Qu’est-ce que la gestion des accès ?

La gestion des accès et la gestion des identités constituent les deux piliers d’un domaine plus large de la cybersécurité : la gestion des identités et des accès (IAM). L’IAM porte sur le provisionnement et la protection des identités numériques et des droits d’accès des utilisateurs dans un système informatique.

La gestion des identités consiste à créer et à gérer l’identité de chaque utilisateur du système dont les utilisateurs humains (employés, clients ou fournisseurs) et non humains (agents IA, appareils connectés (IdO), terminaux ou et workloads automatisées).

La gestion des accès consiste à faciliter et à sécuriser l’accès de ces utilisateurs aux données, aux ressources sur site, ainsi qu’aux applications et actifs cloud de l’entreprise. Les principales fonctions de la gestion des accès sont la gestion des politiques d’accès utilisateur, l’authentification des identités et l’autorisation des utilisateurs à effectuer certaines actions au sein du système.

Avec l’essor du cloud computing, des solutions SaaS (logiciel à la demande), du télétravail et de l’IA générative, la gestion des accès est devenue une composante centrale de la sécurité des réseaux. Les entreprises doivent autoriser davantage d’utilisateurs à accéder à davantage de ressources différentes à partir d’un plus grand nombre d’emplacements, tout en prévenant les violations de données et en empêchant tout accès non autorisé. 

Selon le National Institute of Standards and Technology (NIST), les principales fonctions de gestion des accès sont les suivantes :

• Gestion des politiques
• L'authentification
• Autorisation

Les politiques d’accès granulaires régissent les autorisations utilisateur dans la plupart des systèmes de gestion des accès. Les entreprises peuvent adopter différentes approches pour définir leur politique d’accès.

Un cadre courant est le contrôle d’accès basé sur les rôles (RBAC), selon lequel les droits d’accès des utilisateurs dépendent de leur poste. Le RBAC permet de rationaliser l’octroi des autorisations et évite aux entreprises d’accorder aux utilisateurs des droits d’accès excessifs.

Supposons, par exemple, que les administrateurs système définissent des autorisations pour un pare-feu réseau.

• Un représentant commercial n’aura très probablement pas de droits d’accès, car le rôle de cet utilisateur ne l’exige pas.
  
  
• Un analyste de sécurité débutant pourra probablement visualiser les configurations du pare-feu, sans pouvoir les modifier.
  
  
• Le responsable de la sécurité des systèmes d’information (RSSI) bénéficierait d’un accès administratif complet.
  
  
• L’interface de programmation d’application (API) d’un système intégré de gestion des informations et des événements de sécurité (SIEM) pourra lire les journaux d’activité du pare-feu.

Les entreprises peuvent utiliser d’autres cadres de contrôle d’accès, comme alternatives ou en complément du RBAC. En voici quelques exemples :

• Le contrôle d’accès obligatoire (MAC) applique des politiques définies de manière centralisée pour tous les utilisateurs, en fonction des niveaux d’autorisation ou des scores de confiance.
  
  
• Le contrôle d’accès discrétionnaire (DAC) permet aux propriétaires de définir leurs propres règles de contrôle d’accès aux ressources. 
  
  
• Le contrôle d’accès basé sur les attributs (ABAC) analyse les attributs des utilisateurs, des objets et des actions pour déterminer si l’accès doit leur être accordé. Parmi ces attributs, citons le nom de l’utilisateur, le type de ressource et le moment de la journée.

La plupart des cadres de contrôle d’accès mis en place par les entreprises suivent le principe du moindre privilège. Souvent associé à des stratégies de sécurité Zero Trust, le principe du moindre privilège stipule que les utilisateurs ne doivent disposer que des autorisations strictement nécessaires pour accomplir une tâche donnée. Leurs droits d’accès doivent être révoqués dès que la tâche est accomplie, afin de prévenir les risques.

L’authentification est le processus qui consiste à vérifier que les utilisateurs sont bien qui ils prétendent être.

