Tribune de Ben Bulpett, EMEA Marketing Director chez SailPoint
Lorsque les gens parlent de gestion des identités et des accès, ils n’abordent souvent qu’une partie du sujet. Ils se concentrent sur le A de IAM (identity and Access Management) - c’est à dire la gestion des accès, le processus permettant aux utilisateurs d’accéder à tous types d’outils, de systèmes et d’applications - et s’arrêtent à la porte en laissant la fenêtre ouverte.
Sans le I dans IAM - la gouvernance des identités - chaque accès devient une vulnérabilité potentielle. Vous avez coché une case pour dire que cet utilisateur est autorisé à franchir votre porte principale, mais vous ne lui avez donné aucune règle à respecter durant sa visite ; rien ne lui indique qu’il doit payer pour les dégâts occasionnés, ou que c’est l’extinction des feux à 11h du soir. Sans la mise en place d’une gouvernance des identités, vous ne pouvez pas répondre à la question : devrait-il avoir accès, vous savez simplement qu’il peut le faire, et c’est tout.
La gouvernance des identités fait clairement partie intégrante de l’’ensemble du processus de l’IAM, mais souvent ceux qui pensent avoir une “solution d’identité” ne s’occupent en fait que de la partie gestion des accès sans aborder l’ensemble du problème.
Liés ensemble comme les deux doigts d’une main
La technologie est devenue si omniprésente dans le monde des entreprises que nous acceptons tous désormais le besoin de contrôler qui a accès à nos systèmes. Adopter une gouvernance des identités peut aider votre organisation à être en conformité avec les réglementations, à réduire ses coûts, à améliorer l’expérience utilisateur et à rendre vos employés plus efficaces. Et rien de tout cela n’a d’intérêt si les accès de vos utilisateurs ne sont pas sécurisés, avec des droits d’accès alignés sur la politique de sécurité de votre entreprise.
Mais que voulons nous dire lorsque nous utilisons les mots “identité” et “accès” ? Les deux sont étroitement liés, mais reposent sur des processus très différents.
Dans le monde digital, l’identité fait référence aux données et aux attributs uniques qui aident à distinguer un utilisateur d’un autre. Ces attributs peuvent inclure la fonction, le rôle dans l’organisation, la position dans la hiérarchie, et même des paramètres tels que l’ancienneté et la localisation en fonction des règles fixées pour la configuration des identités. Cette identité en ligne est établie lorsque vous êtes enregistré dans un système. Vos attributs sont collectés et stockés dans la base de données du système.
D’un autre côté, les décisions d’accès répondent à des questions directes oui/non : cette identité peut-elle accéder à cet endroit ? Lorsque nous saisissons notre mot de passe ou un autre attribut d’identité tel qu’une adresse email ou un nom d’utilisateur pour obtenir l’accès, ces données sont transmises à la base de données du système, et la réponse revient sous la forme de ‘oui’ cette identité est autorisée, ou ‘non’ elle ne l’est pas.
Sans faire correspondre les identités à des droits d’accès, l’organisation peut se retrouver à dire ‘oui’ à tout le monde pour accéder à n’importe quoi. Ceci a pour résultat des utilisateurs qui ont des droits d’accès bien supérieurs à ce qu’ils ont besoin pour leur travail quotidien – ce qui veut dire que les droits sont surévalués – et si l’un de ces utilisateurs est piraté, alors la fenêtre est grande ouverte pour un ‘hacker’ qui peut s’introduire sans encombre dans l’ensemble des systèmes.
Fixer des paramètres pour l’accès et l’autorisation de l’identité
La gouvernance n’est plus une composante juste intéressante mais non indispensable, et disposer d’une politique de gestion des accès n’est plus suffisant. Considérez la chose comme ceci : un badge de sécurité vous permet d’entrer dans un bâtiment, mais ne vous dit pas à quel étage vous devez vous rendre ou à quelles portes vous devez frapper, ni ne vérifie pas qu’il s’agit bien de votre badge. Lorsque votre processus d’autorisation s’arrête sur la question oui/non, vous laissez non seulement entrer n’importe qui dans votre bâtiment, mais vous leur donnez accès à tous vos bureaux, salles de conférence ainsi qu’à la salle des serveurs.
