Qu'est-ce que l'IAM ? Guide sur la gestion des identités et des accès

Selon Gartner, la gestion des identités et des accès (IAM) est la discipline informatique qui permet aux utilisateurs ou aux appareils adéquats d’accéder aux bonnes ressources, aux bons moments et pour les bonnes raisons. Le mot « ressources » recouvre les applications, les réseaux, l’infrastructure et les données.

En outre, l’IAM est un cadre de politiques et de technologies qui protège votre entreprise contre les menaces internes et externes. En d'autres termes, l'IAM simplifie l'accès des utilisateurs tout en prévenant les incidents de cybersécurité, tels que les violations de données ou les attaques internes.

Le cadre de gestion des identités et des accès vise à établir et à maintenir les « identités numériques ». En bref, une identité numérique est la représentation d'une personne, d'une organisation, d'un appareil, d'une application ou de toute autre entité en ligne. Elle comprend des attributs qui sont associés de manière unique à cette entité, ce qui permet aux systèmes et services informatiques d'en vérifier l'authenticité.

L'exemple le plus élémentaire d'identité numérique est sans doute la combinaison d'un nom d'utilisateur et d'un mot de passe. Par exemple, lorsque vous créez un compte sur un site Web ou une plateforme, vous choisissez généralement un nom d'utilisateur (qui sert d'identifiant unique) et un mot de passe (qui sert de moyen d'authentification). Cette combinaison permet d'établir votre identité d'utilisateur sur cette plateforme particulière.

Cependant, une fois cette identité établie, l'organisation qui délivre l'identité numérique doit également la gérer, ou, en d'autres termes, veiller à ce qu'elle soit protégée contre tout accès non autorisé. Les personnes malveillantes qui piratent les comptes d'utilisateurs peuvent utiliser leurs droits d'accès pour voler des informations sensibles et infecter l'infrastructure avec des logiciels malveillants, des virus, etc.

Les solutions IAM simplifient donc la gestion des identités grâce à des contrôles robustes et à d'autres mesures de protection, ce qui permet d'atténuer les menaces potentielles même après l'authentification initiale.

Cas d'utilisation : la gestion des identités et des accès (IAM) pour les consommateurs

De nombreuses organisations utilisent un cadre IAM pour vérifier l'identité de leurs clients pendant leur intégration numérique. Par exemple, le client d'une banque peut demander un nouveau compte courant en ligne ou par le biais d'une application mobile.

Grâce à un système IAM accessible à tout moment et en tout lieu, la banque peut confirmer en toute sécurité l'identité du demandeur tout en lui offrant un accès sécurisé à ses services, le tout sans qu'il soit nécessaire de se rencontrer physiquement. Lorsque le client souhaite accéder à l'application ou à son compte, le système vérifie son identité et la fiabilité de son appareil, ce qui ne prend que quelques secondes.

Cas d'utilisation : la gestion des identités et des accès sur le lieu de travail

Même si certains employés ont repris le chemin du bureau, le travail hybride s'est installé de manière durable. Selon un sondage Gallup, seulement 21 % des emplois compatibles avec le télétravail aux États-Unis se font entièrement sur site. En comparaison, 52 % des emplois sont hybrides et 27 % sont exclusivement à distance.

Résultat ? Les entreprises émettent plus d'identités numériques que jamais. Entre les employés à temps plein, les sous-traitants et les clients, il n'est pas facile de gérer un tel volume. C'est là que les solutions IAM sont utiles.

Les systèmes de pointe peuvent fournir un accès physique/logique aux bâtiments, renforçant la sécurité des employés en personne. Bien entendu, ils offrent également un accès sécurisé aux réseaux privés virtuels (VPN) et aux applications SaaS (Software-as-a-Service), protégeant ainsi la main-d'œuvre distribuée. Ils peuvent en outre offrir un contrôle en temps réel des droits d'accès des sous-traitants, en surveillant constamment le comportement des utilisateurs pour détecter toute activité suspecte.

Cas d'utilisation : la gestion des identités et des accès pour les citoyens

Le secteur public utilise fréquemment l'IAM pour authentifier numériquement les citoyens. Par exemple, un outil IAM peut aider les administrations publiques à délivrer, gérer et vérifier les passeports, les cartes d'identité nationales et les permis de conduire. Il offre également aux citoyens un accès sécurisé aux services et plateformes publics essentiels dans des domaines tels que l'éducation, la santé et les programmes d'avantages sociaux.

