Accueil
Thèmes
Gestion des identités et des accès
Publication : le 22 janvier 2024
Contributeurs : Matthew Kosinski, Amber Forrest
La gestion des identités et des accès (IAM) est la discipline de la cybersécurité qui concerne la manière dont les utilisateurs accèdent aux ressources numériques et de ce qu’ils peuvent en faire. Les systèmes IAM empêchent les intrusions par des pirates informatiques tout en veillant à ce que chaque utilisateur ait exactement les permissions nécessaires pour accomplir son travail, ni plus ni moins.
Les réseaux d'entreprises accueillent à la fois des utilisateurs humains (employés, clients, sous-traitants) et des utilisateurs non humains (bots, appareils IdO, appareils de points de terminaison et workloads automatisés). Avec l’essor du télétravail et du cloud computing, les utilisateurs ainsi que les ressources auxquelles ils accèdent sont de plus en plus dispersés.
Les organisations rencontrent alors des difficultés à contrôler les activités de ces utilisateurs sur des applications et des ressources distribuées entre des sites locaux, distants ou basés sur le cloud, ce qui expose l'organisation à des risques accrus. Des pirates peuvent s'introduire dans le réseau sans être détectés. Des initiés malveillants peuvent abuser de leurs droits d'accès. Même des utilisateurs bien intentionnés peuvent involontairement enfreindre les réglementations de protection des données.
Les systèmes IAM facilitent le contrôle d'accès, protégeant les ressources tout en préservant leur utilisation légitime. Chaque utilisateur se voit attribuer une identité numérique unique avec des permissions adaptées à son rôle, à ses besoins en matière de conformité et à d'autres critères. Ainsi, l'IAM garantit que seuls les bons utilisateurs accèdent aux ressources pertinentes pour des raisons justifiées, tandis que les accès et activités non autorisés sont bloqués.
Avec l’IBM Security X-Force Threat Intelligence Index, vous disposez d’informations qui vous permettent de vous préparer et de réagir plus rapidement et plus efficacement aux cyberattaques.
L'objectif de l'IAM est de stopper les pirates tout en permettant aux utilisateurs autorisés de réaliser facilement leurs tâches, sans leur donner plus de droits que nécessaire. Les systèmes IAM utilisent une combinaison d'outils et de stratégies, mais leur structure de base reste similaire.
Un système IAM typique repose sur une base de données ou un répertoire d'utilisateurs, qui contient des informations détaillées sur chaque utilisateur et ses droits dans le système. Lorsqu'un utilisateur accède au système, l'IAM utilise ces informations pour vérifier son identité, surveiller ses activités, et s'assurer qu'il agit conformément aux droits qui lui sont accordés.
Pour bien comprendre le fonctionnement de l'IAM, examinons ses quatre composants principaux : la gestion du cycle de vie des identités, le contrôle d'accès, l'authentification et l'autorisation, ainsi que la gouvernance des identités.
La gestion du cycle de vie des identités consiste à créer et à maintenir des identités numériques pour chaque utilisateur, qu'il soit humain ou non humain, dans un système.
Pour suivre les activités des utilisateurs et appliquer des permissions adaptées, il est essentiel de différencier chaque utilisateur. L'IAM assigne à chaque utilisateur une identité numérique, composée d'attributs distinctifs permettant au système de savoir qui est l'utilisateur ou quel type de ressource il représente. Les identités comprennent souvent des caractéristiques telles que le nom de l'utilisateur, ses identifiants de connexion, son numéro d'identification, son intitulé de poste et ses droits d'accès.
Les identités numériques sont généralement stockées dans une base de données ou un annuaire central, qui fait office de source de vérité. Le système IAM utilise les informations de cette base de données pour valider les utilisateurs et déterminer les actions qu'ils sont autorisés à effectuer.
Dans certains projets IAM, les équipes informatiques ou de cybersécurité gèrent manuellement l'intégration des utilisateurs, la mise à jour des identités au fil du temps, et la suppression ou le retrait des droits des utilisateurs quittant le système. Certains outils IAM permettent une approche en libre-service, où les utilisateurs saisissent leurs informations et le système crée automatiquement leur identité en attribuant les niveaux d'accès appropriés.
Des identités numériques distinctes permettent non seulement aux organisations de suivre les utilisateurs, mais aussi de définir et d'appliquer des politiques d'accès plus précises. L'IAM permet aux entreprises de personnaliser les autorisations d'accès pour chaque identité, au lieu d'accorder les mêmes privilèges à tous les utilisateurs autorisés.
Aujourd'hui, de nombreux systèmes IAM adoptent le contrôle d'accès basé sur les rôles (RBAC). Dans ce modèle, les privilèges d'un utilisateur sont définis en fonction de son poste et de ses responsabilités. Le RBAC simplifie la gestion des autorisations et réduit les risques d'accorder des privilèges excessifs à certains utilisateurs..
