Sécurité

Une gestion des identités de plus en plus décentralisée

Share this post:

Les outils d’IAM s’intègrent aujourd’hui mieux avec les autres solutions de sécurité et concernent aussi bien les clients de l’entreprise que les objets connectés. La gestion des identités doit d’ores et déjà passer dans le Cloud, avant une décentralisation plus radicale.

L’IAM visait à centraliser les identités pour en assurer une meilleure gestion. Du moins à l’origine. Elle a connu depuis de nombreuses évolutions, au gré des besoins utilisateurs, du renforcement nécessaire de la sécurité face à la multiplication des points d’entrée du système d’information (SI) et des législations successives.

Auparavant initiés par les responsables de la sécurité du SI,les projets d’IAM sont aujourd’hui de plus en plus sponsorisés par des acteurs métiers, qui ne sont pas issus du milieu technique, mais qui ont une vue d’ensemble du business. Ils veulent des solutions ergonomiques, intuitives et surtout des rapports compréhensibles, afin de répondre facilement aux questions posées lors d’un audit. Sont alors apparues des solutions de gouvernance d’identités, l’idée étant de gérer et de suivre les risques en fonction des impacts métiers et plus seulement en fonction d’informations techniques. Par exemple, un manager doit avoir une vue synthétique globale des habilitations de ses collaborateurs afin de pouvoir recertifier leurs droits et un utilisateur ne doit pas être à la fois juge et partie (Segregation of Duties, ou droits conflictuels).

Face aux attaques les plus sophistiquées comme les APT (Advanced Persistent Threat), à eux seuls, les firewalls, les systèmes de détection d’intrusions (IDS), de prévention d’intrusions (IPS) ou SIEM (Security and Event Management) ne suffisent plus. Ils doivent mieux s’intégrer au système d’information et s’enrichir des données issues des solutions d’IAM notamment. Celles-ci disposent de données concernant un utilisateur comme son identifiant et son email, des événements s’y rattachant (tentatives d’authentification, géolocalisation, etc.), ce qui permettra d’établir un indice de risque au niveau d’un SIEM pour cet utilisateur, grâce à des algorithmes de machine learning. L’IAM peut s’interfacer également avec des solutions de protection de données à des fins réglementaires pour respecter le RGPD (Règlement Général sur la Protection des Données) ou avec des solutions de gestion de périphériques mobiles, pour autoriser un utilisateur à se connecter depuis un appareil à risque (un iPhone jailbreaké, par exemple, normalement interdit de connexion), en lui proposant une authentification plus forte de type MFA (Multi-Factor Authentication).

 

Gérer l’identité du client

Si l’IAM a concerné en premier les collaborateurs de l’entreprise et ses partenaires, elle concerne maintenant les clients de l’entreprise, d’autant que la numérisation de l’économie aidant, ceux-ci occupent une place de plus en plus centrale dans le business de l’entreprise, l’expérience client jouant un rôle essentiel.

L’objectif du CIAM (Customer IAM) est donc de tirer parti des informations qu’accepte de donner un client (en se connectant avec son login Facebook ou Twitter, par exemple), de façon progressive tout en étant le moins intrusif possible. Et évidement en recueillant son consentement explicite : le consommateur maîtrise les informations qu’il accepte de partager et avec qui.

Le CIAM peut alors s’interfacer avec des outils de business intelligence et à des CRM (Customer Relationship Management) à des fins marketing et analytiques. Le CIAM peut également servir à détecter une utilisation frauduleuse du compte client, et imposer une authentification plus forte qu’un simple mot de passe qui peut se matérialiser parun facteur d’authentification biométrique ou s’appuyer sur son comportement (sa façon de taper sur le clavier, ses habitudes, ses préférences de navigation, etc.). Des standards apparaissent pour encadrer la mise en œuvre du CIAM, prouvant le succès grandissant de ce type de solution.

 

Les objets ont droit à des identités

La population adressée par le CIAM se chiffre en centaines de millions de personnes voire milliards. Tout comme une autre population désormais concernée par l’IAM, celle des objets connectés. Comme les êtres humains, les objets connectés interagissent de plus en plus avec le système d’information de l’entreprise, notamment dans l’industrie, et cumulentde fait de plus en plus de droits. C’est donc le rôle de l’IDoT (Identity of Things) de les gérer comme n’importe quelle autre identité, avec contrôle des droits etauthentification associée, et surtout un bon niveau de traçabilité afin de repérer si un pirate ne tente pas de détourner la fonction de l’objet ou d’en prendre le contrôle.

