Pour bénéficier d’une expérience Web optimale, utilisez Internet Explorer 11 ou version ultérieure, Chrome, Firefox, ou Safari.

Qu’est-ce que la gestion des accès et des identités (IAM) ?

Concepts relatifs à la gestion des accès et des identités

Qu’est-ce que la gestion des accès et des identités ?

La gestion des accès et des identités (IAM) garantit que les utilisateurs et rôles appropriés de votre entreprise (identités) ont accès aux outils dont ils ont besoin pour faire leur travail. Les systèmes de gestion des accès et des identités permettent à votre entreprise de gérer les applications des employés sans avoir à se connecter à chacune d’elles en tant qu’administrateur. Les systèmes de gestion des accès et des identités permettent à votre entreprise de gérer un large éventail d’identités : utilisateurs, logiciels et matériel comme les appareils robotiques et IoT.

Pourquoi avez-vous besoin d’un système IAM ?

Les entreprises ont besoin d’un système IAM pour assurer la sécurité en ligne et augmenter la productivité de leurs collaborateurs.

  • Sécurité. Les dispositifs de sécurité traditionnels ont un point de défaillance : le mot de passe. En cas de violation du mot de passe d’un utilisateur, ou pire, de son adresse e-mail de récupération de mot de passe, votre entreprise devient vulnérable aux attaques. Les services IAM limitent les points de défaillance et les renforcent avec des outils qui permettent de repérer les erreurs au moment où elles sont commises.
  • Productivité. Une fois connecté à votre portail IAM principal, votre employé n’a plus à se soucier d’avoir le bon mot de passe ou le niveau d’accès approprié pour effectuer ses tâches. Non seulement chaque employé a accès à une suite d’outils parfaitement adaptée à son travail, mais ces accès peuvent être gérés par groupe ou par rôle et non individuellement, ce qui réduit la charge de travail de votre équipe informatique.

La gestion des accès et des identités améliore-t-elle la conformité aux normes en vigueur ?

La sécurité est également une affaire de lois, de réglementations et de contrats. Les standards de protection des données comme le Règlement général sur la protection des données en Europe, et les lois HIPPA et Sarbanes-Oxley aux États-Unis appliquent des normes strictes en matière de sécurité des données. Avec une solution IAM, vos utilisateurs et votre entreprise ont la garantie que les standards les plus stricts en matière de sécurité, de suivi et de transparence administrative sont appliqués dans vos opérations quotidiennes.

Comment fonctionne une solution IAM ?

Les solutions de gestion des identités exécutent généralement deux tâches :

  1. Un système IAM confirme que l’utilisateur, le logiciel ou le matériel sont bien qui ils prétendent être en l’authentifiant par comparaison de ses informations d’identification à celles de la base de données. Les outils IAM Cloud sont plus sécurisés et flexibles que les solutions traditionnelles basées sur les noms d’utilisateur et les mots de passe.
  2. Les systèmes de gestion des accès et des identités accordent uniquement le niveau d’accès approprié. Plutôt que d’accorder l’accès à une suite logicielle entière à partir d’un nom d’utilisateur et d’un mot de passe, une solution IAM permet d’accorder des accès à des groupes plus restreints, par exemple éditeur, lecteur et commentateur dans un système de gestion du contenu.
Authentification et permissions

Quelles sont les fonctionnalités d’un système IAM ?

Les systèmes IAM proposent cette fonctionnalité principale :

 

TÂCHE

OUTILS

Gestion des identités utilisateurs

Les systèmes IAM peuvent être le seul répertoire utilisé pour créer, modifier et supprimer des utilisateurs, ou ils peuvent s’intégrer avec un ou plusieurs répertoires et se synchroniser avec eux. Les solutions de gestion des accès et des identités peuvent également créer des identités pour les utilisateurs ayant besoin d’un type d’accès spécialisé aux outils d’une entreprise.

Provisioning et déprovisioning des utilisateurs

La spécification des outils et niveaux d’accès (éditeur, lecteur, administrateur) à accorder à un utilisateur s’appelle le provisioning. Les outils IAM permettent aux départements informatiques de provisionner les utilisateurs par rôle, département ou autre en accord avec les responsables du département. La définition de l’accès de chaque individu à toutes les ressources prend énormément de temps, c’est pourquoi les systèmes de gestion des identités permettent le provisioning via des règles définies par un contrôle d’accès basé sur les rôles (RBAC). Un ou plusieurs rôles sont attribués aux utilisateurs, généralement en fonction de leur poste, et le système IAM RBAC leur accorde automatiquement l’accès. Le provisioning fonctionne également dans l’autre sens : pour éviter les risques de sécurité que représente l’accès des anciens employés aux systèmes, la solution IAM permet à votre entreprise de supprimer rapidement ces accès.

