Pour bénéficier d’une expérience Web optimale, utilisez Internet Explorer 11 ou version ultérieure, Chrome, Firefox, ou Safari.

Qu’est-ce que la gouvernance et l’administration des identités (IGA) ?

Comprendre les systèmes de gouvernance et d’administration des identités

La gouvernance et l’administration des identités (IGA) permet aux administrateurs de sécurité de gérer efficacement les identités et les accès des utilisateurs dans l’entreprise. Elle améliore la visibilité qu’ils ont sur les privilèges des identités et des accès, et aide à mettre en œuvre les contrôles nécessaires pour éviter tout accès inadéquat ou risqué.

L’IGA combine la gouvernance des identités et l’administration des identités. La gouvernance des identités concerne la séparation des tâches, la gestion des rôles, la journalisation, les analyses et la création de rapports, tandis que l’administration des identités fait référence à l’administration des comptes et des informations d’identification, au provisioning des utilisateurs et des appareils, et à la gestion des droits.

Nécessité de l’IGA

Dans un contexte d’entreprise, la numérisation croissante est synonyme d’un plus grand nombre d’appareils, d’utilisateurs et de données dans des environnements sur site et multicloud/distants. Au sein d’écosystèmes informatiques aussi complexes, il est difficile de gérer efficacement les identités et les accès des utilisateurs. Mais si les utilisateurs reçoivent des accès excessifs ou superflus aux systèmes, aux applications ou aux données, cela augmente les risques de sécurité et rend l’entreprise vulnérable aux cyberattaques et aux violations de données.

Avec les outils d’IGA, le personnel de sécurité peut effectuer le suivi et le contrôle des accès utilisateurs tant pour les systèmes sur site que pour les systèmes Cloud. Ils permettent de s’assurer que les utilisateurs adéquats ont les accès adéquats aux systèmes adéquats, et de détecter et prévenir les accès inappropriés. En mettant en œuvre les bons accès avec l’IGA, les entreprises peuvent réduire les risques et assurer la conformité aux normes en vigueur.

Caractéristiques des solutions d’IGA

Les outils d’IGA permettent aux entreprises d’optimiser la gestion du cycle de vie des identités des utilisateurs de manière précise et efficace. Les administrateurs de sécurité peuvent automatiser le processus de provisioning et déprovisioning des accès utilisateurs tout au long du cycle de vie de ces accès. Pour permettre une telle automatisation, les solutions d’IGA fonctionnent avec des processus de gestion des accès et des identités (IAM, pour Identity and Access Management). L’IGA fonctionne également avec l’IAM pour aider les administrateurs à gérer les autorisations, et à assurer la conformité avec des rapports précis.

Les systèmes d’IGA incluent généralement ces éléments pour l’administration des identités (IA, pour Identity Administration) :

Gestion et sécurité des mots de passe

Les outils d’IGA tels que les coffres-forts de mots de passe stockent de manière sécurisée les noms d’utilisateurs et les mots de passe pour de multiples applications. Comme les utilisateurs n’ont qu’un seul mot de passe à mémoriser, il est plus probable qu’ils utilisent un mot de passe complexe, difficile à voler ou à compromettre, ce qui minimise la vulnérabilité de l’entreprise aux menaces externes.

De plus en plus, les entreprises adoptent également des outils d’IGA tels que l’authentification unique (SSO, pour Single Sign-On) de OneLogin. La SSO permet aux utilisateurs de se connecter à plusieurs comptes en utilisant un seul jeu d’informations d’identification. Cela réduit la fréquence des connexions et le nombre d’informations d’identification stockées, protégeant ainsi l’entreprise d’éventuelles violations.

Connecteurs d’intégration

Les connecteurs permettent aux outils d’IGA de s’intégrer aux répertoires et à d’autres systèmes d’entreprise contenant des informations sur les utilisateurs, les applications et les systèmes auxquels ils ont accès, ainsi que sur leurs autorisations au sein de ces systèmes. Les connecteurs lisent de telles données pour comprendre qui a accès à quoi, mais aussi pour écrire des données afin de créer de nouveaux utilisateurs et de leur accorder des accès.

Workflows de gestion des demandes d’accès automatisés

Les workflows automatisés simplifient pour les utilisateurs la demande d’accès aux systèmes dont ils ont besoin pour travailler. De plus, les administrateurs peuvent facilement intégrer ou annuler l’intégration des utilisateurs, définir quels rôles nécessitent quel niveau d’accès aux applications et aux systèmes, et approuver les accès utilisateurs.

