’hui sur les smart­phones. Ces appareils per­met­tent de se connecter à dif­fé­rentes ap­pli­ca­tions exigeant une au­then­ti­fi­ca­tion par le biais d’un seul compte (par exemple un compte Google ou Facebook). Les uti­li­sa­teurs privés ap­pré­cient beaucoup cette pos­si­bi­lité de ne pas avoir à créer de nouveaux iden­ti­fiants à chaque fois.

On parle dans ce cas d’une gestion fédérée des identités et des accès. Ce modèle s’appuie sur la coo­pé­ra­tion et la confiance des parties. Les pres­ta­taires comme Google ou Facebook se portent garants de leur uti­li­sa­teur en se con­nec­tant chez un par­te­naire avec le compte de l’uti­li­sa­teur. Cette fonction technique s’appelle le Single-Sign-On (SSO) : elle permet aux uti­li­sa­teurs de trans­po­ser sur un nouveau réseau leur identité déjà vérifiée sur un premier réseau. L’uti­li­sa­teur ne voit pas le processus d’au­then­ti­fi­ca­tion entre les par­te­naires, effectué en arrière-plan au moyen d’un protocole comme Security Assertion Markup Language.

Avantages et in­con­vé­nients de l’Identity and Access Ma­na­ge­ment

Les avantages d’un système IAM se com­pren­nent mieux à la lumière des in­con­vé­nients que pose l’uti­li­sa­tion d’un système de gestion des identités très simple, ou son absence. Lorsqu’une pla­te­forme n’identifie pas clai­re­ment ses uti­li­sa­teurs et ne peut pas leur attribuer de droits, les ennuis s’ac­cu­mu­lent très vite : plus cette pla­te­forme sera grande et plus elle ren­con­trera de problèmes. Un système in­tel­li­gent de gestion des identités et des accès permet de sim­pli­fier et d’au­to­ma­ti­ser les processus de création et de contrôle des données uti­li­sa­teur. Il garantit le respect des règles et supervise tous les com­por­te­ments des uti­li­sa­teurs et les pres­ta­tions de service de la pla­te­forme.

L’IAM a le grand avantage de proposer une fonction globale, sur appareil mobile, avec un système in­for­ma­tique dé­cen­tra­lisé ou mondial via le Cloud : la gestion des identités et des accès s’applique partout.

Cette approche présente toutefois un in­con­vé­nient mineur, à savoir trouver la solution IAM adaptée à ses besoins. Les exigences en matière d’IAM sont gé­né­ra­le­ment les mêmes pour tout le système et re­quiè­rent de proposer une solution unique. Pourtant, chaque en­tre­prise a sa propre façon de gérer ses dif­fé­rents systèmes et outils, ses priorités et même sa phi­lo­so­phie interne. Con­crè­te­ment, dans les en­tre­prises et les ad­mi­nis­tra­tions publiques, les systèmes d’IAM échouent sur un point : la gestion des identités doit s’appliquer in­té­gra­le­ment à tous les services et ne pas relever uni­que­ment des com­pé­tences du service IT. En effet, pour ce faire, il faut pouvoir définir en amont qui a accès à quoi, qui doit contrôler les accès, et décider de la marche à suivre lorsque quelque chose ne va pas. Les concepts d’accès et de rôle doivent être définis dans leur ensemble.

L’étape suivante consiste à élaborer un concept d’ar­chi­tec­ture. Outre les uti­li­sa­teurs, le système IAM peut aussi concerner d’autres systèmes, par­te­naires, en­tre­prises-sœurs, four­nis­seurs, clients, col­la­bo­ra­teurs, etc. Pour chaque branche, il faut aussi définir des rôles pour la ré­gu­la­tion et les audits, par exemple pour mettre à l’échelle le nombre d’uti­li­sa­teurs.

Un système cen­tra­lisé de ce genre est évi­dem­ment une cible de choix pour les cy­be­rat­taques. Les solutions IAM les plus récentes mettent en place un Blo­ck­chain in­fal­si­fiable, qui empêche les hackers de suivre ou de collecter les données d’au­then­ti­fi­ca­tion.

Mettre en place un système IAM

La gestion des identités et des accès trouve une utilité dès que des uti­li­sa­teurs doivent s’au­then­ti­fier et se voir attribuer des au­to­ri­sa­tions. L’ad­mi­nis­tra­tion des identités nu­mé­riques et de leurs droits d’accès à un réseau, une ap­pli­ca­tion ou d’autres systèmes nu­mé­riques est aujourd’hui presque om­ni­pré­sente.

Lorsqu’un uti­li­sa­teur souhaite utiliser un système ou une ap­pli­ca­tion, il doit en général fournir la preuve qu’il y est autorisé. Dans la plupart des cas, il doit s’iden­ti­fier par son nom d’uti­li­sa­teur, son adresse email et un mot de passe. Des com­bi­nai­sons plus modernes re­quiè­rent l’uti­li­sa­tion d’un badge mag­né­tique, de l’au­then­ti­fi­ca­tion bio­mé­trique ou d’un smart­phone.

Note

Le système IAM re­pré­sente donc la porte d’accès à un réseau. Bien souvent, les or­ga­ni­sa­tions sont tenues par les lois et les pré­co­ni­sa­tions du Règlement Général sur la Pro­tec­tion des Données européen d’en­tre­te­nir un système de ce type. Tout man­que­ment à ces règles de con­for­mité peut être sé­vè­re­ment sanc­tionné.

Aujourd’hui, pour des raisons purement prag­ma­tiques, une en­tre­prise ne peut pas se passer d’un système de gestion des identités et des accès. Les nombreux processus qui au­to­ma­ti­sent la gestion des identités libèrent la charge de travail de l’ensemble des services IT. L’as­sis­tance n’a plus besoin de s’occuper ma­nuel­le­ment de pro­cé­dures lourdes, comme la réi­ni­tia­li­sa­tion d’un mot de passe uti­li­sa­teur.

Point fon­da­men­tal, la gestion des identités et des accès oblige les en­tre­prises, les autorités et autres or­ga­ni­sa­tions à définir leur politique de gestion des données dans son ensemble. Un avantage pour chaque réseau, qui accroît aussi la sécurité de toutes les données.

Aller au menu principal