Authentification des utilisateurs

Les systèmes IAM authentifient les utilisateurs en confirmant qu’ils sont qui ils prétendent être. Aujourd’hui, une authentification sécurisée passe par une authentification multifacteur (MFA) et, de préférence, une authentification adaptative.

Donner des permissions aux utilisateurs

Avec la gestion des identités, vous avez la garantie que l’utilisateur bénéficie du niveau et du type d’accès approprié à un outil donné. Pour accorder les mêmes privilèges à une grande cohorte d’utilisateurs, ces derniers peuvent être classés par groupe ou par rôle.

Création de rapports

Les outils IAM génèrent des rapports après chaque action effectuée sur la plateforme ou presque (heure de connexion, systèmes consultés et type d’authentification) pour garantir la conformité et évaluer les risques de sécurité

Authentification unique

Les solutions de gestion des accès et des identités avec authentification unique (SSO) permettent aux utilisateurs d’authentifier leur identité via un portail et non plus à partir de différentes ressources. Après l’authentification, le système IAM est la source de vérité unique concernant les identités pour les autres ressources accessibles à l’utilisateur, qui n’a plus à retenir plusieurs mots de passe.

Quelle est la différence entre la gestion des identités et la gestion des accès ?

La fonction de gestion des identités permet de confirmer qui vous êtes et stocke des informations sur vous. Une base de données de gestion des identités contient des informations sur votre identité, par exemple votre poste et vos subordonnés directs, et il vérifie que vous êtes en effet la personne décrite dans la base de données.

La fonction de gestion des accès utilise les informations relatives à votre identité pour déterminer à quelles suites logicielles vous avez accès et ce que vous êtes autorisé à y faire. La gestion des accès garantit que chaque responsable avec des subordonnés directs a accès à une application pour l’approbation des feuilles de temps, mais qu’il n’a pas l’autorisation d’approuver ses propres feuilles de temps.

IAM Cloud et IAM sur site

Auparavant, la plupart des solutions de gestion des accès et des identités étaient gérées par un serveur dans les installations physiques de l’entreprise. On les appelle des solutions sur site. La plupart des services IAM sont désormais gérés par un fournisseur dans le Cloud afin d’éviter les coûts de la maintenance physique à l’entreprise, et garantir la continuité des activités, des systèmes distribués et redondants et des SLA courts.

Qu’est-ce qu’AWS Identity and Access Management ?

Amazon Web Services (AWS) Identity and Access Management est simplement le système IAM intégré dans AWS. Avec AWS IAM, vous pouvez créer des utilisateurs et des groupes AWS et leur accorder ou leur refuser l’accès aux services et ressources AWS. AWS IAM est disponible gratuitement.

Le service AWS IAM fournit :

  • Un contrôle des accès granulaire aux ressources AWS
  • Une authentification multifacteur AWS
  • Des fonctionnalités d’analyse pour valider et affiner les règles
  • L’intégration avec des solutions de gestion des identités externes

De quels outils ai-je besoin pour mettre en œuvre la gestion des accès et des identités ?

Les outils nécessaires à l’implémentation d’un système IAM incluent des outils de gestion des mots de passe, des logiciels de provisioning, des applications de mise en œuvre des règles de sécurité, des applications de création de rapports et de surveillance et des référentiels d’identités. Les outils IAM peuvent notamment inclure :

  • MFA
    Avec l’authentification multifacteur, votre fournisseur IAM requiert plusieurs types de preuves confirmant votre identité. Il peut par exemple typiquement demander un mot de passe et une empreinte digitale. D’autres facteurs incluent la reconnaissance faciale, la reconnaissance de l’iris et des jetons physiques comme un Yubikey.

  • SSO
    SSO signifie single sign-on, ou authentification unique. Si votre solution IAM propose l’authentification unique, vos utilisateurs ont alors la possibilité de se connecter une seule fois, et d’utiliser l’outil de gestion des accès et des identités comme un « portail » aux autres suites logicielles auxquelles ils ont accès, tout cela sans avoir à se reconnecter.