Provisioning

L’IGA rationalise le processus de provisioning et déprovisioning des autorisations d’accès au niveau des utilisateurs et des applications, tant pour les ressources sur site que pour celles qui se trouvent dans le Cloud.

Gestion des droits

Les administrateurs de sécurité peuvent spécifier et vérifier ce que les utilisateurs sont autorisés à faire dans différents systèmes et applications. Par exemple, certains utilisateurs pourront ajouter ou modifier des données, tandis que d’autres pourront uniquement consulter des données. Quelques utilisateurs pourront aussi avoir l’autorisation de supprimer des données.

Administration des identités

Les systèmes d’IGA incluent généralement un certain nombre d’éléments pour la gouvernance des identités (IG, pour Identity Governance) :

Séparation des tâches

Pour éviter toute erreur et prévenir la fraude, les équipes de sécurité peuvent créer des règles qui évitent que des jeux d’accès risqués ou des droits de transaction soient accordés à une seule personne. Par exemple, les contrôles de séparation des tâches empêchent un utilisateur de pouvoir à la fois consulter un compte en banque d’entreprise et transférer des fonds vers des comptes externes, soit par négligence, soit à des fins malveillantes. Les contrôles de séparation des tâches doivent être en place au sein d’une application donnée, mais aussi dans plusieurs systèmes et applications.

Examen des accès

Les outils d’IGA rationalisent le processus d’examen et de vérification des accès utilisateurs à différentes applications et ressources. Ils simplifient également la révocation d’accès, par exemple lorsqu’un utilisateur quitte l’entreprise.

Gestion d’accès basée sur les rôles

Avec le contrôle d’accès basé sur les rôles (RBAC, pour Role-based Access Control), les accès utilisateurs sont définis en fonction de leur rôle, de sorte qu’ils ne peuvent accéder qu’aux informations nécessaires à l’exécution de leur travail. En empêchant les accès non nécessaires, en particulier aux données sensibles, le RBAC renforce la sécurité d’entreprise et prévient les violations.

Journalisation, analyses et création de rapports

Ces outils d’IGA journalisent les activités des utilisateurs et permettent au personnel de sécurité d’identifier les problèmes ou risques, et de déclencher des alarmes dans les situations particulièrement risquées. Ils peuvent également suggérer des améliorations de sécurité, démarrer des processus de correction, traiter les violations de stratégie, et générer des rapports de conformité.

Administration de la gouvernance

Avantages de l’IGA

Gestion du cycle de vie des identités utilisateurs simplifiée

Dans la mesure où les associations d’utilisateurs changent au sein de l’entreprise, par exemple s’ils sont mutés dans un autre service ou quittent l’entreprise, les exigences changent aussi en matière d’accès. L’IGA facilite la gestion de ces changements, du provisioning au déprovisioning. L’IGA aide également à garder le contrôle sur les utilisateurs, les appareils, les réseaux et autres ressources informatiques à travers la gestion des mots de passe, la gestion des autorisations et la gestion des demandes d’accès.

Suivi des demandes d’accès dangereuses

Un système d’IGA fournit un lieu d’approbation centralisé, ce qui facilite pour les utilisateurs le processus de demande des approbations d’accès dont ils ont besoin dans l’exercice de leurs fonctions. La centralisation permet également aux administrateurs de gérer les autorisations, d’identifier et de détecter les activités suspectes, et d’empêcher les éventuelles personnes malveillantes d’accéder aux systèmes ou aux données d’entreprise.

Journalisation des événements et création de rapports pour une sécurité et une conformité améliorées

La journalisation détaillée des événements, la création de rapports et les analyses aident les administrateurs informatiques à comprendre ce qui se passe dans l’ensemble de l’environnement d’entreprise et à identifier rapidement les problèmes ou les risques. Ils peuvent alors résoudre les problèmes pour protéger les ressources stratégiques. La centralisation des données permet également aux administrateurs d’auditer les rapports d’accès afin de répondre aux exigences de conformité.