De même, la gestion des identités et des accès (IAM) facilite les déplacements transfrontaliers grâce aux informations d'identité mobile et aux kiosques en libre-service disponibles dans les aéroports. L’identité numérique du citoyen peut également être utilisée pour effectuer des transactions en toute sécurité, en liant les identités numériques au citoyen par des certificats sécurisés basés sur l’infrastructure à clé publique (PKI).

Les organisations ont toujours été conscientes du rôle essentiel que joue le contrôle des accès dans la cybersécurité. Mais aujourd'hui, face à la complexité et à l'interconnexion du paysage informatique en constante évolution, elles sont de plus en plus nombreuses à se rendre compte du caractère incontournable de l'identité.

Pour résumer, la transformation numérique s'est accélérée pendant la pandémie de COVID-19. Pour certaines, elle a fait un bond de plusieurs années. Avec l'essor des environnements multicloud, de l'intelligence artificielle (IA), de l'automatisation et du télétravail, les entreprises donnent accès à davantage de types d'entités dans un environnement de plus en plus distribué. En d'autres termes, elles ont plus d'identités qu'elles ne peuvent en gérer.

Dans le même temps, les cybercriminels continuent d'évoluer tout aussi rapidement. Grâce à une combinaison de stratégies d'attaque sophistiquées et pilotées par l'IA, ils ciblent les utilisateurs avec quantité d'escroqueries par hameçonnage, logiciels malveillants, ransomwares, et bien plus encore. Sans la gestion des identités et des accès (IAM), il est exponentiellement plus difficile de contenir une menace, car les services informatiques n'ont pas de visibilité sur qui a accès à quoi. Pire encore, ils ne peuvent pas révoquer l'accès privilégié d'un utilisateur dont le compte a été piraté.

Heureusement, la technologie IAM permet de trouver un équilibre entre sécurité et accessibilité. Elle permet aux organisations de définir des privilèges d'accès granulaires pour les utilisateurs et les appareils sans entraver leur productivité ni l'expérience des clients. Au lieu de restreindre les autorisations de manière générale, un outil IAM peut mettre en œuvre des protections sur une base individuelle.

Sécurité IAM et confiance zéro

La gestion des identités et des accès est essentielle à la mise en place d'une architecture de confiance zéro. Pour résumer, la confiance zéro est un modèle de sécurité qui préconise une gestion stricte des identités, partant du principe que chaque connexion, appareil et utilisateur constitue une menace potentielle. Elle contraste avec les modèles de sécurité traditionnels, qui reposent sur une confiance implicite.

Trois principes font partie intégrante de la sécurité « Confiance zéro » :

1. Authentification continue : les organisations doivent accorder un accès sécurisé en tenant compte de nombreux facteurs de risque qu'il faut vérifier constamment au cours d'une session donnée. En d'autres termes, elles doivent vérifier les entités sur la base de l'identité, de la localisation, de l'appareil, du service, etc.
2. Limiter les répercussions : les équipes doivent toujours partir du principe qu'une violation de données se produira et maximiser la visibilité de l'activité des utilisateurs et du trafic réseau, afin de repérer les anomalies et de détecter les menaces.
3. Accès le moins privilégié : les entités ne doivent disposer que des autorisations nécessaires pour remplir leur rôle ou leur fonction. Par exemple, les employés ne devraient pas pouvoir accéder à des bases de données sensibles si ces dernières n'ont pas de lien avec leurs tâches professionnelles.

À la base, la confiance zéro met l'accent sur la gestion des identités. L'IAM, en réponse, fournit un moyen d'appliquer ses trois principes à grande échelle, ce qui permet de renforcer la sécurité.

Avantages de la gestion des identités et des accès

Avec le bon outil IAM, vous pouvez disposer de plusieurs avantages notables :

• Conformité : les organisations doivent se conformer aux réglementations sur la confidentialité des données et aux exigences contractuelles. Les systèmes IAM leur permettent d'appliquer des politiques d'accès formelles et de prouver leur conformité grâce à un journal d'audit répertoriant l'activité des utilisateurs.
• Productivité : des mesures de sécurité complexes perturbent l'expérience de l'utilisateur, ce qui peut entraîner de la frustration chez les clients et entraver la productivité des employés. Les meilleurs outils IAM permettent d'accorder un accès sécurisé à plusieurs ressources sans qu'il soit nécessaire de se connecter plusieurs fois. Cette fonctionnalité est connue sous le nom d'authentification unique (SSO, Single Sign-On).
• Protection des données : les outils IAM aident les équipes de sécurité à détecter les incidents en cours et à analyser les risques potentiels, ce qui leur permet d'éradiquer les menaces avec rapidité et confiance.
• Automatisation informatique : au lieu de s'appuyer sur des processus manuels, la gestion des identités et des accès automatise les tâches clés telles que la réinitialisation des mots de passe et l'analyse des journaux. Le service informatique économise ainsi du temps et des efforts, ce qui lui permet de se concentrer sur des tâches plus importantes.

