Qu’est-ce que la gestion des accès et des identités (IAM) ?

La gestion des accès et des identités (IAM) garantit que les utilisateurs et rôles appropriés de votre entreprise (identités) ont accès aux outils dont ils ont besoin pour faire leur travail. Les systèmes de gestion des accès et des identités permettent à votre entreprise de gérer les applications des employés sans avoir à se connecter à chacune d’elles en tant qu’administrateur. Les systèmes de gestion des accès et des identités permettent à votre entreprise de gérer un large éventail d’identités : utilisateurs, logiciels et matériel comme les appareils robotiques et IoT.

Les entreprises ont besoin d’un système IAM pour assurer la sécurité en ligne et augmenter la productivité de leurs collaborateurs.

• Sécurité. Les dispositifs de sécurité traditionnels ont un point de défaillance : le mot de passe. En cas de violation du mot de passe d’un utilisateur, ou pire, de son adresse e-mail de récupération de mot de passe, votre entreprise devient vulnérable aux attaques. Les services IAM limitent les points de défaillance et les renforcent avec des outils qui permettent de repérer les erreurs au moment où elles sont commises.
• Productivité. Une fois connecté à votre portail IAM principal, votre employé n’a plus à se soucier d’avoir le bon mot de passe ou le niveau d’accès approprié pour effectuer ses tâches. Non seulement chaque employé a accès à une suite d’outils parfaitement adaptée à son travail, mais ces accès peuvent être gérés par groupe ou par rôle et non individuellement, ce qui réduit la charge de travail de votre équipe informatique.

La sécurité est également une affaire de lois, de réglementations et de contrats. Les standards de protection des données comme le Règlement général sur la protection des données en Europe, et les lois HIPPA et Sarbanes-Oxley aux États-Unis appliquent des normes strictes en matière de sécurité des données. Avec une solution IAM, vos utilisateurs et votre entreprise ont la garantie que les standards les plus stricts en matière de sécurité, de suivi et de transparence administrative sont appliqués dans vos opérations quotidiennes.

Les solutions de gestion des identités exécutent généralement deux tâches :

1. Un système IAM confirme que l’utilisateur, le logiciel ou le matériel sont bien qui ils prétendent être en l’authentifiant par comparaison de ses informations d’identification à celles de la base de données. Les outils IAM Cloud sont plus sécurisés et flexibles que les solutions traditionnelles basées sur les noms d’utilisateur et les mots de passe.
2. Les systèmes de gestion des accès et des identités accordent uniquement le niveau d’accès approprié. Plutôt que d’accorder l’accès à une suite logicielle entière à partir d’un nom d’utilisateur et d’un mot de passe, une solution IAM permet d’accorder des accès à des groupes plus restreints, par exemple éditeur, lecteur et commentateur dans un système de gestion du contenu.

Les systèmes IAM proposent cette fonctionnalité principale :

La fonction de gestion des identités permet de confirmer qui vous êtes et stocke des informations sur vous. Une base de données de gestion des identités contient des informations sur votre identité, par exemple votre poste et vos subordonnés directs, et il vérifie que vous êtes en effet la personne décrite dans la base de données.

La fonction de gestion des accès utilise les informations relatives à votre identité pour déterminer à quelles suites logicielles vous avez accès et ce que vous êtes autorisé à y faire. La gestion des accès garantit que chaque responsable avec des subordonnés directs a accès à une application pour l’approbation des feuilles de temps, mais qu’il n’a pas l’autorisation d’approuver ses propres feuilles de temps.

Auparavant, la plupart des solutions de gestion des accès et des identités étaient gérées par un serveur dans les installations physiques de l’entreprise. On les appelle des solutions sur site. La plupart des services IAM sont désormais gérés par un fournisseur dans le Cloud afin d’éviter les coûts de la maintenance physique à l’entreprise, et garantir la continuité des activités, des systèmes distribués et redondants et des SLA courts.

Amazon Web Services (AWS) Identity and Access Management est simplement le système IAM intégré dans AWS. Avec AWS IAM, vous pouvez créer des utilisateurs et des groupes AWS et leur accorder ou leur refuser l’accès aux services et ressources AWS. AWS IAM est disponible gratuitement.

Le service AWS IAM fournit :

• Un contrôle des accès granulaire aux ressources AWS
• Une authentification multifacteur AWS
• Des fonctionnalités d’analyse pour valider et affiner les règles
• L’intégration avec des solutions de gestion des identités externes

Les outils nécessaires à l’implémentation d’un système IAM incluent des outils de gestion des mots de passe, des logiciels de provisioning, des applications de mise en œuvre des règles de sécurité, des applications de création de rapports et de surveillance et des référentiels d’identités. Les outils IAM peuvent notamment inclure :

• MFA
  Avec l’authentification multifacteur, votre fournisseur IAM requiert plusieurs types de preuves confirmant votre identité. Il peut par exemple typiquement demander un mot de passe et une empreinte digitale. D’autres facteurs incluent la reconnaissance faciale, la reconnaissance de l’iris et des jetons physiques comme un Yubikey.

