Qu’est-ce que la gouvernance et l’administration des identités (IGA) ?

Sachant que les entreprises gèrent des milliers de comptes utilisateurs associés à leurs systèmes sur site, services cloud et applications SaaS (logiciel à la demande), savoir qui a accès à quoi devient de plus en plus compliqué.

Chaque identité numérique, qu’elle représente un utilisateur, un appareil ou une application, est potentiellement une porte d’entrée vers les systèmes critiques et les données sensibles. Sans une gouvernance appropriée, cet écosystème tentaculaire fait peser des risques significatifs sur la sécurité, sans oublier les défis en matière de conformité.

Selon le Rapport sur le coût d’une violation de données publié par IBM, les identifiants volés ou compromis sont le vecteur d’attaque initial le plus courant, à l’origine de 16 % des violations de données. Une fois que les pirates mettent la main sur les identifiants des utilisateurs légitimes, ils peuvent se déplacer librement au sein des réseaux et accéder aux données et systèmes sensibles.

Les solutions de gouvernance et d’administration des identités permettent de se protéger contre les attaques exploitant l’identité et de prévenir les violations de données.

Les outils IGA permettent d’automatiser le provisionnement des utilisateurs, de mettre en œuvre des politiques d’accès et de vérifier régulièrement les accès tout au long du cycle de vie des identités, de l’intégration au départ en passant par la révocation des droits d’accès. Ces fonctions permettent aux entreprises de mieux contrôler les autorisations et l’activité des utilisateurs, afin de facilement détecter et arrêter toute utilisation inappropriée ou abusive des droits d’accès.

Les solutions IGA permettent également de se conformer à des exigences telles que le Règlement général sur la protection des données (RGPD), la loi HIPAA (Health Insurance Portability and Accountability Act) et la loi Sarbanes-Oxley (SOX). L’IGA permet de s’assurer que l’accès aux systèmes et aux données sensibles est correctement accordé et régulièrement vérifié, tout en générant des pistes d’audit pour faciliter les audits internes et externes.

L’IGA et la gestion des identités et des accès (IAM) sont deux sous-catégories distinctes de la sécurité des identités. L’IAM gère la manière dont les utilisateurs accèdent aux ressources numériques, tandis que l’IGA permet de s’assurer que les utilisateurs se servent correctement de leurs droits d’accès. 

L’IAM gère les aspects opérationnels de la sécurité des identités, comme la gestion des mots de passe, l’authentification, l’octroi des droits d’accès au quotidien et la gestion des comptes. L’IGA complète l’IAM en ajoutant des fonctionnalités de gouvernance (supervision, application des politiques et mise en conformité).

On imagine que l’IAM et l’IGA répondent à un certain nombre d’autres questions :

• IAM : comment les utilisateurs accèdent-ils aux ressources, et que peuvent-ils en faire ?

• IGA : les utilisateurs doivent-ils avoir cet accès, et pouvons-nous prouver que nos contrôles répondent aux exigences de conformité ?

En pratique, les entreprises choisissent d’allier outils IAM et outils IGA. Par exemple, si un analyste financier rejoint le service marketing, l’IAM gère les aspects techniques liés à la modification des droits d’accès, tandis que l’IGA veille à ce que ces changements soient conformes aux politiques de l’entreprise.

Les solutions IGA ont été créées pour aider les entreprises à gérer la complexité croissante de leurs environnements informatiques, l’évolution du paysage des cybermenaces et l’évolution des mandats de conformité.

Les réseaux d’entreprise englobent désormais les systèmes sur site, les fournisseurs de cloud privé et public, les postes de travail distants et de nombreuses applications SaaS. Cette complexité rend la gouvernance manuelle des identités quasi impossible et augmente les risques pesant sur la sécurité.

Les solutions IGA facilitent la gestion des environnements informatiques complexes en associant visibilité centralisée, connecteurs pour relier les systèmes disparates et automatisation des workflows essentiels.

De nombreuses solutions de gouvernance des identités fournissent des tableaux de bord unifiés et des consoles de gestion qui offrent une visibilité et un contrôle centralisés dans divers environnements.

