L’authentification et l’autorisation sont des processus liés mais distincts dans le système de gestion des identités et des accès (IAM) d’une organisation. L’authentification vérifie l’identité d’un utilisateur, tandis que l’autorisation lui accorde le bon niveau d’accès aux ressources du système.
Le processus d’authentification repose sur des identifiants, tels que des mots de passe ou la lecture d’empreintes digitales, que les utilisateurs présentent pour prouver leur identité.
Le processus d’autorisation repose sur les permissions de l’utilisateur qui définissent ce que chaque utilisateur peut faire au sein d’une ressource ou d’un réseau particulier. Ainsi, les autorisations d’un système de fichiers peuvent dicter si un utilisateur peut créer, lire, mettre à jour ou supprimer des fichiers.
Les processus d’authentification et d’autorisation s’appliquent aux utilisateurs humains et non humains, tels que les appareils, les workloads automatisés et les applications web. Un système IAM unique peut gérer à la fois l’authentification et l’autorisation, ou les processus peuvent être gérés par des systèmes indépendants travaillant de concert.
L’authentification est généralement une condition préalable à l’autorisation. Un système doit connaître l’identité d’un utilisateur avant de lui accorder un quelconque accès.
Les attaques basées sur l’identité, au cours desquelles les pirates détournent des comptes d’utilisateurs valides et abusent de leurs droits d’accès, sont en hausse. Selon l’IBM X-Force Threat Intelligence Index, ces attaques sont le moyen le plus courant par lequel les acteurs malveillants infiltrent les réseaux, représentant 30 % de toutes les cyberattaques.
L’authentification et l’autorisation agissent de concert pour mettre en œuvre des contrôles d’accès sécurisés et déjouer les violations de données. Des processus d’authentification rigoureux entravent la prise de contrôle des comptes d’utilisateurs par les pirates. Des autorisations efficaces limitent les dommages qu’ils peuvent causer avec ces comptes.
Parfois simplement appelée « authn », l’authentification repose sur l’échange d’identifiants d’utilisateur, également appelés facteurs d’authentification. Ces derniers sont des preuves qui attestent de l’identité d’un utilisateur.
Lorsqu’un utilisateur s’inscrit pour la première fois à un système, il crée un ensemble de facteurs d’authentification. Lorsqu’il se connecte, il fournit ces facteurs d’authentification. Le système les compare aux facteurs qu’il a en mémoire. S’ils correspondent, le système estime que l’utilisateur est bien celui qu’il prétend être.
Voici quelques types courants de facteurs d’authentification :
Chaque application et ressource peut avoir son propre système d’authentification. De nombreuses organisations utilisent un système intégré, tel qu’une solution à connexion unique (SSO), où les utilisateurs peuvent s’authentifier une seule fois pour accéder à plusieurs ressources au sein d’un domaine sécurisé.
Les normes d’authentification les plus courantes sont SAML (Security Assertion Markup Language) et OIDC (OpenID Connect). SAML utilise des messages XML pour partager les informations d’authentification entre les systèmes, tandis que OIDC utilise des jetons Web JSON (JWT) appelés « jetons d’identification ».
Parfois abrégée en « authz », l’autorisation est basée sur les permissions (ou autorisations) de l’utilisateur. Ces dernières sont des politiques qui précisent ce à quoi un utilisateur peut accéder et ce qu’il peut faire avec cet accès dans un système.
Les administrateurs et les responsables de la sécurité définissent généralement les autorisations des utilisateurs, qui sont ensuite appliquées par les systèmes d’autorisation. Lorsqu’un utilisateur tente d’accéder à une ressource ou d’effectuer une action, le système vérifie ses autorisations avant qu’il ne puisse poursuivre.
Prenons l’exemple d’une base de données sensible contenant des dossiers clients. L’autorisation détermine si un utilisateur peut consulter cette base de données. Si c’est le cas, elle définit également ce qu’il peut faire dans cette base de données. Peut-il simplement lire les entrées, ou peut-il également créer, supprimer et mettre à jour des entrées ?
