Pour bénéficier d’une expérience Web optimale, utilisez Internet Explorer 11 ou version ultérieure, Chrome, Firefox, ou Safari.
Home / Identity and Access Management 101 / Qu’est-ce que la gestion des accès dans la gestion des accès et des identités ?

Qu’est-ce que la gestion des accès dans la gestion des accès et des identités ?

La gestion des accès (AM, pour Access Management) désigne l’ensemble des outils, politiques et procédures utilisés pour contrôler et gérer l’accès des utilisateurs au sein de l’écosystème informatique d’une entreprise. Elle permet aux organisations de suivre, de gérer et de contrôler les autorisations d’accès des utilisateurs à différents types de ressources informatiques de l’entreprise, tels que les appareils, les fichiers, les services et les données.

Dans le cadre d’une solution de gestion des accès et des identités (IAM), un outil de gestion des accès garantit que seuls les utilisateurs adéquats ont accès à ces ressources et uniquement pour des raisons valables. Il permet aux entreprises d’autoriser les utilisateurs légitimes et d’empêcher les utilisateurs non autorisés d’accéder aux ressources stratégiques de l’entreprise ou aux données sensibles. Il protège ainsi les organisations contre les violations de données et les cyberattaques.

Dans l’IAM, la gestion des identités consiste à authentifier les utilisateurs pour confirmer qu’ils sont autorisés à accéder à un système d’entreprise. La gestion des accès va plus loin en contrôlant l’accès d’un utilisateur autorisé. L’objectif est de s’assurer qu’il ne peut accéder qu’à des systèmes ou à des comptes spécifiques, ou qu’il ne peut effectuer que certaines actions afin de protéger le réseau contre les utilisateurs non autorisés ou malveillants.

Qu’est-ce que la gestion des accès ?

La gestion des accès consiste à contrôler et à gérer l’accès des utilisateurs légitimes (humains et non humains) aux ressources informatiques de l’entreprise, tant sur site que dans le Cloud. Son objectif est de garantir que les utilisateurs autorisés ont accès aux ressources dont ils ont besoin tout en interdisant l’accès aux utilisateurs non autorisés.

Les utilisateurs autorisés peuvent être des :

  • Collaborateurs
  • Clients
  • Tiers, par exemple fournisseurs, partenaires, prestataires, sous-traitants, etc.
  • API
  • Clés d’application
  • Conteneurs Cloud

Les ressources informatiques de l’entreprise peuvent être des :

  • Terminaux
  • Serveurs
  • Contrôleurs
  • Capteurs
  • Applications
  • Services
  • Données

Qu’est-ce qu’un système de gestion des accès ?

Un système de gestion des accès, également appelé système de gestion des accès sécurisé, établit une identité numérique par utilisateur (individu ou appareil). La gestion des accès maintient et contrôle cette identité tout au long du cycle de vie de l’accès de l’utilisateur.

En contrôlant chaque utilisateur, ainsi que ses niveaux d’accès et ses autorisations, le système contribue à protéger l’organisation contre les accès non autorisés qui pourraient entraîner une violation des données ou une cyberattaque.

La gestion des accès se compose de quatre éléments clés :

  1. Un annuaire pour définir et identifier les utilisateurs autorisés
  2. Des outils permettant d’ajouter, de modifier et de supprimer des données utilisateur tout au long du cycle de vie de leur accès
  3. Des fonctionnalités permettant de surveiller et de contrôler l’accès des utilisateurs
  4. Des fonctionnalités permettant d’auditer l’accès et de générer des rapports

Les meilleurs systèmes de gestion des accès ont de nombreux atouts :

  • Administration des privilèges d’accès et gestion des accès des utilisateurs de manière cohérente dans l’ensemble de l’infrastructure informatique
  • Suivi de l’activité des utilisateurs et des tentatives de connexion (autorisées ou non)
  • Gestion des autorisations
  • Gestion transparente de l’intégration et du départ des utilisateurs en temps voulu

Exemples de gestion des accès

Exemple 1. Un collaborateur doit accéder à une base de données dans le Cloud. Il saisit ses identifiants de connexion sur l’écran d’ouverture de session. Le système de gestion des accès vérifie son niveau d’accès et ses autorisations pour s’assurer qu’il est autorisé à accéder à la base de données. En fonction des autorisations définies dans le système, il peut soit consulter, soit modifier la base de données.