Par exemple, bon nombre d’entreprises utilisent les outils IGA pour visualiser l’ensemble des autorisations utilisateur associées à leurs services cloud, systèmes sur site et applications, le tout à partir d’une seule et même interface. Cela leur permet de mettre en œuvre des politiques d’accès cohérentes, où que les applications soient hébergées.

Les solutions IGA disposent de connecteurs, des interfaces prédéfinies qui relient applications et plateformes au sein de la pile technologique de l’entreprise, afin de permettre une gouvernance unifiée des identités. Les connecteurs permettent de synchroniser les données des utilisateurs, de convertir les politiques d’accès d’un système à l’autre et de contrôler de manière cohérente les applications auparavant cloisonnées.

Par exemple, une société financière pourra utiliser ces connecteurs pour intégrer son système bancaire principal, sa plateforme de gestion de la relation client (CRM) et sa base de données RH à un outil IGA central. Cette intégration facilite la modification des droits d’accès sur tous les systèmes lorsque les attributions d’un salarié changent.

Les solutions IGA s’appuient sur l’automatisation pour rationaliser les workflows de gestion des identités, éliminer les processus manuels chronophages et réduire le nombre de tickets d’assistance à traiter par les équipes informatiques. Voici les aspects dont les outils IGA se chargent généralement :

• Demandes d’accès en libre-service, permettant aux utilisateurs de demander l’accès à des données et des systèmes sensibles via des portails intuitifs.
  
  
• Workflows de provisionnement automatisés, qui éliminent les processus manuels pour les workflows de routine tels que la création de comptes, l’attribution d’autorisations et la vérification des accès.
  
  
• Optimisation des rôles, permettant d’améliorer les définitions de rôles et les droits d’accès par défaut en fonction de la manière dont les utilisateurs utilisent réellement leurs autorisations.

En l’absence d’une solution IGA, l’équipe informatique doit créer manuellement le compte utilisateur de chaque nouveau salarié au sein de leurs différents systèmes. Les outils IGA rationalisent ce processus en provisionnant automatiquement les comptes dans chaque système concerné, en temps réel et selon le rôle de l’utilisateur.

Les cyberattaques ont évolué. En effet, les acteurs de la menace ciblent toujours plus les identités à la place des infrastructures réseau. La sécurité traditionnelle, fondée sur la notion de périmètre, ne suffit plus dans un contexte où les utilisateurs peuvent accéder aux ressources de l’entreprise où qu’ils soient et sur tout type d’appareil.

Selon l’IBM X-Force Threat Intelligence Index, l’utilisation abusive de comptes valides est l’un des moyens les plus fréquemment employés par les pirates pour s’introduire dans les réseaux d’entreprise, soit 30 % des cyberattaques.

Les solutions IGA permettent de réduire la surface d’attaque et de limiter les dommages en appliquant le principe du moindre privilège. Selon ce dernier, les utilisateurs ne disposent que de l’accès nécessaire à l’exécution de leurs tâches (ni plus, ni moins).

Les solutions IGA contribuent également à améliorer la posture de sécurité de l’entreprise comme suit :

• Déprovisionnement et application des politiques automatisés : suppression immédiate des accès lorsque les utilisateurs quittent l’entreprise ou enfreignent les politiques de sécurité.
  
  
• Vérification régulière des accès : identifier et révoquer les autorisations excessives (par exemple, lorsque les développeurs conservent leurs droits d’accès administratif aux systèmes de production après l’achèvement du projet.)
  
  
• Mise en œuvre Zero Trust : prendre en charge les architectures Zero Trust en veillant à ce que les utilisateurs ne disposent que des droits d’accès requis par leurs attributions.
  
  
• Tableau de bord des risques liés aux accès : visualisation des vulnérabilités pour améliorer la prise de décision, par exemple en signalant lorsqu’un utilisateur accède à des données financières sensibles en dehors des horaires de travail.

Pour renforcer la protection des comptes privilégiés à haut risque, disposant de droits d’accès élevés, les entreprises intègrent souvent l’IGA à des outils de gestion des accès privilégiés (PAM), qui visent précisément la sécurisation des comptes privilégiés, comme les comptes administrateur.

Certaines solutions IGA offrent également des capacités de détection et de résolution des menaces en temps réel pour prévenir le risque de non-conformité et les violations de données.

