Gestion des identités et des accès
En sécurité des systèmes d'information, la Gestion des Identités et des Accès (GIA) (en anglais Identity and Access Management : IAM) est l’ensemble des processus mis en œuvre par une entité pour la gestion des habilitations de ses utilisateurs à son système d’information ou à ses applications[1]. Il s’agit donc de gérer qui a accès à quelle information à travers le temps[2]. Cela implique ainsi d’administrer la création, la modification, et les droits d’accès de chaque identité numérique interagissant avec les ressources de l’entité.
La gestion des identités et des accès s'intéresse par exemple au contrôle de la façon dont les utilisateurs acquièrent une identité, la protection de cette identité et les technologies permettant cette protection.
Division fonctionnelle
Les composantes de la GIA[3] peuvent être divisées en 5 catégories distinctes, qui fonctionnent conjointement :
- l'identification, initialisant l'identité de l'utilisateur ;
- l’authentification, de l’utilisateur au système ;
- l’autorisation, de l'utilisateur à l'accès de la ressource ;
- la gestion de l’utilisateur ;
- annuaire central d’utilisateurs.
Identification
Certaines applications informatiques ou certains services en ligne n'étant pas publics, mais réservés à des utilisateurs bien particuliers, il est nécessaire pour eux de passer par une procédure d'identification, au cours de laquelle ils fourniront un identifiant, représentation de leur identités.
Cette étape initie la relation entre l'utilisateur et les ressources informationnelles du système. Elle permet d'attribuer à l'utilisateur un ensemble de paramètres qui le caractérisent de façon unique, rassemblé sur une fiche identité, propre à chaque utilisateur comportant également les droits d'accès qui sont associés à la fois à l'utilisateur et au contexte de son utilisation des ressources de l'entité[4].
Par ailleurs une solution GIA peut permettre la simplification de l'accès à un système d'information en intégrant un système d'authentification unique, autorisant à l'utilisateur l'accès à un ensemble d'application avec une seule identification et authentification[5].
Authentification
Une fois qu’une identité a été associée à l’utilisateur, il est nécessaire de la vérifier afin de confirmer son individualité. L’authentification prend généralement la forme d’un couple identifiant/mot de passe et permet de créer une session entre l’utilisateur et le système afin de permettre à celui-ci d’interagir avec la ressource jusqu’à la fin de la session (déconnexion, expiration, ...).
L'authentification des utilisateurs prend de plus en plus d'importance en Gestion des identités et des accès afin de limiter les fraudes et s'assurer de l'identité d'une personne tentant d'accéder à un système. Ceci mène souvent les propriétaires de système ou d'application à requérir à l'authentification à plusieurs facteurs.
L'identification et l'authentification permettent d'empêcher les intrusions potentiellement source de corruption des données informatiques de l'entité. Ces pratiques peuvent être complétées par des techniques de pare-feu et de filtrage des communications au sein du réseau.
Autorisation
Après l’authentification et avant l’accès de l’utilisateur à la ressource visée, il est nécessaire de vérifier son droit à y accéder. La requête de l’utilisateur est alors mise en lien avec ses habilitations et détermine si la ressource lui est accessible ou non. La nature du droit d'accès est alors déterminée et associée à l'identité de l'utilisateur En général, les types d'accès sont la consultation, la modification, l'exécution d'un programme, ou son administration.
Il existe différentes méthodes permettant de simplifier la gestion des autorisations, notamment le RBAC, MAC, ou DAC.
Gestion de l'utilisateur
Cette fonction rassemble la gestion et la modification des utilisateurs, des groupes et des rôles. Le cycle de vie entier de l’utilisateur, de la création à la suppression de son identité au sein du système, est alors contrôlé.
Annuaire central d'utilisateurs
Ce composant de la GIA permet le stockage et la circulation à d’autres services des données de l’utilisateur. Il s’agit donc d’un annuaire permettant de gérer l’ensemble des utilisateurs, et de mettre en relation les habilitations de ceux-ci à différents systèmes qui ne sont normalement pas en lien les uns des autres.
Le standard LDAPv3 est le plus souvent utilisé en matière d’annuaire central d’utilisateur.
Enjeux
La mise en place dans une entité d’un système GIA demeure un investissement et dont l’utilité peut paraître financièrement incertaine. Ainsi, les principaux bénéfices d’une GIA[6] performant sont :
- financier : réduire les coûts de gestion ;
- sécuritaire : prévenir les intrusions et sécuriser les informations ;
- souplesse et agilité : Augmente la réactivité du système d’information.
Financier
La multiplication de systèmes au sein de l’entité peut réduire l’efficience des utilisateurs qui doivent alors gérer de nombreux couples identifiant-mot de passe. De plus, le stockage des différentes bases de données qui comportent des informations redondantes génère des coûts. Enfin, le centre d’assistance peut être davantage consulté sans mise en place d'une solution GIA.
En centralisant et homogénéisant les outils de gestions, les coûts du système informatique et du centre d’appel peuvent être réduits.
Sécurité
La mise en place d’une solution GIA permet d’améliorer la sécurité d’un système informatique à travers :
- la confidentialité, une information ne peut être lue que par les utilisateurs qui y sont autorisés ;
- la protection des données : seuls les utilisateurs habilités peuvent les modifier ;
- la traçabilité : « quel utilisateur a eu accès à quelle ressource à quel instant » afin de cibler les dysfonctionnements.
Souplesse
Les modifications constantes d’accès ou d’identités d’un utilisateur sont plus rapidement effectuées sur l’ensemble des applications du système grâce à une gestion centralisée. Ceci permet donc une mise en conformité simplifiée et accélérée des identités et accès des utilisateurs aux besoins de l’entité.