Lorsqu’un utilisateur se connecte à un système ou demande l’accès à une ressource, il fournit des identifiants, appelés « facteurs d’authentification », pour prouver son identité. Par exemple, un utilisateur humain fournira son mot de passe ou le scan de son empreinte digitale biométrique, tandis qu’un utilisateur non humain partagera un certificat numérique.

Les outils de gestion des accès comparent les éléments soumis aux identifiants dont ils disposent pour l’utilisateur. S’ils correspondent, l’utilisateur se voit accorder l’accès.

Si le mot de passe est la méthode d’authentification la plus élémentaire, c’est aussi l’une des plus faibles. La plupart des outils de gestion des accès utilisent aujourd'hui des méthodes d'authentification plus avancées. Ces méthodes comprennent :

• L’authentification à deux étapes (2FA) et l’authentification à étapes (MFA) : les utilisateurs doivent fournir au moins deux éléments pour prouver leur identité.
  
  
• L’authentification sans mot de passe, qui exige des identifiants autres qu’un mot de passe, comme un facteur biométrique ou une clé d’accès FIDO.
  
  
• L’authentification unique (SSO), qui permet aux utilisateurs d’accéder à plusieurs applications et services à l’aide des mêmes identifiants. Souvent, les systèmes SSO s’appuient sur des protocoles ouverts tels que Security Assertion Markup Language (SAML) et OpenID Connect (OIDC) pour partager les données d’authentification entre les différents services.
• L’authentification adaptative, qui s’appuie sur l’intelligence artificielle (IA) et le machine learning (ML) pour analyser le niveau de risque associé à l’utilisateur selon divers facteurs : comportement, posture de sécurité des appareils et chronologie. Les exigences d’authentification changent en temps réel, à mesure que le niveau de risque évolue ; les connexions à haut risque requièrent une authentification plus poussée.

L’autorisation est le processus qui consiste à accorder aux utilisateurs vérifiés les niveaux d’accès appropriés à une ressource.

L’authentification et l’autorisation sont étroitement liées, l’authentification étant généralement une condition préalable à l’autorisation. Une fois l’identité de l’utilisateur prouvée, le système de gestion des accès vérifie ses droits en se référant aux politiques d’accès prédéfinies, enregistrées dans une base de données centrale ou dans un moteur de politiques. Le système autorise ensuite l’utilisateur à jouir de ces droits pendant sa session.

En limitant les droits des utilisateurs conformément aux politiques d’accès, les outils de gestion des accès permettent de se protéger tant des menaces internes, qui abusent de leurs privilèges, que des utilisateurs bien intentionnés qui abusent accidentellement de leurs droits.

Si l’identité de l’utilisateur n’est pas validée, le système de gestion des accès lui refuse l’accès, ce qui l’empêche de se servir des privilèges associés à son compte. Cela permet d’empêcher les attaquants extérieurs de pirater et d’abuser des droits d’accès des utilisateurs légitimes.

Les solutions de gestion d'accès peuvent être classées en deux catégories : les outils qui contrôlent l’accès des utilisateurs internes, comme les collaborateurs, et les outils qui contrôlent l’accès des utilisateurs externes tels que les clients. 

Les utilisateurs internes de l’entreprise (personnel, responsables, administrateurs) ont généralement besoin d’accéder à plusieurs systèmes tels que les applications métier et de messagerie, les bases de données de l’entreprise et ses systèmes RH.

La quasi-totalité des ressources internes d’une entreprise sont considérées comme sensibles, et doivent être protégées contre les pirates informatiques. Mais tous les utilisateurs internes n’ont pas besoin d’accéder à l’ensemble de ces ressources. Les entreprises ont besoin d’outils de gestion des accès avancés, qui permettent un contrôle granulaire des droits d’accès utilisateur.

Voici les outils de gestion des accès internes les plus courants :

Les plateformes IAM sont des solutions complètes qui intègrent les fonctions de gestion des identités et des accès essentielles au sein d’un seul et même système. Les fonctionnalités les plus courantes des plateformes IAM sont les annuaires d’utilisateurs, les outils d’authentification, la gestion des politiques d’accès et les capacités de détection et de réponse aux menaces liées à l’identité (ITDR).