Les exigences réglementaires telles que le RGPD, la loi HIPAA ou encore la loi SOX, régissent la manière dont les entreprises traitent les données. Les sanctions en cas de non-respect peuvent être lourdes. Par exemple, en cas de non-respect du RGPD, le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Les solutions IGA fournissent les contrôles et la documentation nécessaires aux entreprises pour rationaliser leur mise en conformité :

• Application automatisée des politiques : s’assurer que les accès et les autorisations sont conformes aux exigences réglementaires.
  
  
• Pistes d’audit complètes : enregistrement des activités liées à l’accès comme preuves de conformité à utiliser lors des audits.
  
  
• Certification régulière des accès : vérifier les droits d’accès pour s’assurer qu’ils correspondent toujours au poste et aux responsabilités de chaque utilisateur.
  
  
• Tableaux de bord de conformité : offrir une visibilité en temps réel sur la conformité des comptes utilisateurs.

Les professionnels de santé, par exemple, peuvent utiliser les outils IGA pour assurer leur conformité à la loi HIPAA. Ils peuvent, en effet, limiter l’accès aux dossiers médicaux selon les responsabilités associées à chaque poste et conserver des journaux détaillés pour savoir qui accède aux dossiers.

Les outils et pratiques IGA permettent de gérer les identités numériques et les autorisations d’accès tout au long du cycle de vie utilisateur, de l’intégration au départ.

Les deux principaux composants de l’IGA sont la gestion du cycle de vie des identités et la gouvernance des accès.

La gestion du cycle de vie des identités consiste à créer, à modifier et à désactiver les identités des utilisateurs au fur et à mesure que les salariés rejoignent l’entreprise, évoluent au sein de cette dernière et la quittent. Il s’agit de s’assurer que les nouveaux utilisateurs reçoivent un accès approprié dès le premier jour et que ces droits sont promptement révoqués lors de leur départ.

Si un salarié change de poste, les outils IGA révoquent automatiquement les autorisations obsolètes et lui en attribuent d’autres, selon ses nouvelles responsabilités. 

Voici les principaux processus de gestion du cycle de vie des identités :

• Intégration : provisionnement des comptes utilisateur et de l’accès initial.
  
  
• Modification des attributs : modification des droits d’accès lorsque les attributs de l’utilisateur, tels que l’habilitation de sécurité, l’affectation à un service ou projet, changent.
  
  
• Départ : suppression des droits d’accès lorsque les utilisateurs quittent l’entreprise.

La gouvernance des accès consiste à décider qui a accès à quelles ressources et à veiller à ce que l’accès reste approprié au fil du temps. Elle constitue la couche supervision de la gestion des identités et met l’accent sur l’application des politiques, la vérification des accès et la conformité.

Voici les principales fonctions de gouvernance des accès :

• Contrôle d’accès basé sur les rôles (RBAC)
• Application de la séparation des tâches (SoD)
• Certification et vérification des accès
• Gestion des droits

Le contrôle d’accès basé sur les rôles (RBAC) consiste à accorder les autorisations selon le rôle des utilisateurs au sein de l’entreprise, et non individuellement. Par exemple, les utilisateurs occupant un poste financier peuvent être autorisés à faire des achats, tandis que les utilisateurs du service RH seront autorisés à consulter les dossiers du personnel.

Grâce à leurs fonctionnalités de gestion des rôles, les solutions IGA permettent aux entreprises de définir, de gérer et de maintenir les rôles au fil du temps.

Grâce au RBAC, les solutions IGA peuvent gérer l’accès de milliers d’utilisateurs sans avoir à accorder les autorisations une par une. Lorsqu’un salarié rejoint l’entreprise, change de service ou s’en va, les administrateurs peuvent simplement attribuer ou supprimer les rôles standardisés au lieu de reconfigurer des dizaines d’autorisations système distinctes.

La séparation des tâches est un principe de sécurité qui prévient les conflits d’intérêts en veillant à ce que personne ne dispose de droits d’accès excessifs.

Pour faciliter la SoD, les solutions IGA identifient les droits à ne pas cumuler afin de prévenir la fraude ou l’utilisation abusive.