Prenons l'exemple d'une entreprise définissant les autorisations pour un pare-feu réseau. Un représentant commercial n'aurait probablement aucun accès, car cela ne fait pas partie de son rôle. Un analyste de sécurité débutant pourrait avoir l'autorisation de consulter les configurations du pare-feu, mais pas de les modifier. Le responsable de la sécurité des systèmes d'information (RSSI) bénéficierait d'un accès administratif complet. Une API qui intègre le SIEM de l'entreprise au pare-feu pourrait lire les journaux d'activité du pare-feu, mais sans accès à d'autres données.
Pour renforcer la sécurité, les systèmes IAM peuvent également appliquer le principe du moindre privilège aux autorisations d'accès. Ce principe, souvent associé aux stratégies de cybersécurité Zero Trust, stipule que les utilisateurs ne devraient avoir que les autorisations strictement nécessaires pour accomplir leurs tâches, et que ces privilèges devraient être révoqués une fois la tâche accomplie.
Conformément à ce principe, de nombreux systèmes IAM incluent des technologies spécifiques pour la gestion des accès privilégiés (PAM). La PAM est une discipline de la cybersécurité qui régit la sécurité des comptes à haut privilège, tels que ceux des administrateurs systèmes.
Ces comptes font l'objet d'une attention particulière car le vol de leurs identifiants permettrait aux pirates de réaliser des actions potentiellement dévastatrices. Les outils PAM isolent ces identités privilégiées, en utilisant des coffres-forts pour les identifiants et des protocoles d'accès à la demande pour renforcer la sécurité.
Les informations relatives aux droits d'accès de chaque utilisateur sont généralement stockées dans la base de données centrale du système IAM et font partie intégrante de leur identité numérique. Le système IAM s'appuie sur ces informations pour appliquer les niveaux de privilège spécifiques à chaque utilisateur.
L’authentification et l’autorisation sont les mécanismes par lesquels les systèmes IAM mettent en pratique les politiques de contrôle d'accès sur mesure.
L'authentification est le processus permettant de vérifier qu'un utilisateur, qu'il soit humain ou non, est bien celui qu'il prétend être. Lorsqu'un utilisateur se connecte à un système ou demande l'accès à une ressource, il soumet ses informations d'identification pour prouver son identité. Par exemple, un utilisateur humain peut entrer un mot de passe, tandis qu'un utilisateur non humain peut fournir un certificat numérique. Le système IAM vérifie ces informations d'identification dans la base de données centrale. Si elles correspondent, l'accès est accordé.
Bien que la combinaison nom d'utilisateur/mot de passe soit la forme d'authentification la plus basique, elle est également l'une des plus faibles. C'est pourquoi la majorité des implémentations IAM utilisent aujourd'hui des méthodes d'authentification plus avancées.
L'authentification multifacteur (MFA) exige des utilisateurs qu'ils fournissent au moins deux facteurs d'authentification pour prouver leur identité. Les facteurs les plus courants incluent un code de sécurité envoyé sur le téléphone de l'utilisateur, une clé de sécurité physique ou des données biométriques, telles que des empreintes digitales.
L'authentification unique (SSO) permet aux utilisateurs d'accéder à plusieurs applications et services à l'aide d'un seul ensemble d'identifiants. Le portail SSO authentifie l'utilisateur et génère un certificat ou un jeton qui sert de clé de sécurité pour d'autres ressources. Les systèmes SSO utilisent des protocoles ouverts tels que SAML (Security Assertion Markup Language) pour partager les clés de manière sécurisée entre différents fournisseurs de services.
L'authentification adaptative, également appelée authentification basée sur le risque, utilise l'intelligence artificielle et le machine learning pour analyser le comportement des utilisateurs et ajuster les exigences d'authentification en temps réel en fonction du niveau de risque. En exigeant une authentification plus stricte pour des activités jugées plus risquées, les systèmes d'authentification basés sur le risque rendent plus difficile l'accès des pirates ou des menaces internes aux ressources critiques.
Par exemple, un utilisateur se connectant depuis son appareil et son emplacement habituels peut simplement saisir son mot de passe, car cela présente peu de risques. Cependant, s'il se connecte depuis un appareil non reconnu ou tente d'accéder à des informations sensibles, des facteurs d'authentification supplémentaires peuvent être requis, puisqu'il adopte désormais un comportement plus risqué.
Une fois l'utilisateur authentifié, le système IAM vérifie les privilèges associés à son identité numérique dans la base de données. Le système IAM autorise l'utilisateur à accéder uniquement aux ressources et à effectuer les actions que ses permissions permettent.
