Sécurité

Une gestion des identités de plus en plus décentralisée

Share this post:

Les outils d’IAM s’intègrent aujourd’hui mieux avec les autres solutions de sécurité et concernent aussi bien les clients de l’entreprise que les objets connectés. La gestion des identités doit d’ores et déjà passer dans le Cloud, avant une décentralisation plus radicale.

L’IAM visait à centraliser les identités pour en assurer une meilleure gestion. Du moins à l’origine. Elle a connu depuis de nombreuses évolutions, au gré des besoins utilisateurs, du renforcement nécessaire de la sécurité face à la multiplication des points d’entrée du système d’information (SI) et des législations successives.

Auparavant initiés par les responsables de la sécurité du SI,les projets d’IAM sont aujourd’hui de plus en plus sponsorisés par des acteurs métiers, qui ne sont pas issus du milieu technique, mais qui ont une vue d’ensemble du business. Ils veulent des solutions ergonomiques, intuitives et surtout des rapports compréhensibles, afin de répondre facilement aux questions posées lors d’un audit. Sont alors apparues des solutions de gouvernance d’identités, l’idée étant de gérer et de suivre les risques en fonction des impacts métiers et plus seulement en fonction d’informations techniques. Par exemple, un manager doit avoir une vue synthétique globale des habilitations de ses collaborateurs afin de pouvoir recertifier leurs droits et un utilisateur ne doit pas être à la fois juge et partie (Segregation of Duties, ou droits conflictuels).

Face aux attaques les plus sophistiquées comme les APT (Advanced Persistent Threat), à eux seuls, les firewalls, les systèmes de détection d’intrusions (IDS), de prévention d’intrusions (IPS) ou SIEM (Security and Event Management) ne suffisent plus. Ils doivent mieux s’intégrer au système d’information et s’enrichir des données issues des solutions d’IAM notamment. Celles-ci disposent de données concernant un utilisateur comme son identifiant et son email, des événements s’y rattachant (tentatives d’authentification, géolocalisation, etc.), ce qui permettra d’établir un indice de risque au niveau d’un SIEM pour cet utilisateur, grâce à des algorithmes de machine learning. L’IAM peut s’interfacer également avec des solutions de protection de données à des fins réglementaires pour respecter le RGPD (Règlement Général sur la Protection des Données) ou avec des solutions de gestion de périphériques mobiles, pour autoriser un utilisateur à se connecter depuis un appareil à risque (un iPhone jailbreaké, par exemple, normalement interdit de connexion), en lui proposant une authentification plus forte de type MFA (Multi-Factor Authentication).

 

Gérer l’identité du client

Si l’IAM a concerné en premier les collaborateurs de l’entreprise et ses partenaires, elle concerne maintenant les clients de l’entreprise, d’autant que la numérisation de l’économie aidant, ceux-ci occupent une place de plus en plus centrale dans le business de l’entreprise, l’expérience client jouant un rôle essentiel.

L’objectif du CIAM (Customer IAM) est donc de tirer parti des informations qu’accepte de donner un client (en se connectant avec son login Facebook ou Twitter, par exemple), de façon progressive tout en étant le moins intrusif possible. Et évidement en recueillant son consentement explicite : le consommateur maîtrise les informations qu’il accepte de partager et avec qui.

Le CIAM peut alors s’interfacer avec des outils de business intelligence et à des CRM (Customer Relationship Management) à des fins marketing et analytiques. Le CIAM peut également servir à détecter une utilisation frauduleuse du compte client, et imposer une authentification plus forte qu’un simple mot de passe qui peut se matérialiser parun facteur d’authentification biométrique ou s’appuyer sur son comportement (sa façon de taper sur le clavier, ses habitudes, ses préférences de navigation, etc.). Des standards apparaissent pour encadrer la mise en œuvre du CIAM, prouvant le succès grandissant de ce type de solution.

 

Les objets ont droit à des identités

La population adressée par le CIAM se chiffre en centaines de millions de personnes voire milliards. Tout comme une autre population désormais concernée par l’IAM, celle des objets connectés. Comme les êtres humains, les objets connectés interagissent de plus en plus avec le système d’information de l’entreprise, notamment dans l’industrie, et cumulentde fait de plus en plus de droits. C’est donc le rôle de l’IDoT (Identity of Things) de les gérer comme n’importe quelle autre identité, avec contrôle des droits etauthentification associée, et surtout un bon niveau de traçabilité afin de repérer si un pirate ne tente pas de détourner la fonction de l’objet ou d’en prendre le contrôle.

