Qu’est-ce que la gestion des identités et des accès (IAM)?

La gestion des identités et des accès (IAM) est la pratique qui consiste à s’assurer que les personnes et les entités ayant une identité numérique ont le bon niveau d’accès aux ressources de l’entreprise comme les réseaux et les bases de données. Les rôles d’utilisateur et les privilèges d’accès sont définis et gérés par un système IAM.

À quoi sert une solution IAM?

Une solution IAM permet aux administrateurs informatiques de gérer de manière sûre et efficace les identités numériques des utilisateurs et les privilèges d’accès associés.Grâce à l’IAM, les administrateurs peuvent définir et modifier les rôles d’utilisateur, suivre et rendre compte de l’activité des utilisateurs, mais aussi appliquer les politiques de conformité réglementaire et de l’entreprise pour protéger la sécurité et la confidentialité des données.

Une solution IAM peut être un ensemble de plusieurs processus et outils, y compris une solution de contrôle d’accès au réseau (NAC). Les administrateurs informatiques utilisent les solutions NAC pour contrôler l’accès aux réseaux grâce à des fonctionnalités telles que la gestion du cycle de vie des politiques, l’accès invité au réseau et les contrôles de la posture de sécurité. Les solutions IAM peuvent être fournies sous forme de services en nuage ou déployées sur site, ou bien il peut s’agir de solutions hybrides à la fois sur site et dans le nuage. De nombreuses entreprises choisissent les applications en nuage pour l’IAM, car elles sont plus faciles à mettre en œuvre, à mettre à jour et à gérer.

Qu’est-ce qu’une identité numérique?

L’identité numérique est une source centrale de vérité dans la gestion des identités et des accès. Elle fait référence aux informations d’authentification dont un utilisateur a besoin pour accéder à des ressources en ligne ou sur un réseau pour grande entreprise. Les solutions IAM font correspondre ces informations d’authentification, appelées facteurs d’authentification, aux utilisateurs ou aux entités qui demandent l’accès aux applications, principalement au niveau de la couche 7. Ces facteurs permettent de vérifier que les utilisateurs sont bien ceux qu’ils prétendent être.

Quels sont les facteurs d’authentification communs?

Trois des facteurs d’authentification les plus couramment utilisés pour l’IAM sont quelque chose que l’utilisateur connaît (comme un mot de passe); quelque chose que l’utilisateur possède (comme un téléphone intelligent); et quelque chose que l’utilisateur est (une propriété physique, comme une empreinte du pouce). Un utilisateur doit généralement fournir une combinaison de facteurs d’authentification pour qu’une application d’authentification puisse confirmer son identité et lui accorder l’accès aux ressources protégées qu’il est autorisé à consulter ou à utiliser.

De nombreuses entreprises utilisent l’authentification à deux facteurs (2FA), qui est une forme basique de l’authentification à plusieurs facteurs (MFA). Le processus 2FA exige de l’utilisateur qu’il fournisse un nom d’utilisateur et un mot de passe, puis qu’il entre un code généré par l’application 2FA ou qu’il réponde à une notification sur un périphérique tel qu’un téléphone intelligent.

Avantages de l’IAM

Sécurité informatique renforcée

Avec un système IAM, les entreprises peuvent appliquer les mêmes politiques de sécurité dans toute l’entreprise. L’utilisation d’outils tels qu’une solution NAC leur permet de limiter les utilisateurs qui peuvent accéder aux ressources et à quel moment. Cela permet de réduire considérablement le risque que des parties non autorisées voient (ou utilisent accidentellement ou intentionnellement) des données sensibles.

Les méthodes d’IAM comme l’authentification unique (SSO) et la MFA réduisent également le risque que les informations d’authentification des utilisateurs soient compromises ou utilisées de manière abusive, car les utilisateurs n’ont pas besoin de créer et de conserver plusieurs mots de passe. Et parce que les utilisateurs ont besoin d’une autorisation fondée sur des preuves (comme des questions de sécurité, des mots de passe à usage unique ou des facteurs inhérents comme les empreintes digitales) pour accéder à des ressources protégées, il y a moins de chances qu’un acteur malveillant obtienne l’accès à des ressources critiques.


Conformité améliorée

Les systèmes IAM peuvent aider les organisations à répondre aux exigences de nombreux mandats de conformité liés à la sécurité et à la confidentialité des données. Par exemple, l’IAM peut contribuer à la conformité avec la loi HIPAA (Health Insurance Portability and Accountability Act), qui exige des organisations qui traitent des informations de santé protégées qu’elles mettent en œuvre un accès électronique sécurisé aux données de santé.

Les entreprises peuvent utiliser des méthodes d’IAM telles que le SSO, le MFA, le contrôle d’accès basé sur les rôles (RBAC) et les « moindres privilèges » (donnant aux utilisateurs et aux entités telles que les applications logicielles le minimum d’accès requis pour effectuer une tâche) pour répondre au mandat de la loi HIPAA.

