IAM : qu’est-ce que l’Identity and Access Management ?

Le flot des données augmente jour après jour : pour les entreprises, les autorités et autres organisations, cela implique désormais d’administrer les données de milliers d’utilisateurs avec des droits d’accès très variés, sur un très grand nombre de plateformes et de systèmes. Clients, partenaires commerciaux, collaborateurs, fournisseurs d’accès au Cloud : ils ont tous recours à des réseaux. La gestion des identités a aujourd’hui pris une ampleur qui dépasse souvent bien largement les seules infrastructures d’une organisation.

Mais ce n’est pas la seule raison qui contraint les entreprises et les autorités à s’occuper sérieusement de l’administration et du traitement des données. Des règles de conformité les obligent à administrer les droits d’accès sur le long terme. La gestion des identités et des accès, ou IAM, a pour objet l’administration des identités des utilisateurs et de leurs habilitations.

Avec la décentralisation des systèmes, l’accès au Cloud depuis le monde entier et l’utilisation d’appareils mobiles toujours plus fréquente, l’IAM est devenue une des solutions d’administration des données les plus importantes. Sans système de gestion des identités et des accès, il est presque impossible de savoir quel utilisateur a besoin de quels droits d’accès à quel moment, ni comment il use de ce droit d’accès sur un appareil. L’IAM offre un moyen de naviguer dans ce dédale de données en toute sérénité.

Plus une entreprise, une organisation ou une administration est grande, plus elle doit gérer un grand nombre d’identités, d’accès et d’autorisations. C’est là qu’intervient l’Identity and Access Management. L’IAM facilite et automatise la création, le suivi et la gestion des identités des utilisateurs et des droits d’accès qui leur sont attribuées. Cette seule fonction apporte déjà une aide précieuse, mais le système de gestion permet en outre de s’assurer du respect des règles de conformité : toutes les personnes et tous les services sont correctement identifiés, autorisés et vérifiés, tandis que tous les droits d’accès respectent les règles et correspondent au rôle de l’utilisateur dans l’entreprise.

La gestion des identités et des accès permet aux utilisateurs d’accéder rapidement et en sécurité, parfois avec une autorisation, aux différents systèmes, applications, structures sur le Cloud, etc. Cette propriété est aussi appelée Provisioning, soit « mise à disposition ». L’IAM permet aussi de révoquer cette mise à disposition de l’utilisateur, ce que l’on appelle aussi le De-Provisioning. C’est là toute l’idée derrière la gestion des identités et des accès : disposer d’un système basé sur des rôles et des règles.

Dans de nombreux cas, les habilitations et autorisations d’accès peuvent être choisies directement par les utilisateurs. Sur un portail en self-service, ou bien dans le cadre de processus de requêtes et de validations entièrement automatisés, tous les responsables sont cependant impliqués afin de toujours garder le contrôle et garantir la sécurité.

Petit b.a.-ba de l’IAM :

• La gestion des accès sert à superviser et contrôler les accès au réseau ;
• Le contrôle de l’accès au réseau en fonction du contexte (Context-aware Network Access Control) est une méthode régulée d’accès aux ressources du réseau tenant compte du contexte de l’utilisateur ;
• La gestion du cycle de vie des identités regroupe tous les processus et toutes les technologies qui entrent en jeu dans la mise à disposition, la suppression et le suivi des identités numériques ;
• La synchronisation des identités s’assure que différents systèmes reçoivent des informations cohérentes pour chaque identité numérique spécifique ;
• L’authentification multi-facteurs (MFA) correspond à une authentification exigeant plus d’un facteur (identifiant et mot de passe), comme une authentification à deux facteurs ;
• L’authentification basée sur les risques (RBA) est une variante flexible de l’authentification permettant par exemple à un utilisateur de se connecter au réseau depuis un nouveau lieu ;
• Le Security Information and Event Management (SIEM) apporte une vue d’ensemble complète sur la sécurité informatique, notamment des événements suspects et des attaques récentes ;
• L’analyse des comportements utilisateurs (UBA) se concentre sur les comportements d’utilisation pour détecter les risques de sécurité.

La mission principale d’un système de gestion des identités et des accès est d’attribuer une identité numérique à un utilisateur. Une fois cette identité créée, elle est suivie, mise à jour et contrôlée. Avec l’IAM, les administrateurs sont équipés pour modifier les rôles des utilisateurs dans leur réseau, superviser toutes les activités, créer des rapports ou tout simplement appliquer la politique de sécurité.

Une stratégie de gestion des identités et des accès s’élabore de manière à refléter les accès autorisés sur l’ensemble d’un réseau, y compris toutes les règles de conformité internes et externes. Pour assurer cette fonction, le système IAM comprend une vaste gamme de technologies, outils, logiciels et applications : gestionnaire de mots de passe, logiciel de provisioning, applications pour la politique de sécurité, la gestion de rapports ou encore le monitoring.

Ces fonctionnalités sont nécessaires pour obtenir un système de gestion des identités et des accès suffisamment flexible, performant et sécurisé pour répondre aux exigences actuelles. Il ne suffit donc plus d’authentifier et de superviser un utilisateur dans le système.

C’est pour cette raison que l’Identity and Access Management va désormais bien plus loin : cette solution propose une gestion simple des droits d’accès des utilisateurs, et même indépendamment du lieu et du réseau, par exemple pour des clients à l’international ou des collaborateurs en télétravail. Ce support est aussi avantageux pour les environnements informatiques hybrides, utilisant les solutions SaaS ou la gestion de la pratique moderne du BYOD. Les fonctions de l’IAM en font une solution très polyvalente, compatible avec toutes les architectures informatiques courantes comme Windows, Mac, Android, iOS ou UNIX, et même avec les appareils de l’IdO.