Le nombre d’objets connectés est amené à croître exponentiellement, rendant impossible la gestion de leur identité on-premises, tant l’infrastructure requise est énorme et le coût de déploiement onéreux. Le Cloud, de manière générale, constitue une réponse à cette problématique, et en particulier l’IDaaS (IDentity as a Service). Outre leur efficacité dans un écosystème Cloud, leur simplicité et leur ergonomie,les solutions de gestion des identités dans le Cloud permettent au client de ne plus se soucier de l’infrastructure et de se concentrer sur son business. Une simplicité dont le revers de la médaillepeut être le manque d’intégration avec les applications legacy rendant une approche hybride on-premises/Cloud plus judicieuse. La masse d’informations générée par ces milliards d’identités implique l’utilisation de nouvelles technologies dans le futur telles que le machine learning et l’IA (Intelligence Artificielle), pour une meilleure analyse et pour aider les acteurs de l’IAM à prendre des décisions en s’appuyant sur des scores de recommandation, voire pour automatisercertaines actions répétitives en utilisant desrobots et solliciter l’humain sur les tâches à forte valeur ajoutée. On parle alors de RPA (Robotic Process Automation).

 

La blockchain, une technologie envisageable pour le futur de l’IAM

Aujourd’hui, les utilisateurs peuvent s’identifier avec leur login Facebook ou Twitter sur de nombreux services. Ni les individus ni les organisations n’ont le contrôle sur leur propre identité. Cette dernière est propagée partout, dans les réseaux sociaux, les sites de e-commerce, etc. Autant de données personnelles exploitables par des pirates. Une solution commune que pourraient mettre en œuvre les organismes de standardisation et les géants de l’IT afin d’encadrer l’utilisationde l’identité et sa sécurité pourrait se baser sur la blockchain, une base de données distribuée, infalsifiable et une chaînede confiance permettant de propager le moins possible les données personnelles des utilisateurs. Par exemple, un étudiant pourrait s’enrôler auprès de son organisme d’enseignement supérieur en utilisant sa carte d’étudiant voire même son permis de conduire. Il se verra ainsi attribuer une clé cryptographique lui permettant de prouver son identité auprès des autres maillonsde la chaîne grâce au consensus. Il pourra alors accéder aux différents services des organismes de la blockchain, comme sa banque ou son assurance sans devoir communiquer de nouveau ses données personnelles ou un mot de passe.

Et si finalement le futur de l’IAM était de décentraliser les identités pour assurerune meilleure sécurité, confidentialité et gouvernance –contrairement au besoin initial ?

 

Article publié dans Solutions Numériques

Architecte IAM

More Sécurité stories
20 juillet 2020

Cybersécurité : # Protège ton IT

  La crise sanitaire actuelle fait écho au risque majeur que font peser les cyberattaques sur nos entreprises et nos économies. Un danger croissant, mais souvent sous-évalué par les professionnels. Le premier virus informatique a été créé le 3 novembre 1983 par Fred Cohen, un étudiant de l’University of Southern California (USC). Non pas pour […]

Continue reading

30 juin 2020

Think Digital Event Experience 2020, ce qu’il ne fallait pas manquer sur IBM Security

La sécurité s’invite en force sur l’IBM Think Digital Event Experience. L’un des thèmes récurrents était le télétravail, qui a connu un bond pendant la crise du Covid-19. Le renforcement de l’identification des personnes et équipements, et la prise en compte des infrastructures multicloud hybrides ont également fait l’objet de plusieurs débats.   Crise du […]

Continue reading

22 juin 2020

Les organisations à l’affût des attaques par rebond

  En ne visant pas directement les systèmes d’information (SI) des entreprises, les attaquants contournent leurs protections et ne laissent que peu de traces dans les systèmes des sociétés visées. Cette méthode est connue sous le nom d’attaques par rebond. La France et l’Europe sont en pointe sur le sujet. Le Cybersecurity Act, en définissant […]

Continue reading