Amélioration de la productivité des utilisateurs grâce à un accès flexible

Grâce à de solides outils d’IGA, les entreprises peuvent accorder et contrôler en toute sécurité les accès à distance, afin d’assurer la continuité d’activité tout en évitant les violations. Une telle flexibilité permet aux salariés de travailler n’importe où, et donc d’améliorer leur productivité et leur performance.

Prise en charge de l’évolutivité de l’entreprise

Les solutions d’IGA prennent en charge les stratégies centralisées et les workflows automatisés qui aident à réduire les coûts d’exploitation, garantissent que les salariés peuvent accéder aux ressources dont ils ont besoin, réduisent le risque, et améliorent la conformité. Tous ces avantages permettent à l’entreprise d’évoluer en interne, ce qu’elle ne serait pas capable de faire avec des processus manuels ou une visibilité limitée sur les utilisateurs, les identités et les systèmes.

Pourquoi la conformité aux normes en vigueur est-elle importante ?

Les réglementations visent à protéger les utilisateurs et/ou les données, et à renforcer la confiance entre les différentes entités. Par exemple, la loi américaine sur la transférabilité des régimes d’assurance-santé et l’imputabilité (HIPAA, pour Health Information Portability and Accountability Act) a été créée pour protéger les informations de santé des utilisateurs. Elle impose aux organismes de santé de mettre en œuvre les protections adéquates pour garantir la sécurité et la confidentialité des données des patients.

De même, la loi américaine Sarbanes-Oxley (SOX) a imposé des exigences pour améliorer la tenue de registres financiers et les audits dans les sociétés cotées en bourse. L’objectif est de renforcer la confiance relative aux informations financières des entreprises, et de prévenir la fraude. Un autre texte réglementaire, la norme de sécurité des données du secteur des cartes de paiement (PCI DSS, pour Payment Card Industry Data Security Standard), spécifie des exigences relatives à la gestion de la sécurité, ainsi qu’aux stratégies et procédures associées, afin de protéger les données de carte de crédit des clients.

Il est important pour les entreprises de se conformer à toutes les réglementations qui leur sont applicables pour éviter les pénalités légales ou financières en cas de non respect. La conformité leur permet également de gagner la confiance des clients et de développer leurs activités. La conformité aux normes en vigueur signifie par ailleurs que les entreprises ont mis en place les contrôles nécessaires pour défendre leurs systèmes et leurs données, ce qui les protège des cyberattaques et des violations de données.

En quoi l’IGA se distingue-t-elle de l’IAM ?

L’IGA est une sous-catégorie de la gestion des accès et des identités (IAM). Toutefois, les systèmes d’IGA offrent des fonctionnalités supplémentaires qui vont au-delà des systèmes d’IAM standard, et contribuent à relever les défis habituels de l’IAM.

Par exemple, un accès inadéquat et/ou obsolète aux ressources d’entreprise est un problème courant dans l’IAM. Le télétravail, le caractères chronophage des processus de provisioning, la faiblesse des stratégies BYOD (Bring Your Own Device, Apportez vos appareils personnels) et les exigences de conformité très strictes sont quelques-unes des autres difficultés qu’implique l’IAM. Ces problèmes augmentent les risques de sécurité et affaiblissent le niveau de conformité des entreprises. Celles-ci répondent toutefois à ces difficultés en renforçant leurs systèmes d’IAM à l’aide de l’IGA.

Grâce à l’IGA, les entreprises peuvent automatiser les workflows d’approbation d’accès et réduire le risque. Elles peuvent également définir et faire appliquer des stratégies d’IAM, et auditer les processus d’accès des utilisateurs à des fins de création de rapports de conformité. Voilà pourquoi de nombreuses entreprises utilisent l’IGA pour répondre aux exigences de conformité définies par la loi HIPAA, la loi SOX et la norme PCI DSS.

Conclusion

Toutes les entreprises peuvent bénéficier de solutions d’IGA. L’IGA améliore la visibilité sur ce à quoi les utilisateurs peuvent accéder ou non, ce qui aide les administrateurs informatiques à rationaliser la gestion des identités et le contrôle des accès, à réduire efficacement le risque, et à protéger les systèmes et les données stratégiques. L’IGA contribue par ailleurs à l’amélioration et à la garantie de la conformité. Dans notre panorama actuel complexe en matière d’informatique et de cybersécurité, les outils d’IGA renforcent la capacité des entreprises à se protéger, à améliorer leur résilience et à afficher une croissance évolutive.