Qu’est-ce que la gestion des identités et des accès (IAM)?

Avec un système IAM, les entreprises peuvent appliquer les mêmes politiques de sécurité dans toute l’entreprise. L’utilisation d’outils tels qu’une solution NAC leur permet de limiter les utilisateurs qui peuvent accéder aux ressources et à quel moment. Cela permet de réduire considérablement le risque que des parties non autorisées voient (ou utilisent accidentellement ou intentionnellement) des données sensibles.

Les méthodes d’IAM comme l’authentification unique (SSO) et la MFA réduisent également le risque que les informations d’authentification des utilisateurs soient compromises ou utilisées de manière abusive, car les utilisateurs n’ont pas besoin de créer et de conserver plusieurs mots de passe. Et parce que les utilisateurs ont besoin d’une autorisation fondée sur des preuves (comme des questions de sécurité, des mots de passe à usage unique ou des facteurs inhérents comme les empreintes digitales) pour accéder à des ressources protégées, il y a moins de chances qu’un acteur malveillant obtienne l’accès à des ressources critiques.

Les systèmes IAM peuvent aider les organisations à répondre aux exigences de nombreux mandats de conformité liés à la sécurité et à la confidentialité des données. Par exemple, l’IAM peut contribuer à la conformité avec la loi HIPAA (Health Insurance Portability and Accountability Act), qui exige des organisations qui traitent des informations de santé protégées qu’elles mettent en œuvre un accès électronique sécurisé aux données de santé.

Les entreprises peuvent utiliser des méthodes d’IAM telles que le SSO, le MFA, le contrôle d’accès basé sur les rôles (RBAC) et les « moindres privilèges » (donnant aux utilisateurs et aux entités telles que les applications logicielles le minimum d’accès requis pour effectuer une tâche) pour répondre au mandat de la loi HIPAA.

L’IAM est également utile aux institutions de services financiers, qui doivent se conformer à la loi Sarbanes-Oxley (SOX). L’article 404 exige que les entreprises mettent en œuvre, testent et documentent des contrôles internes adéquats pour la préparation des rapports financiers et la protection de l’intégrité des données financières dans ces rapports. L’application des politiques de séparation des tâches (SoD) est l’un des nombreux moyens par lesquels les outils et systèmes IAM peuvent aider les entreprises à se conformer aux exigences SOX.

Grâce à des mesures de sécurité telles que le SSO, le MFA ou le RBAC, les organisations peuvent renforcer la sécurité tout en réduisant les obstacles qui empêchent les travailleurs d’être productifs. Les employés ont un accès rapide aux ressources dont ils ont besoin pour effectuer leurs tâches, peu importe où ils travaillent. Avec l’IAM, les employés peuvent se sentir plus confiants de travailler dans un environnement sécurisé.

Un système IAM qui permet le provisionnement automatique des utilisateurs permet également aux employés de demander et d’obtenir facilement un accès autorisé à différentes ressources en cas de besoin, sans alourdir le service informatique ni faire de l’informatique un goulot d’étranglement pour la productivité des employés.

Les solutions IAM peuvent automatiser et standardiser de nombreuses tâches liées à la gestion des identités, des authentifications et des autorisations. Cela signifie que les administrateurs informatiques peuvent consacrer leur temps à des tâches à plus forte valeur ajoutée pour l’entreprise. En outre, de nombreux services IAM sont désormais en nuage, de sorte que la nécessité d’acheter, de mettre en œuvre et de maintenir une infrastructure sur site pour l’IAM peut être considérablement réduite ou éliminée.

Grâce au MFA, les utilisateurs sont invités à fournir une combinaison de facteurs d’authentification pour vérifier leur identité. Outre les noms d’utilisateur et les mots de passe, les entreprises utilisent généralement la méthode du mot de passe à usage unique basé sur le temps (TOTP), qui exige des utilisateurs qu’ils fournissent un code d’accès temporaire qui a été envoyé par SMS, appel téléphonique ou courriel. D’autres systèmes MFA exigent des utilisateurs qu’ils fournissent une authentification biométrique de leur identité, également appelée facteurs inhérents, comme une empreinte digitale ou une analyse d’identification faciale.

Le SSO est un système d’identification couramment utilisé dans les entreprises pour vérifier l’identité des utilisateurs. Il permet à un utilisateur autorisé de se connecter en toute sécurité à plusieurs applications SaaS et sites Web en utilisant un seul ensemble d’informations d’authentification (nom d’utilisateur et mot de passe). Le SSO peut être considéré comme une version automatisée du MFA. Les systèmes SSO authentifient les utilisateurs avec le MFA, puis à l’aide de jetons logiciels, partagent cette authentification avec plusieurs applications. Le SSO peut également être utilisé pour empêcher l’accès à des ressources ou à des emplacements désignés, tels que des sites Web et des plateformes externes.

L’avantage de l’approche SSO pour l’IAM (outre un processus de connexion plus transparent pour les utilisateurs finaux) est qu’elle donne aux administrateurs informatiques la possibilité de définir les autorisations, de réguler l’accès des utilisateurs et de provisionner ou de déprovisionner facilement les utilisateurs.

La fédération autorise le SSO sans mot de passe. En utilisant un protocole d’identité standard, comme le langage SAML (Security Assertion Markup Language) ou WS-Federation, un serveur de fédération présente un jeton (données d’identité) à un système ou une application avec lequel il a établi une relation de confiance. Grâce à cette confiance, les utilisateurs peuvent alors se déplacer librement entre les domaines connectés sans avoir à se ré-authentifier.

De nombreuses grandes entreprises utilisent le RBAC, une méthode permettant de restreindre l’accès aux réseaux, aux données sensibles et aux applications critiques en fonction du rôle et des responsabilités d’une personne au sein d’une organisation. Le RBAC est également connu sous le nom de gouvernance de l’accès. Les rôles définis dans le RBAC peuvent inclure des utilisateurs finaux, des administrateurs ou des entrepreneurs tiers. Un rôle peut être basé sur l’autorité, l’emplacement, la responsabilité ou la compétence professionnelle d’un utilisateur. Les rôles sont parfois regroupés (par exemple, le marketing ou les ventes) afin que les utilisateurs ayant des responsabilités similaires dans une organisation et qui collaborent fréquemment puissent accéder aux mêmes ressources.

En appliquant un cadre de sécurité Zero Trust dans le RBAC, où des contrôles d’accès très stricts sont maintenus avec tous les utilisateurs qui demandent l’accès à des ressources professionnelles, les entreprises peuvent empêcher davantage les accès non autorisés, et même contenir les violations et réduire le risque de mouvement latéral d’un agresseur à travers le réseau.