À un niveau élevé, l'IAM comporte trois éléments principaux. Les deux premiers, la gestion des identités et la gestion des accès, concernent respectivement l'authentification et l'autorisation. Voici en quoi ces deux termes diffèrent :

• L’authentification est le processus informatique qui consiste à vérifier qu’un utilisateur est bien celui qu’il prétend être. Traditionnellement, il s'agit de fournir un nom d'utilisateur et un mot de passe, mais les pirates informatiques ont appris à contourner facilement cette méthode. C'est la raison pour laquelle un nombre croissant d'organisations exigent des techniques d'authentification plus fortes et plus sophistiquées, comme l'authentification multifactorielle (MFA).
• L’autorisation est le processus qui consiste à vérifier les applications, fichiers et données spécifiques auxquels un utilisateur donné a accès. Pour ce faire, des règles appelées « politiques de contrôle d'accès » sont définies et toujours appliquées après l'authentification.

Enfin, le troisième élément porte sur la gestion. Il englobe l'administration, la surveillance et l'analyse permanentes des processus, systèmes et activités IAM afin de garantir la conformité réglementaire, la sécurité et l'efficacité opérationnelle. Plus simplement, il s'agit du processus global de contrôle des identités et des droits d'accès permettant de repérer les menaces et de corriger les vulnérabilités. 

Chaque élément s'appuie sur plusieurs fonctionnalités et services essentiels. Examinons plus en détail quelques-unes de ces fonctionnalités les plus notables :

Gouvernance des identités

Les technologies IAM peuvent rationaliser l'intégration et la gouvernance des identités grâce aux outils suivants : 

• Authentificateurs : vérifiez l'identité numérique des utilisateurs via plusieurs méthodes, comme les jetons matériels, les certificats numériques, l'analyse des appareils et les codes à usage unique.
• Authentification mobile : intégrez une identité numérique sur un appareil mobile pour créer une identification intelligente permettant l'accès aux applications critiques.
• Vérification de l'identité : intégrez les utilisateurs en quelques secondes grâce à l'authentification biométrique qui compare les selfies aux documents d'identité officiels.
• Authentification adaptative : exploitez l'analyse contextuelle en temps réel qui permet soit d'accorder l'accès aux utilisateurs, soit de leur poser des questions avec des invites d'authentification supplémentaires basées sur les risques.

Contrôle d’accès

Les solutions IAM permettent de sécuriser les accès grâce à plusieurs outils, tels que :

• Authentification unique (SSO) : rationalisez le processus de connexion et donnez la possibilité aux utilisateurs de se connecter avec un seul jeu d'identifiants pour toutes les applications dont ils ont besoin.
• Connexion sans mot de passe : éliminez le risque que les informations d'identification soient dérobées grâce à la connexion sans mot de passe à haut niveau de sécurité. À l'aide du PKI, vous pouvez installer des certificats numériques sur l'appareil mobile de l’utilisateur pour en faire un terminal de confiance. Une fois authentifiée, la connectivité Bluetooth avec un Mac ou un PC permet un accès sécurisé à toutes les applications cloud et sur site situées à proximité.
• Authentification VPN : donnez aux utilisateurs un accès rapide aux applications clés et protégez-les contre le vol d'informations d'identification à l'aide d'un VPN chiffré.
• Émission de titres d’identification : donnez la possibilité aux utilisateurs de demander des identifiants intelligents sur mobile grâce auxquels se connecter presque instantanément aux sites Web, VPN, applications et autres services essentiels.