• SSO
  SSO signifie single sign-on, ou authentification unique. Si votre solution IAM propose l’authentification unique, vos utilisateurs ont alors la possibilité de se connecter une seule fois, et d’utiliser l’outil de gestion des accès et des identités comme un « portail » aux autres suites logicielles auxquelles ils ont accès, tout cela sans avoir à se reconnecter.

Pierre angulaire d’une architecture Zero Trust, une solution IAM devrait être mise en œuvre en utilisant des principes Zero Trust comme les accès avec niveau de privilèges minimal et des règles de sécurité basées sur les identités.

• Gestion centralisée des identités
  L’un des principes clés d’une sécurité Zero Trust est la gestion des accès aux ressources au niveau des identités. Par conséquent, une gestion centralisée de ces identités peut grandement simplifier cette approche. Cela peut impliquer la migration des utilisateurs à partir d’autres systèmes ou au moins la synchronisation de votre solution IAM avec d’autres répertoires d’utilisateurs dans votre environnement, comme un répertoire Ressources humaines.

• Accès sécurisé
  La sécurisation des accès au niveau des identités est essentielle. C’est pourquoi une solution IAM devrait toujours vérifier l’identité des utilisateurs connectés. Cela peut impliquer la mise en œuvre de l’authentification MFA ou la combinaison d’une authentification multifacteur et d’une authentification adaptative pour la prise en compte du contexte de la tentative de connexion : lieu, heure, appareil, etc.

• Contrôle basé sur des règles
  Les utilisateurs ne devraient avoir que les permissions relatives aux tâches qui leur reviennent et ne pas avoir plus de privilèges que nécessaire. Une solution IAM devrait être conçue pour donner aux utilisateurs un accès aux ressources en fonction de leur rôle, de leur département ou de tout autre attribut approprié. Dans le cadre d’une solution de gestion des identités centralisée, ces règles peuvent alors garantir que les ressources sont sécurisées, quelle que soit l’origine de la tentative d’accès.

• Politique Zero Trust
  Avec une politique Zero Trust, la solution IAM d’une entreprise surveille et sécurise les points d’accès et l’identité de ses utilisateurs en continu. Auparavant, les entreprises utilisaient une règle du type « une fois connecté, vous avez accès à tout ». Mais avec les politiques Zero Trust, chaque membre de l’entreprise est identifié, et ses accès gérés, en continu.

• Comptes à privilèges sécurisés
  Tous les comptes d’un système de gestion des accès ne se valent pas. Les comptes avec des outils spéciaux ou un accès privilégié à des informations sensibles peuvent bénéficier d’un niveau de sécurité et de support adapté à leur statut de gardien de l’entreprise.

• Formation et support
  Les fournisseurs de solutions IAM proposent des formations aux personnes qui interagiront le plus avec le produit, y compris les utilisateurs et les administrateurs, et offrent souvent un service client pour la longévité de votre installation IAM et de ses utilisateurs.

Une solution IAM est censée pouvoir s’intégrer avec de nombreux systèmes différents. De ce fait, un certain nombre de standards et de technologies doivent être pris en charge par tous les systèmes IAM : SAML (Security Access Markup Language), OpenID Connect et SCIM (System for Cross-domain Identity Management).

• SAML (Security Access Markup Language)
  SAML est un standard ouvert utilisé pour échanger des informations d’authentification et de permission entre le système d’un fournisseur d’identité, par exemple une solution IAM, et un service ou une application. Il s’agit de la méthode la plus couramment utilisée dans les solutions IAM : permettre à un utilisateur de se connecter à une application intégrée avec la plateforme IAM.

• OIDC (OpenID Connect)
  OIDC est un standard ouvert plus récent qui permet également aux utilisateurs de se connecter à leurs applications à partir d’un fournisseur d’identité. Il est très similaire à SAML, mais il repose sur les standards OAuth 2.0 et utilise JSON pour la transmission des données au lieu du format XML utilisé par SAML.

• SCIM (System for Cross-domain Identity Management)
  SCIM est le standard utilisé pour échanger automatiquement les informations d’identité entre deux systèmes. Même si les standards SAML et OIDC peuvent transmettre des informations d’identité à une application pendant le processus d’authentification, SCIM permet de mettre les informations utilisateurs à jour : dès que de nouveaux utilisateurs sont attribués au service ou à l’application, dès que des données utilisateurs sont mises à jour, ou dès que des utilisateurs sont supprimés. Le standard SCIM est un composant essentiel du provisioning des utilisateurs dans l’espace IAM.