La gouvernance des identités est le processus de suivi de l'utilisation des droits d'accès par les utilisateurs. Les systèmes IAM surveillent les utilisateurs pour s'assurer qu'ils n'abusent pas de leurs privilèges et pour détecter les éventuelles intrusions dans le réseau.
La gouvernance des identités est également importante pour la conformité réglementaire. Les entreprises élaborent leurs politiques d'accès pour s'aligner sur des réglementations telles que le règlement général sur la protection des données (RGPD) ou la norme de sécurité des données PCI-DSS. En surveillant l'activité des utilisateurs, les systèmes IAM aident les entreprises à s'assurer que leurs politiques fonctionnent comme prévu. Ils peuvent également générer des pistes d'audit pour prouver la conformité ou identifier des violations en cas de besoin.
De nombreux workflows clés de l'IAM, tels que l'authentification des utilisateurs et le suivi de leur activité, sont difficiles, voire impossibles, à gérer manuellement. C'est pourquoi les organisations s'appuient sur des outils technologiques pour automatiser les processus IAM.
Dans le passé, elles utilisaient des solutions distinctes pour gérer les différentes facettes de l'IAM : une solution pour l'authentification, une autre pour l'application des politiques d'accès et une troisième pour l'audit des activités des utilisateurs.
Aujourd'hui, les solutions IAM sont souvent des plateformes complètes qui soit gèrent tous les aspects de l'IAM, soit intègrent plusieurs outils en une solution unifiée. Bien que les plateformes IAM varient, elles partagent généralement des fonctionnalités de base communes telles que :
- Des annuaires centralisés ou des intégrations avec des services d'annuaire externes comme Microsoft Active Directory et Google Workspace.
- Des workflows automatisés pour la création, la mise à jour et la suppression des identités numériques.
- La possibilité de créer une infrastructure d'identité à l'échelle du réseau, indépendante des produits, permettant à l'organisation de gérer les identités et l'accès pour toutes les applications et tous les actifs, y compris les applications héritées, via un répertoire unique faisant autorité.
- Des options d'authentification intégrées telles que la MFA, le SSO et l'authentification adaptative.
- Des fonctions de contrôle d'accès qui permettent aux entreprises de définir des politiques d'accès granulaires et de les appliquer à tous les utilisateurs, y compris aux comptes privilégiés.
- Des capacités de suivi pour surveiller les utilisateurs, signaler les activités suspectes et garantir la conformité.
- Des capacités de gestion des identités et des accès des clients (CIAM) qui étendent la gestion du cycle de vie des identités, ainsi que les mesures d'authentification et d'autorisation, aux portails numériques destinés aux clients, aux partenaires et à d'autres utilisateurs externes.
Certaines solutions IAM sont conçues pour des écosystèmes spécifiques. Par exemple, les plateformes IAM d'Amazon Web Services (AWS) et de Google Cloud contrôlent l'accès aux ressources hébergées dans leurs clouds respectifs.
D'autres solutions IAM, comme celles proposées par Microsoft, IBM, Oracle et d'autres, sont conçues pour fonctionner avec toutes les ressources d'un réseau d'entreprise, quel que soit l'endroit où elles sont hébergées. Ces solutions IAM peuvent servir de fournisseurs d'identité pour différents services, en utilisant des normes ouvertes comme SAML et OpenID Connect (OIDC) pour échanger des informations d'authentification des utilisateurs entre les applications.
De plus en plus, les solutions IAM se déplacent hors des infrastructures sur site pour adopter un modèle de logiciel en tant que service (SaaS). Appelées « identité en tant que service » (IDaaS) ou « authentification en tant que service » (AaaS), ces solutions IAM basées sur le cloud offrent des capacités supplémentaires par rapport aux outils sur site.
Les outils IDaaS sont utiles dans les réseaux d'entreprise complexes où les utilisateurs, dispersés, se connectent depuis divers appareils (Windows, Mac, Linux et mobiles) pour accéder à des ressources situées à la fois sur site et dans des clouds privés et publics. Alors que les outils IAM sur site peuvent ne pas s'adapter facilement à cette diversité d'utilisateurs et de ressources, l'IDaaS est souvent plus flexible.
L'IDaaS permet également d'étendre les services IAM aux contractants, clients et autres utilisateurs externes, simplifiant ainsi la gestion des identités, car l'entreprise n'a pas besoin de solutions distinctes pour chaque type d'utilisateur.
De plus, les outils IDaaS permettent d'externaliser certains aspects gourmands en temps et en ressources, comme la création de nouveaux comptes utilisateurs, l'authentification des demandes d'accès et la gouvernance des identités.
Les initiatives IAM répondent à de nombreux besoins en matière de cybersécurité, d'opérations métier et bien plus encore.