Gestion et contrôle

Avec la solution appropriée, vous pouvez également vous protéger contre les menaces avancées, gérer les identités et sécuriser les transactions :

• Détection des fraudes : protégez les données de vos clients et la réputation de votre marque en limitant automatiquement la fraude aux paiements.
• Réinitialisation du mot de passe : réduisez les coûts et le nombre de tickets d'assistance grâce à une option de libre-service pour les utilisateurs qui ont oublié leur mot de passe. 
• Mise à disposition de périphériques sécurisés : automatisez le processus d'émission et de retour des appareils pour les employés, qu'ils soient nouveaux, existants ou sur le départ.

La mise en œuvre des technologies IAM est une étape importante, car elle a un impact sur la quasi-totalité des utilisateurs. Une mauvaise configuration peut laisser des failles dans votre dispositif de sécurité, ce qui peut conduire à une violation de données si rien n'est fait. C'est pourquoi il est préférable de suivre les quelques bonnes pratiques suivantes lors du choix d'un fournisseur d'identité :

1. Évaluez le paysage informatique

Commencez par cartographier votre environnement informatique actuel ainsi que tout ajout futur, comme les déploiements basés sur le cloud déjà en cours. Évaluez votre infrastructure, vos applications, vos référentiels de données et vos autres ressources. Ces actions vous aideront à identifier les ressources qui nécessitent un contrôle d'accès sécurisé. 

Prenez ensuite en compte vos utilisateurs : employés, sous-traitants, partenaires et clients. Qui doit avoir accès à quels systèmes ? Cet exercice permet de s'assurer que le champ d'application de votre solution IAM est suffisamment complet pour répondre aux besoins de votre entreprise. Il vous aide également à appliquer le principe de l'accès le moins privilégié.

2. Vérifiez les exigences de conformité réglementaire

Vous pouvez être soumis à différentes lois sur la confidentialité des données en fonction de la taille de votre entreprise, de votre secteur et de votre domaine d'activité. Par exemple, si vous fournissez des services à des utilisateurs finaux en Europe, vous pouvez être soumis au Règlement général sur la protection des données. Assurez-vous que le fournisseur d'identité que vous avez choisi répond aux normes minimales définies par vos obligations légales.

3. Décidez d'un modèle de déploiement

Un système IAM peut être déployé de trois façons :

• Sur site : cette option nécessite un investissement important, à la fois en termes de coûts initiaux et de maintenance continue. Bien que vous disposiez d'un meilleur contrôle sur votre infrastructure IAM, il pourra être difficile d'effectuer des mises à niveau au fil du temps.
• Cloud : en comparaison, les déploiements IDaaS (identity-as-a-service) basés sur le cloud sont bien plus rentables et évolutifs. Ils sont souvent beaucoup plus rapides à mettre en œuvre et nécessitent une configuration initiale minimale, l'infrastructure sous-jacente étant gérée par le fournisseur d'identité.
• Méthode hybride : vous pouvez également tirer parti du meilleur de ces deux méthodes (dans le cloud et sur site). Cette approche vous permet de choisir le modèle le mieux adapté aux différents cas d'utilisation en fonction des besoins de votre entreprise.

4. Adoptez une approche progressive

Inutile de voir grand dès le départ si ce n'est pas nécessaire. Ne brûlez pas les étapes, mais construisez progressivement les bases de votre IAM. Avec une approche progressive, vous déployez les différents composants au fil du temps, ce qui vous permet, à vous comme à vos utilisateurs, de vous adapter plus facilement aux nouveaux processus.

5. Contrôlez et adaptez

Il n'est pas possible de mettre en place une stratégie IAM puis de la laisser se gérer seule. Après la mise en œuvre, il convient d'être très attentif aux performances de votre solution. Avec l'aide de votre fournisseur d'identité, définissez des stratégies d'amélioration de manière à rester toujours protégé contre les menaces potentielles.

La protection de l’identité des employés, des consommateurs et des citoyens est essentielle pour empêcher les accès non contrôlés, les violations de données et les transactions frauduleuses. Entrust Identity est un portefeuille IAM qui vous apportera les bases solides dont vous avez besoin pour mettre sur pied un cadre de confiance zéro. En tant que solution unifiée, Entrust Identity prend en charge un nombre inégalé de cas d’utilisation et d’options de déploiement.

Prenons l'exemple de notre plateforme IDaaS basée sur le cloud. Cette solution unique vous permet d'effectuer les actions suivantes :

• Élimination des mots de passe faibles
• Atténuation des menaces internes
• Détection des anomalies d'authentification
• Réduction des coûts informatiques
• Amélioration des rapports et de la conformité
• Rationalisation de la productivité