L’IAM est également utile aux institutions de services financiers, qui doivent se conformer à la loi Sarbanes-Oxley (SOX). L’article 404 exige que les entreprises mettent en œuvre, testent et documentent des contrôles internes adéquats pour la préparation des rapports financiers et la protection de l’intégrité des données financières dans ces rapports. L’application des politiques de séparation des tâches (SoD) est l’un des nombreux moyens par lesquels les outils et systèmes IAM peuvent aider les entreprises à se conformer aux exigences SOX.


Productivité accrue des employés

Grâce à des mesures de sécurité telles que le SSO, le MFA ou le RBAC, les organisations peuvent renforcer la sécurité tout en réduisant les obstacles qui empêchent les travailleurs d’être productifs. Les employés ont un accès rapide aux ressources dont ils ont besoin pour effectuer leurs tâches, peu importe où ils travaillent. Avec l’IAM, les employés peuvent se sentir plus confiants de travailler dans un environnement sécurisé.

Un système IAM qui permet le provisionnement automatique des utilisateurs permet également aux employés de demander et d’obtenir facilement un accès autorisé à différentes ressources en cas de besoin, sans alourdir le service informatique ni faire de l’informatique un goulot d’étranglement pour la productivité des employés.


Coûts informatiques réduits

Les solutions IAM peuvent automatiser et standardiser de nombreuses tâches liées à la gestion des identités, des authentifications et des autorisations. Cela signifie que les administrateurs informatiques peuvent consacrer leur temps à des tâches à plus forte valeur ajoutée pour l’entreprise. En outre, de nombreux services IAM sont désormais en nuage, de sorte que la nécessité d’acheter, de mettre en œuvre et de maintenir une infrastructure sur site pour l’IAM peut être considérablement réduite ou éliminée.

Capacités de l’IAM

Autoriser ou bloquer l’accès aux ressources

Les systèmes IAM sont conçus pour autoriser ou bloquer l’accès aux données et applications protégées. Des solutions IAM plus sophistiquées permettent aux entreprises d’obtenir encore plus de précision avec les autorisations. Par exemple, elles peuvent fixer les conditions relatives au moment de la journée où un utilisateur spécifique peut accéder à un service, et à partir de quel endroit.


Restreindre l’accès à la plateforme

Une organisation peut utiliser une solution IAM pour limiter le nombre d’utilisateurs pouvant accéder aux plateformes utilisées pour le développement, la préparation et les tests de produits et de services.


Empêcher la transmission de données sensibles

De nombreuses entreprises utilisent l’IAM pour renforcer la sécurité de leurs données, en définissant des autorisations strictes pour lesquelles les utilisateurs peuvent créer, modifier ou supprimer des données, et en précisant qui peut les transmettre. En appliquant le RBAC, par exemple, un employé temporaire peut ne pas être autorisé à envoyer ou à recevoir des données en dehors des systèmes de l’entreprise.


Fournir des rapports

Les systèmes IAM fournissent des rapports qui aident les organisations à prouver leur conformité avec les réglementations en matière de sécurité et de confidentialité des données. Les informations tirées de ces rapports peuvent aider les entreprises à améliorer leurs processus de sécurité et à réduire les risques. Ces informations les aident également à mieux comprendre les ressources dont les employés ont besoin pour être les plus productifs dans leur travail.

Outils et méthodes d’IAM

Authentification à plusieurs facteurs

Grâce au MFA, les utilisateurs sont invités à fournir une combinaison de facteurs d’authentification pour vérifier leur identité. Outre les noms d’utilisateur et les mots de passe, les entreprises utilisent généralement la méthode du mot de passe à usage unique basé sur le temps (TOTP), qui exige des utilisateurs qu’ils fournissent un code d’accès temporaire qui a été envoyé par SMS, appel téléphonique ou courriel. D’autres systèmes MFA exigent des utilisateurs qu’ils fournissent une authentification biométrique de leur identité, également appelée facteurs inhérents, comme une empreinte digitale ou une analyse d’identification faciale.


Authentification unique

Le SSO est un système d’identification couramment utilisé dans les entreprises pour vérifier l’identité des utilisateurs. Il permet à un utilisateur autorisé de se connecter en toute sécurité à plusieurs applications SaaS et sites Web en utilisant un seul ensemble d’informations d’authentification (nom d’utilisateur et mot de passe). Le SSO peut être considéré comme une version automatisée du MFA. Les systèmes SSO authentifient les utilisateurs avec le MFA, puis à l’aide de jetons logiciels, partagent cette authentification avec plusieurs applications. Le SSO peut également être utilisé pour empêcher l’accès à des ressources ou à des emplacements désignés, tels que des sites Web et des plateformes externes.

L’avantage de l’approche SSO pour l’IAM (outre un processus de connexion plus transparent pour les utilisateurs finaux) est qu’elle donne aux administrateurs informatiques la possibilité de définir les autorisations, de réguler l’accès des utilisateurs et de provisionner ou de déprovisionner facilement les utilisateurs.