Exemple 2. Un chef d’équipe doit approuver les feuilles de temps des membres de son équipe. Une fois connecté au portail des feuilles de temps, il peut consulter toutes les feuilles de temps et les approuver ou les rejeter, le cas échéant. Cependant, il ne peut pas approuver ou rejeter sa propre feuille de temps, ce que seul son responsable ou superviseur peut faire.

Les risques d’un mauvais contrôle d’accès

Sans un solide système de gestion des accès, l’entreprise ne sera pas en mesure de contrôler qui accède à ses ressources, quand et pourquoi. Les équipes de sécurité ne peuvent pas confirmer que seuls les utilisateurs autorisés peuvent accéder aux systèmes et aux données de l’entreprise et que ces utilisateurs ont accès aux ressources dont ils ont besoin pour faire leur travail.

Elles ne peuvent pas non plus vérifier si des utilisateurs non autorisés disposent d’autorisations qu’ils ne devraient pas avoir du tout, ce qui est tout aussi important.

Toutes ces faiblesses rendent l’organisation vulnérable à un certain nombre de risques :

  • Fuites accidentelles de données. Une personne autorisée à accéder à des ressources informatiques sensibles (même si elle n’a pas besoin de cet accès dans le cadre de son rôle) pourrait accidentellement déclencher une fuite de données en raison d’une négligence ou de mauvaises habitudes en matière de cybersécurité. Elle pourrait également partager ces informations avec les mauvais destinataires.
  • Intervenants internes et externes malveillants. Des intervenants malveillants à l’intérieur ou à l’extérieur de l’organisation peuvent profiter de la faiblesse des mécanismes de contrôle d’accès pour s’introduire dans les systèmes de l’entreprise afin d’installer des logiciels malveillants ou des rançongiciels, de voler des secrets d’affaires pour le compte d’un concurrent ou d’exposer des informations sur les clients pour nuire à la réputation de l’organisation.
  • Violations de données. Une mauvaise gestion des accès peut permettre à des personnes externes d’accéder aux informations d’identification ou aux profils d’utilisateurs légitimes pour pirater les systèmes de l’entreprise et accéder à des données sensibles, les voler, les modifier ou les exfiltrer.

La gestion sécurisée des accès peut prévenir ces problèmes. Les outils de gestion des accès permettent aux équipes informatiques d’assurer le provisioning des utilisateurs avec précision et d’éviter d’accorder à ces derniers des privilèges d’accès excessifs susceptibles d’entraîner des violations de données ou des cyberattaques. Ils contribuent ainsi à renforcer les défenses de l’entreprise et à la protéger contre les individus malveillants et les salariés négligents.

Principales caractéristiques des outils et systèmes de contrôle d’accès

Pour garantir une sécurité continue et fiable de l’entreprise, les systèmes de contrôle d’accès doivent offrir les fonctionnalités suivantes.

Fluidité du provisioning des utilisateurs

Pour maintenir la sécurité de l’entreprise, les administrateurs doivent être en mesure de réaliser facilement le provisioning et le déprovisioning des comptes d’utilisateurs avec le système de gestion des accès en effectuant les opérations suivantes de manière transparente :

  • Ajout et activation de nouveaux utilisateurs
  • Désactivation et suppression des utilisateurs qui ne sont plus actifs ou pertinents, par exemple les utilisateurs qui ont quitté l’organisation
  • Modification des utilisateurs, par exemple les utilisateurs qui ont changé de service et qui ont besoin d’autorisations ou de niveaux d’accès différents

Modèles spécifiques à un rôle

Il est plus facile pour les administrateurs de créer de nouveaux comptes d’utilisateurs à l’aide de modèles standardisés spécifiques à un rôle. Il leur suffit de sélectionner le bon modèle et de le modifier en fonction des exigences d’accès de l’utilisateur ou de l’organisation.

Portail d’autorisations en libre-service

Un portail en libre-service permet à des utilisateurs tels que des employés ou des tiers de demander des autorisations d’accès directement aux propriétaires des données plutôt qu’aux administrateurs. Le propriétaire peut examiner ces demandes et soit les accepter et fournir l’accès demandé, soit les rejeter. Quoi qu’il en soit, le portail confie les droits d’accès aux données aux propriétaires des données, qui peuvent ainsi mieux contrôler qui peut (et ne peut pas) accéder à leurs données.