Avec l'essor des environnements multi-cloud, de l'intelligence artificielle (IA), de l'automatisation et du télétravail, la transformation numérique exige que les entreprises garantissent un accès sécurisé à une grande diversité d'utilisateurs, de ressources et de localisations.
Les systèmes IAM centralisent la gestion des accès pour ces utilisateurs et ressources, y compris les non-employés et les utilisateurs non humains. De plus en plus de plateformes IAM intègrent ou collaborent avec des outils CIAM, permettant ainsi aux organisations de gérer l'accès des utilisateurs internes et externes à partir d'un même système.
Les entreprises d'aujourd'hui maintiennent des équipes de travail à distance et hybrides, et la plupart des réseaux d'entreprise combinent des systèmes hérités sur site avec des applications et services plus récents basés sur le cloud. Les solutions IAM permettent de rationaliser le contrôle d'accès dans ces environnements complexes.
Des fonctionnalités telles que le SSO et l'authentification adaptative permettent aux utilisateurs de s'authentifier sans difficulté tout en protégeant les ressources essentielles. Les organisations peuvent gérer les identités numériques et les politiques de contrôle d'accès pour tous leurs systèmes via une solution IAM unique et centralisée. Au lieu de déployer différents outils d'identité pour chaque ressource, les systèmes IAM complets créent une source d'information, de gestion et d'application unique pour l'ensemble de l'environnement informatique.
Les systèmes IAM, notamment ceux prenant en charge le SSO, permettent aux utilisateurs d'accéder à plusieurs services avec une seule identité, évitant ainsi la création de multiples comptes pour chaque service. Cela réduit considérablement le nombre de comptes d'utilisateurs que les équipes informatiques doivent gérer. La croissance des solutions BYOI (Bring Your Own Identity), qui permettent aux utilisateurs de gérer et de transporter leurs identités entre différents systèmes, simplifie également la gestion informatique.
Les systèmes IAM peuvent rationaliser l'attribution des autorisations en utilisant des méthodes RBAC, qui attribuent automatiquement des privilèges en fonction du rôle et des responsabilités de l'utilisateur. Les outils IAM fournissent aux équipes IT et de sécurité une plateforme unique pour définir et appliquer des politiques d'accès à tous les utilisateurs.
Les normes telles que le RGPD, le PCI-DSS et la SOX exigent des politiques strictes quant à qui peut accéder aux données et dans quel but. Les systèmes IAM permettent aux entreprises de définir et d'appliquer des politiques de contrôle d'accès conformes à ces normes, et de suivre l'activité des utilisateurs pour prouver leur conformité lors d'audits.
Selon le rapport d’IBM sur lecoût d’une violation de données , le vol d’identifiants est l’une des principales causes de violation de données. Les pirates ciblent souvent les comptes surprovisionnés, qui disposent de plus d'autorisations que nécessaire. Ces comptes, bien que moins protégés que les comptes administrateurs, permettent aux pirates d'accéder à de vastes sections du système.
L'IAM aide à prévenir les attaques basées sur des identifiants en ajoutant des couches d'authentification supplémentaires, rendant l'accès aux données sensibles plus difficile pour les pirates. Même si un pirate parvient à s'introduire dans le système, les systèmes IAM empêchent les mouvements latéraux : les utilisateurs ne disposent que des autorisations strictement nécessaires. Les utilisateurs légitimes peuvent accéder aux ressources dont ils ont besoin, tandis que les acteurs malveillants et les menaces internes sont limités dans leurs actions.
La famille IBM Security Verify offre des capacités automatisées, basées sur le cloud et sur site, pour administrer la gouvernance des identités, gérer les identités et les accès du personnel et des consommateurs, et contrôler les comptes privilégiés.
Mettez en place un programme de gestion des identités et des consommateurs performant grâce aux compétences, à la stratégie et au soutien d'experts en matière d'identité et de sécurité.
Outils de gestion des accès privilégiés pour découvrir, contrôler, gérer et protéger les comptes privilégiés sur les points de terminaison et les environnements multicloud hybrides.
Provisionnez l’accès et l’activité des utilisateurs, faites-en l’audit et générez des rapports grâce à des fonctionnalités de cycle de vie, de conformité et d’analytique, sur site et dans le cloud.
Étendez facilement l'authentification moderne aux applications existantes et améliorez la sécurité tout en offrant une expérience utilisateur cohérente.
Le SSO est une méthode d'authentification qui permet aux utilisateurs de se connecter une seule fois et d'obtenir un accès sécurisé à plusieurs applications et services associés.
Le Rapport sur le coût d’une violation de données présente les dernières découvertes sur l’évolution des menaces et vous propose des recommandations pour gagner du temps et limiter les pertes.
La MFA est une méthode de vérification d'identité dans laquelle l'utilisateur doit fournir au moins deux éléments de preuve pour prouver son identité.