Fédération

La fédération autorise le SSO sans mot de passe. En utilisant un protocole d’identité standard, comme le langage SAML (Security Assertion Markup Language) ou WS-Federation, un serveur de fédération présente un jeton (données d’identité) à un système ou une application avec lequel il a établi une relation de confiance. Grâce à cette confiance, les utilisateurs peuvent alors se déplacer librement entre les domaines connectés sans avoir à se ré-authentifier.


RBAC et Zero Trust

De nombreuses grandes entreprises utilisent le RBAC, une méthode permettant de restreindre l’accès aux réseaux, aux données sensibles et aux applications critiques en fonction du rôle et des responsabilités d’une personne au sein d’une organisation. Le RBAC est également connu sous le nom de gouvernance de l’accès. Les rôles définis dans le RBAC peuvent inclure des utilisateurs finaux, des administrateurs ou des entrepreneurs tiers. Un rôle peut être basé sur l’autorité, l’emplacement, la responsabilité ou la compétence professionnelle d’un utilisateur. Les rôles sont parfois regroupés (par exemple, le marketing ou les ventes) afin que les utilisateurs ayant des responsabilités similaires dans une organisation et qui collaborent fréquemment puissent accéder aux mêmes ressources.

En appliquant un cadre de sécurité Zero Trust dans le RBAC, où des contrôles d’accès très stricts sont maintenus avec tous les utilisateurs qui demandent l’accès à des ressources professionnelles, les entreprises peuvent empêcher davantage les accès non autorisés, et même contenir les violations et réduire le risque de mouvement latéral d’un agresseur à travers le réseau.

Mise en œuvre de l’IAM

Tenir compte des besoins actuels et futurs de l’IAM

Les solutions IAM dotées de capacités de base pour gérer l’accès des utilisateurs aux ressources de l’entreprise peuvent être facilement configurées « prêtes à l’emploi ». Mais si votre organisation est grande et complexe, vous aurez peut-être besoin d’une solution plus avancée ou d’une combinaison de systèmes et d’outils.

Avant d’investir dans un système IAM, examinez attentivement les besoins actuels de votre entreprise, ainsi que ceux qu’elle pourrait avoir à l’avenir. Pensez aux besoins en matière d’infrastructure informatique en plus des capacités de la solution elle-même. Deux questions importantes se posent : La solution sera-t-elle facile à maintenir? Et s’adaptera-t-elle aux besoins de notre entreprise à mesure que nous ajouterons des applications et des utilisateurs?


Vérifier la compatibilité et la conformité

Avant d’investir dans une solution IAM, vérifiez qu’elle est compatible avec votre système d’exploitation actuel, les applications tierces et les serveurs Web. Vous pouvez créer une liste de toutes les applications que vous devrez intégrer à l’IAM, afin que rien ne soit négligé.

Vérifiez également que le système IAM que vous souhaitez mettre en œuvre est conforme à toutes les exigences réglementaires locales et fédérales applicables. Une solution IAM doit améliorer la conformité et non créer davantage de risques potentiels pour votre entreprise.


Gérer le changement

Le passage à un nouveau mode d’authentification et d’autorisation des utilisateurs peut exiger une gestion des changements. Envisagez de déployer d’abord la nouvelle solution IAM dans certains secteurs de l’entreprise, comme les finances, avant de la mettre en œuvre dans toute l’organisation.

N’oubliez pas que l’IAM aura un impact sur tout le monde et sur tout ce qui doit accéder aux ressources informatiques de l’entreprise. Pour encourager l’adoption des nouveaux outils et processus d’IAM, prenez le temps d’obtenir d’abord l’adhésion de toutes les principales parties prenantes.


Définir et suivre les indicateurs clés

Vous voudrez suivre l’efficacité de votre solution IAM et déterminer si le système offre un retour sur investissement. Une fois votre système opérationnel, pensez à suivre et à rapporter régulièrement le temps nécessaire pour configurer les nouveaux utilisateurs, le nombre de réinitialisations de mots de passe et le nombre de violations SoD potentielles.


Tenir compte des points d’extrémité ou des périphériques

Dans un réseau complexe doté d’une infrastructure informatique privée, ou dans un environnement d’Internet des objets (IDO) et de technologie opérationnelle (OT), l’utilisation d’un système IAM seul pour gérer l’accès des utilisateurs aux ressources informatiques pourrait en fait créer un risque de sécurité. Plus précisément, cela pourrait exposer l’organisation aux attaques de réseaux de zombies.

Une solution NAC peut renforcer la sécurité dans ces environnements. Par exemple, elle peut appliquer des politiques de profilage et d’accès définies pour différentes catégories de périphériques IDO. Elle peut aussi atténuer les menaces réseau en appliquant des politiques de sécurité qui bloquent, isolent et réparent les machines non conformes sans nécessiter l’attention de l’administrateur.

Pour commencer

En savoir plus sur les produits et les solutions Cisco liés à la gestion des identités et des accès.