La gestion des accès privilégiés (PAM) est un sous-domaine de la gestion des accès qui régit et sécurise les comptes d’utilisateurs à privilèges élevés (tels que les comptes administrateurs) et les activités à privilèges (comme la manipulation de données sensibles).

Dans de nombreux systèmes informatiques, les comptes à privilèges élevés bénéficient de protections spéciales, car il s’agit de cibles importantes, que les acteurs malveillants peuvent exploiter pour causer des dommages significatifs.

Pour isoler ces identités privilégiées, les outils PAM associent coffres-forts pour les identifiants et protocoles d’accès à la demande. Ces derniers accordent aux utilisateurs autorisés un accès privilégié à une certaine ressource pendant une durée limitée, au lieu de leur accorder un accès privilégié permanent.

Les outils de gouvernance et d’administration des identités (IGA) permettent aux entreprises de s’assurer que leurs politiques et contrôles d’accès répondent aux exigences de sécurité et aux réglementations en vigueur.

Les solutions IGA permettent de définir et de mettre en œuvre des politiques d’accès appropriées tout au long du cycle de vie de chaque utilisateur. Certains outils IGA permettent également d’automatiser les principaux workflows de conformité tels que l’onboarding et le provisionnement des utilisateurs, la vérification des accès, les nouvelles demandes d’accès et le déprovisionnement des utilisateurs lors de l’offboarding. Ces fonctions permettent aux entreprises de mieux contrôler les autorisations et l’activité des utilisateurs, afin de facilement détecter et arrêter toute utilisation inappropriée ou abusive des droits d’accès.

Les solutions ZTNA sont des outils d’accès à distance qui suivent le principe Zero Trust « ne jamais faire confiance, toujours vérifier ».

Les outils d’accès à distance traditionnels, tels que les réseaux privés virtuels (VPN), connectent les utilisateurs à distance à l’ensemble du réseau de l’entreprise. Le ZTNA, quant à lui, connecte les utilisateurs uniquement aux applications et aux ressources auxquelles ils sont autorisés à accéder.

De plus, dans le modèle ZTNA, les utilisateurs ne sont jamais implicitement fiables. Chaque demande d’accès à chaque ressource doit être vérifiée et validée, quels que soient l’identité et l’emplacement de l’utilisateur. 

Souvent, les entreprises doivent faciliter et sécuriser l’accès des utilisateurs externes à leurs ressources. Les clients des plateformes de commerce électronique doivent pouvoir accéder à leur compte. Les fournisseurs ont besoin d’accéder aux systèmes de facturation. Les partenaires commerciaux ont besoin d’accéder aux données partagées. Les outils de gestion des accès externes sont spécialement conçus pour ces utilisateurs.

Certaines entreprises utilisent les mêmes outils pour la gestion des accès internes et externes, mais cette stratégie n’est pas toujours viable. Les besoins des utilisateurs internes et externes peuvent varier. Par exemple, les utilisateurs externes privilégient souvent la commodité au détriment de la sécurité, tandis que les utilisateurs internes disposent de privilèges plus élevés, qui exigent des protections renforcées.

Les outils de gestion des identités et des accès clients (CIAM) gèrent les identités numériques et sécurisent l’accès des clients de l’entreprise et de ses autres utilisateurs externes.

Comme d’autres outils de gestion des accès, les systèmes CIAM permettent d’identifier les utilisateurs pour faciliter et sécuriser l’accès ux services numériques. La principale différence réside dans le fait que les outils CIAM mettent l’accent sur l’expérience utilisateur grâce à un profilage progressif (qui permet aux utilisateurs de compléter leur profil au fil du temps), aux connexions par le biais des réseaux sociaux et à d’autres fonctionnalités conviviales. 

Les outils de gestion des accès aident les entreprises à faciliter et à sécuriser l’accès des utilisateurs autorisés aux ressources sensibles, où qu’ils se trouvent.

Par conséquent, le réseau est plus sûr et plus efficace. Les utilisateurs bénéficient de l’accès ininterrompu dont ils ont besoin pour faire leur travail, tandis que les acteurs de la menace et les utilisateurs non autorisés sont tenus à l’écart.