Qu’implique une stratégie de mise en œuvre IAM ?

Pierre angulaire d’une architecture Zero Trust, une solution IAM devrait être mise en œuvre en utilisant des principes Zero Trust comme les accès avec niveau de privilèges minimal et des règles de sécurité basées sur les identités.

  • Gestion centralisée des identités
    L’un des principes clés d’une sécurité Zero Trust est la gestion des accès aux ressources au niveau des identités. Par conséquent, une gestion centralisée de ces identités peut grandement simplifier cette approche. Cela peut impliquer la migration des utilisateurs à partir d’autres systèmes ou au moins la synchronisation de votre solution IAM avec d’autres répertoires d’utilisateurs dans votre environnement, comme un répertoire Ressources humaines.

  • Accès sécurisé
    La sécurisation des accès au niveau des identités est essentielle. C’est pourquoi une solution IAM devrait toujours vérifier l’identité des utilisateurs connectés. Cela peut impliquer la mise en œuvre de l’authentification MFA ou la combinaison d’une authentification multifacteur et d’une authentification adaptative pour la prise en compte du contexte de la tentative de connexion : lieu, heure, appareil, etc.

  • Contrôle basé sur des règles
    Les utilisateurs ne devraient avoir que les permissions relatives aux tâches qui leur reviennent et ne pas avoir plus de privilèges que nécessaire. Une solution IAM devrait être conçue pour donner aux utilisateurs un accès aux ressources en fonction de leur rôle, de leur département ou de tout autre attribut approprié. Dans le cadre d’une solution de gestion des identités centralisée, ces règles peuvent alors garantir que les ressources sont sécurisées, quelle que soit l’origine de la tentative d’accès.

  • Politique Zero Trust
    Avec une politique Zero Trust, la solution IAM d’une entreprise surveille et sécurise les points d’accès et l’identité de ses utilisateurs en continu. Auparavant, les entreprises utilisaient une règle du type « une fois connecté, vous avez accès à tout ». Mais avec les politiques Zero Trust, chaque membre de l’entreprise est identifié, et ses accès gérés, en continu.

  • Comptes à privilèges sécurisés
    Tous les comptes d’un système de gestion des accès ne se valent pas. Les comptes avec des outils spéciaux ou un accès privilégié à des informations sensibles peuvent bénéficier d’un niveau de sécurité et de support adapté à leur statut de gardien de l’entreprise.

  • Formation et support
    Les fournisseurs de solutions IAM proposent des formations aux personnes qui interagiront le plus avec le produit, y compris les utilisateurs et les administrateurs, et offrent souvent un service client pour la longévité de votre installation IAM et de ses utilisateurs.

Technologies IAM

Une solution IAM est censée pouvoir s’intégrer avec de nombreux systèmes différents. De ce fait, un certain nombre de standards et de technologies doivent être pris en charge par tous les systèmes IAM : SAML (Security Access Markup Language), OpenID Connect et SCIM (System for Cross-domain Identity Management).

  • SAML (Security Access Markup Language)
    SAML est un standard ouvert utilisé pour échanger des informations d’authentification et de permission entre le système d’un fournisseur d’identité, par exemple une solution IAM, et un service ou une application. Il s’agit de la méthode la plus couramment utilisée dans les solutions IAM : permettre à un utilisateur de se connecter à une application intégrée avec la plateforme IAM.

  • OIDC (OpenID Connect)
    OIDC est un standard ouvert plus récent qui permet également aux utilisateurs de se connecter à leurs applications à partir d’un fournisseur d’identité. Il est très similaire à SAML, mais il repose sur les standards OAuth 2.0 et utilise JSON pour la transmission des données au lieu du format XML utilisé par SAML.

  • SCIM (System for Cross-domain Identity Management)
    SCIM est le standard utilisé pour échanger automatiquement les informations d’identité entre deux systèmes. Même si les standards SAML et OIDC peuvent transmettre des informations d’identité à une application pendant le processus d’authentification, SCIM permet de mettre les informations utilisateurs à jour : dès que de nouveaux utilisateurs sont attribués au service ou à l’application, dès que des données utilisateurs sont mises à jour, ou dès que des utilisateurs sont supprimés. Le standard SCIM est un composant essentiel du provisioning des utilisateurs dans l’espace IAM.