Informations sur les comptes à haut risque

Les outils de gestion des accès doivent permettre aux administrateurs de suivre les comptes à haut risque. Cela peut les aider à contrôler les niveaux d’autorisation et à empêcher les salariés malveillants d’utiliser ces comptes pour attaquer l’organisation de l’intérieur.

Certains outils permettent également aux administrateurs de surveiller, d’analyser et d’examiner Active Directory et la stratégie de groupe afin de visualiser les modifications récentes et d’identifier qui les a effectuées et à quel moment.

Intégration à d’autres systèmes d’entreprise

Un système de gestion des accès complet doit s’intégrer à d’autres systèmes d’autorisation tels qu’Active Directory et les autorisations NTFS, afin que les équipes de sécurité puissent réaliser efficacement un certain nombre d’actions :

  • Voir les membres des groupes et les droits d’accès à partir d’un emplacement centralisé
  • Identifier quel utilisateur a accès à quel système ou à quelles données
  • Obtenir une visibilité sur les comptes à privilèges

Fonctionnalités visuelles intuitives

Les visualisations offrent une visibilité plus intuitive et plus rapide de l’ensemble de l’écosystème des accès. Des cartes, des arborescences, des tableaux de bord et des rapports visuels permettent au personnel de sécurité de savoir qui a accès à quelles ressources. Le personnel de sécurité peut également prendre des décisions plus rapides concernant la modification ou la révocation des autorisations pour certains utilisateurs ou pour certaines ressources. Un système de gestion des accès qui fournit de telles visualisations est particulièrement utile pour les équipes de sécurité très occupées dans les organisations de grande taille ou en pleine croissance.

Conformité garantie

Les organisations qui doivent se conformer aux réglementations en matière de sécurité des données telles que l’HIPAA, le RGPD ou la norme PCI DSS ont besoin d’un accès facile aux enregistrements des accès des utilisateurs. Pour atteindre et démontrer leur conformité, elles doivent réaliser le suivi de ces enregistrements, vérifier les droits d’accès et examiner les activités d’accès.

Un système de gestion des accès efficace doit afficher rapidement toutes ces informations afin que les administrateurs puissent générer des rapports de conformité approfondis et prendre rapidement des mesures pour combler les lacunes en matière de conformité.

Gestion des identités et gestion des accès

La gestion des identités et la gestion des accès sont toutes deux des composantes de l’univers plus large de la gestion des accès et des identités. Elles fonctionnent ensemble, mais ne sont pas identiques.

  • La gestion des identités se concentre sur l’authentification. Elle permet à une organisation d’identifier les utilisateurs (internes et externes) qui sont autorisés à accéder à ses ressources informatiques. Pour simplifier, elle vérifie l’identité d’un utilisateur pour confirmer qu’il est bien celui qu’il prétend être.
  • La gestion des accès concerne l’autorisation. Son objectif est de s’assurer qu’un utilisateur particulier ne peut accéder qu’aux ressources ou aux données auxquelles il est autorisé à accéder. Ainsi, s’il est possible qu’un utilisateur n’ait le droit que de consulter un fichier, un autre peut avoir le droit de le consulter et de le modifier. Un troisième utilisateur peut être autorisé à visualiser, modifier, télécharger et même remplacer le fichier. Le système de gestion des accès gère toutes ces autorisations afin de garantir que chaque utilisateur ne peut accéder et agir que sur des ressources spécifiques.

Conclusion

Un système de gestion des accès robuste rationalise le processus d’attribution, de surveillance et de gestion de l’accès des utilisateurs aux ressources et aux données de l’entreprise. Il garantit que les utilisateurs autorisés (et uniquement ces utilisateurs) peuvent accéder aux ressources et aux données informatiques de l’entreprise. Il stocke les données des utilisateurs en fonction de leur rôle et de leur profil, et veille à ce qu’ils respectent les politiques de sécurité et d’accès de l’entreprise conformément aux rôles qui leur ont été attribués. Dans un système d’IAM, la gestion des accès et la gestion des identités fonctionnent ensemble pour surveiller les identités des utilisateurs et contrôler l’accès. Fondamentalement, ils empêchent les utilisateurs non autorisés de nuire à l’organisation et la protègent contre les cyberattaques et les failles de sécurité.

La solution OneLogin

Fournir une gestion des accès basée dans le Cloud pour l’entreprise moderne.
Voir la démonstration