Perspectives
La GIA permettant une solide gestion des identités, avec des pratiques rigoureuses d'authentification et d'autorisation, elle garantit ainsi une certaine confiance dans les entreprises et a donc contribué au développement de l'économie numérique[7]. En effet, si les solutions de gestion d'identités existent depuis de nombreuses années, les technologies s'y référant ne cesse d'évoluer et de se confronter à de nouvelles difficultés. Avec l'avènement du cloud, des nouvelles législations et normes industrielles, la GIA ne cesse de se transformer.
Que ce soit avec le cloud, sur un terminal mobile ou dans un centre de données, tous les utilisateurs d'une entreprise doivent pouvoir consulter certaines ressources pour travailler. De plus, l'accès des utilisateurs à cet environnement doit s'effectuer de manière à sécuriser leur vie privée, les données de l'entreprise mais aussi à se conformer aux obligations réglementaires.
De nouvelles générations de solutions
À l'origine, les GIA ne se basaient que sur de multiples outils et des procédés manuels. Cette première génération est dépassée, car elle ne permet pas aux entreprises de connaître précisément la cartographie complète de l'ensemble des accès des utilisateurs dans l'entreprise.
C'est d'autant plus vrai que les modèles d'organisation caractérisés par un contrôle centralisé des accès par un unique département informatique ne sont plus d'actualité. Les utilisateurs apportent désormais leur propre terminal mobile dans l'entreprise pour pouvoir accéder à leur environnement de travail (réseau d'entreprises) et les départements métiers décident généralement d'eux-mêmes de lancer des applications Cloud sans consultation du département informatique.
La nouvelle génération de GIA a donc l'obligation de faire un lien de façon transparente entre les utilisateurs et les applications du réseau de l'entreprise ; entre les utilisateurs et les applications extérieures du réseau afin de fournir une visibilité et un contrôle total.
De nouvelles méthodes d'identification
De nos jours, les GIA cherchent de plus en plus dans les processus d'authentification à faire converger identité physique avec identité numérique. Une identité numérique étant une combinaison d'éléments permettant une authentification de l'utilisateur avant une autorisation d'accès.
En parallèle, les méthodes d'authentification n'ont cessé de s'améliorer en matière de sécurité tout en garantissant un accès simple pour l'utilisateur. On distingue ainsi trois catégories de méthodes, basés sur trois facteurs d'authentification :
- facteurs de connaissance (ce que l'utilisateur connaît) : identifiants, mots de passe, questions de sécurité ;
- facteurs de possession (ce que l'utilisateur possède) : badges, jetons à usage unique (SMS de validation) ;
- facteurs physiques (ce que l'utilisateur est) : signatures, empreintes digitales, empreintes rétiniennes, voix…
Afin de maximiser la sécurité, et d'empêcher toutes tentatives d'usurpation d'identité de plus en plus sophistiquées, les méthodes d'authentifications doivent s'appuyer sur au moins deux de ces trois facteurs.
Quatre caractéristiques majeures de la nouvelle génération de GIA
Outre ces nouvelles méthodes d’authentification, les nouvelles générations de GIA devront intégrer quatre caractéristiques majeures :
- la capacité de centraliser l’environnement informatique avec l’environnement Cloud. Les entreprises devant désormais gérer l’accès à des ressources multi-domaines ;
- la capacité de gérer des solutions de gestion mobiles (MDM : Mobile Device Management). Les employés utilisant de plus en plus des applications mobiles pour avoir accès au Cloud et autres applications web. En intégrant le MDM à la GIA, les entreprises pourront assurer un contrôle total sur les ressources ;
- la capacité à avoir une vision unique et centralisée des données afin d’obtenir un référentiel unique sur les droits et les accès, en interne et dans le Cloud ;
- la capacité à coordonner le département informatique avec les départements métiers. La GIA doit effectivement être considéré autant comme une solution métier qu’une solution technique. L’informatique et les métiers doivent travailler ensemble afin de définir la politique de sécurité et les contrôles.
Principaux acteurs du marché des outils et logiciels GIA
De nombreuses entreprises de cyber-sécurité offrent des mise en place de gestion des identités et des accès pour leurs clients. En 2021, les cinq principaux fournisseurs de solutions GIA aux entreprises sur le marché sont[8] :
Notes et références
- « Qu’est-ce que la Gestion des Identités et des Accès ? », sur Tools4ever.nl (consulté le )
- (en-US) « Identity Management - Access Management - Gartner Research », Gartner IT Glossary, (lire en ligne, consulté le )
- « Identity and Access Management (IAM) », sur www.polyu.edu.hk (consulté le )
- Alain Cazes et Joëlle Delacroix, Architecture des machines et des systèmes informatiques : cours et exercices corrigés, Paris, Dunod, , 527 p. (ISBN 978-2-10-072705-6)
- Laurent Bloch et Christophe Wolfhugel, Sécurité informatique, Principes et méthodes à l'usage des DSI, RSSI et administrateurs. 3e édition, Eyrolles, , 325 p., p. 40 à 45
- (en) « Identity and Access Management », sur theiia.org, (consulté en )
- « La gestion des identités et des accès : un enjeu capital pour l'économie numérique », sur trustech-event.fr, (consulté en )
- (en) « Top 5 identity and access management tools », sur Column Information Security, (consulté le )
- (en-US) « Page d'accueil SailPoint », sur SailPoint.com (consulté le )
- (en) « MonoSign - Identity and Access Management. Made simple. », sur MonoSign.com (consulté le )
- Portail de la sécurité informatique