Le nombre d’objets connectés est amené à croître exponentiellement, rendant impossible la gestion de leur identité on-premises, tant l’infrastructure requise est énorme et le coût de déploiement onéreux. Le Cloud, de manière générale, constitue une réponse à cette problématique, et en particulier l’IDaaS (IDentity as a Service). Outre leur efficacité dans un écosystème Cloud, leur simplicité et leur ergonomie,les solutions de gestion des identités dans le Cloud permettent au client de ne plus se soucier de l’infrastructure et de se concentrer sur son business. Une simplicité dont le revers de la médaillepeut être le manque d’intégration avec les applications legacy rendant une approche hybride on-premises/Cloud plus judicieuse. La masse d’informations générée par ces milliards d’identités implique l’utilisation de nouvelles technologies dans le futur telles que le machine learning et l’IA (Intelligence Artificielle), pour une meilleure analyse et pour aider les acteurs de l’IAM à prendre des décisions en s’appuyant sur des scores de recommandation, voire pour automatisercertaines actions répétitives en utilisant desrobots et solliciter l’humain sur les tâches à forte valeur ajoutée. On parle alors de RPA (Robotic Process Automation).

 

La blockchain, une technologie envisageable pour le futur de l’IAM

Aujourd’hui, les utilisateurs peuvent s’identifier avec leur login Facebook ou Twitter sur de nombreux services. Ni les individus ni les organisations n’ont le contrôle sur leur propre identité. Cette dernière est propagée partout, dans les réseaux sociaux, les sites de e-commerce, etc. Autant de données personnelles exploitables par des pirates. Une solution commune que pourraient mettre en œuvre les organismes de standardisation et les géants de l’IT afin d’encadrer l’utilisationde l’identité et sa sécurité pourrait se baser sur la blockchain, une base de données distribuée, infalsifiable et une chaînede confiance permettant de propager le moins possible les données personnelles des utilisateurs. Par exemple, un étudiant pourrait s’enrôler auprès de son organisme d’enseignement supérieur en utilisant sa carte d’étudiant voire même son permis de conduire. Il se verra ainsi attribuer une clé cryptographique lui permettant de prouver son identité auprès des autres maillonsde la chaîne grâce au consensus. Il pourra alors accéder aux différents services des organismes de la blockchain, comme sa banque ou son assurance sans devoir communiquer de nouveau ses données personnelles ou un mot de passe.

Et si finalement le futur de l’IAM était de décentraliser les identités pour assurerune meilleure sécurité, confidentialité et gouvernance –contrairement au besoin initial ?

 

Article publié dans Solutions Numériques

Architecte IAM

More Sécurité stories
22 janvier 2021

Le « Zero Trust » : remettre en question la confiance pour mieux faire confiance

En télétravail, les salariés ont dû gérer eux-mêmes leurs problèmes de sécurité. VPN, pédagogie sur les techniques de vol des identifiants numériques (hameçonnage ou « phishing ») ont montré leurs limites. La solution : le zero-trust.   Lors de l’arrivée de la Covid-19, les entreprises n’ont pas eu d’autres solutions que « d’ouvrir les vannes » de leur système […]

Continue reading

22 janvier 2021

Télétravail : prendre ses distances, mais pas avec la sécurité

Consacré par la crise du Covid-19, le télétravail marque définitivement l’éclatement du périmètre informatique de l’entreprise. Déjà élargi, voire redéfini, à plusieurs reprises par le passé avec l’essor des extranets, du Cloud ou des pratiques comme le Shadow IT, ce périmètre vole définitivement en éclats. Avec de lourdes conséquences sur le volet sécurité.   Ah, […]

Continue reading

21 janvier 2021

Rapprocher les métiers et l’IT, un enjeu cyber pour protéger les services essentiels

Les Opérateurs de Services Essentiels doivent fournir une cartographie du système d’information (SI) soutenant leurs activités désignées comme telles. Une approche top-down, allant des métiers vers l’IT, permet d’y parvenir. Cette bonne pratique pourra s’appliquer à d’autres types d’organisation.   Selon l’ANSSI*, « la directive NIS (Network and Information System Security) vise à l’émergence d’une Europe […]

Continue reading