OAuth 2.0, qui utilise des jetons d’accès pour déléguer des autorisations aux utilisateurs, est un exemple de protocole d’autorisation répandu. Il permet aux applications de partager des données entre elles. Ainsi, OAuth permet à un site de réseau social de parcourir les contacts électroniques d’un utilisateur à la recherche de personnes qu’il pourrait connaître, avec l’accord de l’utilisateur.
L’authentification et l’autorisation des utilisateurs jouent des rôles complémentaires dans la protection des informations sensibles et des ressources du réseau contre les menaces internes et les attaquants externes. En bref, l’authentification aide les organisations à défendre les comptes d’utilisateurs, tandis que l’autorisation aide à défendre les systèmes auxquels ces comptes peuvent accéder.
Des systèmes complets de gestion des identités et des accès (IAM) permettent de suivre l’activité des utilisateurs, de bloquer les accès non autorisés aux ressources du réseau et d’appliquer des autorisations granulaires afin que seuls les bons utilisateurs puissent accéder aux bonnes ressources.
L’authentification et l’autorisation abordent deux questions essentielles auxquelles les organisations doivent répondre pour mettre en œuvre des contrôles d’accès efficaces :
Une organisation doit savoir qui est un utilisateur avant d’activer le niveau d’accès qui lui correspond. Par exemple, lorsqu’un administrateur réseau se connecte, il doit prouver sa qualité d’administrateur en fournissant les bons facteurs d’authentification. Ce n’est qu’à ce moment-là que le système d’IAM autorise l’utilisateur à effectuer des actions administratives telles que l’ajout ou la suppression d’autres utilisateurs.
Alors que les contrôles de sécurité des organisations deviennent de plus en plus efficaces, de plus en plus de pirates les contournent en volant des comptes d’utilisateurs et en abusant de leurs privilèges pour faire des ravages. Selon l’IBM X-Force Threat Intelligence Index, la fréquence des attaques basées sur l’identité a augmenté de % entre 2022 et 2023.
Ces attaques sont faciles à réaliser pour les cybercriminels. Ils peuvent déchiffrer les mots de passe par des attaques par force brute, utiliser des logiciels malveillants de type infostealer ou acheter des identifiants à d’autres pirates. De fait, selon le X-Force Threat Intelligence Index, les identifiants de comptes cloud représentent 90 % des actifs cloud vendus sur le dark web.
L’hameçonnage est une autre tactique courante de vol d’identifiants, et les outils d’IA générative permettent désormais aux pirates de développer des attaques plus efficaces en moins de temps.
Bien qu’elles puissent être considérées comme des mesures de sécurité élémentaires, l’authentification et l’autorisation constituent des défenses importantes contre l’usurpation d’identité et l’abus de compte, y compris les attaques alimentées par l’IA.
L’authentification peut entraver le vol de comptes en remplaçant ou en renforçant les mots de passe par d’autres facteurs plus difficiles à déchiffrer, tels que les données biométriques.
Les systèmes d’autorisation granulaire peuvent freiner les mouvements latéraux en limitant les privilèges des utilisateurs aux seules ressources et actions dont ils ont besoin. Cela permet de restreindre les dommages que les pirates malveillants et les menaces internes peuvent causer en abusant des droits d’accès.
Avec IBM Security Verify, les entreprises peuvent aller au-delà de l’authentification et de l’autorisation classiques. Verify peut aider à protéger les comptes avec des options d’authentification sans mot de passe et à étapes, et peut aider à contrôler les applications avec des politiques d’accès granulaires et contextuelles.
IBM web domains
ibm.com, ibm.org, ibm-zcouncil.com, insights-on-business.com, jazz.net, mobilebusinessinsights.com, promontory.com, proveit.com, ptech.org, s81c.com, securityintelligence.com, skillsbuild.org, softlayer.com, storagecommunity.org, think-exchange.com, thoughtsoncloud.com, alphaevents.webcasts.com, ibm-cloud.github.io, ibmbigdatahub.com, bluemix.net, mybluemix.net, ibm.net, ibmcloud.com, galasa.dev, blueworkslive.com, swiss-quantum.ch, blueworkslive.com, cloudant.com, ibm.ie, ibm.fr, ibm.com.br, ibm.co, ibm.ca, community.watsonanalytics.com, datapower.com, skills.yourlearning.ibm.com, bluewolf.com, carbondesignsystem.com