Dans le cas de l’approvisionnement, par exemple, il convient d’éviter qu’une même personne puisse ajouter un nouveau fournisseur dans le système et approuver les paiements adressés à ce fournisseur. La solution IGA signalera ce cas comme une violation de la politique SoD avant de le bloquer ou d’exiger des approbations supplémentaires.

La certification des accès consiste à revoir périodiquement les droits d’accès des utilisateurs pour s’assurer qu’ils demeurent appropriés au fil du temps. Il incombe généralement aux responsables ou aux propriétaires de ressources de vérifier si les membres de l’équipe ont toujours besoin de leurs droits d’accès actuels.

Les solutions IGA permettent de rationaliser la vérification des accès en lançant automatiquement des examens réguliers. Les droits d’accès à haut risque, comme l’accès aux systèmes financiers, peuvent faire l’objet d’examens plus fréquents que les autorisations à faible risque.

Certaines solutions IGA peuvent également formuler des recommandations pour modifier les accès en fonction des schémas d’usage (par exemple, en signalant les autorisations inutilisées, dont l’utilisateur n’a probablement pas besoin).

La gestion des droits est le composant le plus granulaire de la gouvernance des accès. Elle porte notamment sur les autorisations dont disposent les utilisateurs au sein des systèmes. En d’autres termes, la gouvernance des accès supervise ce à quoi les utilisateurs ont accès, alors que la gestion des droits supervise ce que les utilisateurs peuvent faire grâce à cet accès.

Par exemple, dans un système comptable, la gestion des droits traiterait des contrôles précis tels que les utilisateurs qui peuvent consulter les dossiers financiers, ceux qui peuvent les modifier et ceux qui peuvent les supprimer.

Voici quelques autres exemples de fonctionnalités de gestion des droits :

• Catalogage des droits : gestion de l’inventaire des autorisations utilisateurs.
  
  
• Évaluation des risques liés à l’accès : évaluation du risque associé à certains droits, comme celui de modifier la capacité d’emprunt des clients.
  
  
• Contrôles basés sur des politiques : application des politiques de sécurité lors des demandes d’accès afin de respecter les principes du moindre privilège, par exemple en exigeant l’approbation du superviseur pour accéder aux données financières sensibles.
  
  
• Analyse des accès : fournir des informations sur les schémas d’accès pour favoriser une gestion proactive des risques susceptibles de peser sur la sécurité, notamment la détection des droits excessifs au sein des systèmes critiques.

Les progrès réalisés dans le domaine de l’intelligence artificielle (IA) s’accompagnent de nouveaux défis et de nouvelles opportunités en matière d’IGA.

Les acteurs de la menace utilisent de nouveaux outils d’IA générative pour cibler les workflows et les contrôles de l’IGA. Par exemple, en utilisant l’IA pour générer des deepfakes et des messages de phishing convaincants, les attaquants peuvent tromper des utilisateurs légitimes pour leur dérober leurs identifiants. Des attaques encore plus sophistiquées pourraient même utiliser des outils de machine learning (ML) pour analyser les structures d’autorisation et identifier les opportunités d’évasion politique pour contourner les contrôles de l’IGA.  

Parallèlement, les fournisseurs utilisent l’IA pour transformer leurs solutions IGA, jusque-là des points de contrôle de conformité statiques, en systèmes de gestion des risques adaptatifs. Voici quelques exemples pour illustrer la manière dont l’IA est appliquée aux solutions IGA :

• Recommandations d’accès intelligentes : utiliser des outils ML pour analyser les rôles, les attributions et les groupes de pairs des utilisateurs, afin de suggérer automatiquement les droits appropriés pendant l’intégration et la mutation des salariés et améliorer les processus RBAC traditionnels.
  
  
• Détection des anomalies pilotée par l’IA : création de modèles de comportement des utilisateurs de référence grâce à des algorithmes d’IA pour signaler automatiquement les activités suspectes que les contrôles standard de l’IGA pourraient manquer.
  
  
• Vérification des accès renforcée par l’IA : évaluer et noter les droits en fonction du niveau de privilège, de l’utilisation et de l’impact SoD, afin que les systèmes IGA puissent soumettre les accès à haut risque à un examen manuel et automatiser les décisions à faible risque.