Beaucoup d’entreprises pensent qu’elles “gèrent les identités,” quand tout ce qu’elles font est autoriser les accès. Encore pire, certaines d’entre elles savent qu’elles doivent en faire plus, en développant des processus de gouvernance des identités, mais ne passent pas à l’acte faute de temps. Alors que beaucoup d’intrusions sont le résultat du piratage d’un seul compte utilisateur – une identité dont l’accès a été autorisé sans arrière-pensée, mais qui a fini par provoquer un désastre.
Nous devons donc disposer d’un processus avec lequel l’identité de l’utilisateur peut être établie afin de savoir s’il doit avoir accès ou non. L’identité est la plupart du temps déterminée par un nom d’utilisateur et un mot de passe, mais aujourd’hui nous pouvons y ajouter des moyens biométriques tels qu’une reconnaissance faciale et une lecture d’empreintes digitales, et des jetons de sécurité pour s’assurer que les données d’identité ne puissent être dupliquées par quiconque.
La gestion des identités peut toutefois être plus complexe à mettre en oeuvre dans de plus grandes entreprises, et elle peut passer dans ce cas par l’assignation d’identités basée sur des groupes tels qu’un département ou un site, puis la fixation de rôles pour ces groupes pour déterminer quels accès doivent leur être accordés.
Une fois que l’identité de l’utilisateur est authentifiée, elle déclenche la prise de décision de contrôle d’accès. Si la procédure d’authentification a établi que l’utilisateur doit avoir accès sur la base des données d’identité fournies, alors le processus évalue ces données et prend la décision oui/non.
L’établissement de ce processus doit impliquer toutes les diverses parties prenantes en interne ayant intérêt à protéger les données de l’entreprise et la confidentialité, et cela veut dire faire tomber les barrières entre la sécurité informatique, le support technique, les équipes chargées de la conformité et de l’audit, et toutes les autres personnes qui ont un mot à dire sur les droits d’accès. Un processus pourra alors être mis en place qui couvre tout à la fois ce qui se produit lorsqu’un employé est accueilli dans l’organisation, change de fonction ou de site, ou quitte l’entreprise.
Comment l’automatisation comble le fossé entre la gouvernance des identités et la gestion des accès
La gestion des identités et des accès aide à établir une identité digitale par individu, qui peut alors être maintenue, modifiée et contrôlée tout au long du cycle de vie de l’utilisateur. Mais ceci peut être un processus extrêmement laborieux et gourmand en ressources s’il est effectué manuellement.
Partons du principe que c’est le job de l’équipe informatique d’authentifier et d’établir les identités pour tous les nouveaux engagés, et de continuer à contrôler les accès et faire les ajustements nécessaires au fur et à mesure des évolutions de ces utilisateurs dans l’organisation, puis de fermer les comptes lorsqu’ils quittent l’entreprise. La personne du support technique en charge devra aussi répondre à d’autres questions techniques, telles qu’aider à réinitialiser des mots de passe oubliés ou résoudre des problèmes d’accès plus complexes, en plus de ses autres tâches au sein du service informatique. Elle n’aura pas le temps d’accorder trop d’attention aux identités, et ne sera sans doute pas la meilleure personne pour décider si Marc doit avoir accès pour approuver les notes de frais - il établira simplement l’identité et lui donnera les droits d’accès appropriés.
En associant toutes les parties prenantes pour établir à l’avance les politiques et les processus, vous pourrez rendre la vie du service informatique un peu plus facile. L’utilisation de l’automatisation pour répondre à la question oui/non d’autorisation d’accès pourra être basée sur les règles et politiques fixées sur le point d’accès central, réduisant ainsi la charge de travail de l’équipe informatique et lui permettant de mieux gérer la gouvernance des identités, y compris les décisions d’autorisation d’accès à certaines applications ou données sensibles.
Non seulement cela, mais l’automatisation de la gouvernance des accès et de la gestion des accès pourra accroître la sécurité des applications et des processus organisationnels. Les utilisateurs n’ont souvent pas la meilleure attitude vis à vis de la sécurité - par exemple en utilisant le même mot de passe pour accéder à de multiples systèmes - donc la gouvernance des identités pourra aider votre équipe informatique à suivre, surveiller et contrôler les comptes qui ont accès à des informations sensibles tout en protégeant ces données avec une authentification sécurisée qui va au-delà du tandem nom d’utilisateur mot de passe.
A la fois la gouvernance des identités et la gestion des accès sont des étapes critiques pour permettre à un utilisateur d’accéder aux informations en toute sécurité - mais c’est la partie gouvernance des identités qui vous permet de garder le contrôle de vos systèmes et d’offrir à vos utilisateurs les bons accès au bon moment.