Un si grand nombre de possibilités augmente les risques en matière de sécurité. Dans un environnement informatique toujours plus complexe, les dangers se font, eux aussi, toujours plus complexes. L’IAM régule les accès par le biais de méthodes d’authentification classiques, comme les mots de passe, les jetons d’authentification, les certificats numériques ou les systèmes de cartes. Avec les systèmes modernes de gestion des identités et des accès, on a même recours à l’authentification biométrique, avec les empreintes digitales ou la reconnaissance faciale sur les smartphones.

À ce jour, même l’apprentissage automatique et l’intelligence artificielle ont fait leur entrée pour permettre une protection optimale des données utilisateur. Un exemple : une entreprise opte pour un système d’IAM avec authentification multi-facteurs. Les facteurs sont le mot de passe choisi par l’utilisateur, son smartphone et l’authentification par empreinte digitale, reconnaissance faciale ou scan de l’iris que son téléphone propose. Cette seule configuration totalise déjà trois facteurs, qui authentifient l’identité de l’utilisateur qui se connecte au système.

Les fonctions d’un système de gestion des identités et des accès sont non seulement sûres, mais aussi très pratiques. Cette solution propose un mécanisme permettant aux utilisateurs d’accéder à plusieurs réseaux avec les mêmes identifiants. C’est une pratique très répandue aujourd’hui sur les smartphones. Ces appareils permettent de se connecter à différentes applications exigeant une authentification par le biais d’un seul compte (par exemple un compte Google ou Facebook). Les utilisateurs privés apprécient beaucoup cette possibilité de ne pas avoir à créer de nouveaux identifiants à chaque fois.

On parle dans ce cas d’une gestion fédérée des identités et des accès. Ce modèle s’appuie sur la coopération et la confiance des parties. Les prestataires comme Google ou Facebook se portent garants de leur utilisateur en se connectant chez un partenaire avec le compte de l’utilisateur. Cette fonction technique s’appelle le Single-Sign-On (SSO) : elle permet aux utilisateurs de transposer sur un nouveau réseau leur identité déjà vérifiée sur un premier réseau. L’utilisateur ne voit pas le processus d’authentification entre les partenaires, effectué en arrière-plan au moyen d’un protocole comme Security Assertion Markup Language.

Les avantages d’un système IAM se comprennent mieux à la lumière des inconvénients que pose l’utilisation d’un système de gestion des identités très simple, ou son absence. Lorsqu’une plateforme n’identifie pas clairement ses utilisateurs et ne peut pas leur attribuer de droits, les ennuis s’accumulent très vite : plus cette plateforme sera grande et plus elle rencontrera de problèmes. Un système intelligent de gestion des identités et des accès permet de simplifier et d’automatiser les processus de création et de contrôle des données utilisateur. Il garantit le respect des règles et supervise tous les comportements des utilisateurs et les prestations de service de la plateforme.

L’IAM a le grand avantage de proposer une fonction globale, sur appareil mobile, avec un système informatique décentralisé ou mondial via le Cloud : la gestion des identités et des accès s’applique partout.

Cette approche présente toutefois un inconvénient mineur, à savoir trouver la solution IAM adaptée à ses besoins. Les exigences en matière d’IAM sont généralement les mêmes pour tout le système et requièrent de proposer une solution unique. Pourtant, chaque entreprise a sa propre façon de gérer ses différents systèmes et outils, ses priorités et même sa philosophie interne. Concrètement, dans les entreprises et les administrations publiques, les systèmes d’IAM échouent sur un point : la gestion des identités doit s’appliquer intégralement à tous les services et ne pas relever uniquement des compétences du service IT. En effet, pour ce faire, il faut pouvoir définir en amont qui a accès à quoi, qui doit contrôler les accès, et décider de la marche à suivre lorsque quelque chose ne va pas. Les concepts d’accès et de rôle doivent être définis dans leur ensemble.

L’étape suivante consiste à élaborer un concept d’architecture. Outre les utilisateurs, le système IAM peut aussi concerner d’autres systèmes, partenaires, entreprises-sœurs, fournisseurs, clients, collaborateurs, etc. Pour chaque branche, il faut aussi définir des rôles pour la régulation et les audits, par exemple pour mettre à l’échelle le nombre d’utilisateurs.

Un système centralisé de ce genre est évidemment une cible de choix pour les cyberattaques. Les solutions IAM les plus récentes mettent en place un Blockchain infalsifiable, qui empêche les hackers de suivre ou de collecter les données d’authentification.

La gestion des identités et des accès trouve une utilité dès que des utilisateurs doivent s’authentifier et se voir attribuer des autorisations. L’administration des identités numériques et de leurs droits d’accès à un réseau, une application ou d’autres systèmes numériques est aujourd’hui presque omniprésente.

Lorsqu’un utilisateur souhaite utiliser un système ou une application, il doit en général fournir la preuve qu’il y est autorisé. Dans la plupart des cas, il doit s’identifier par son nom d’utilisateur, son adresse email et un mot de passe. Des combinaisons plus modernes requièrent l’utilisation d’un badge magnétique, de l’authentification biométrique ou d’un smartphone.

Aujourd’hui, pour des raisons purement pragmatiques, une entreprise ne peut pas se passer d’un système de gestion des identités et des accès. Les nombreux processus qui automatisent la gestion des identités libèrent la charge de travail de l’ensemble des services IT. L’assistance n’a plus besoin de s’occuper manuellement de procédures lourdes, comme la réinitialisation d’un mot de passe utilisateur.

Point fondamental, la gestion des identités et des accès oblige les entreprises, les autorités et autres organisations à définir leur politique de gestion des données dans son ensemble. Un avantage pour chaque réseau, qui accroît aussi la sécurité de toutes les données.