![Gestion-identites-acces-bureau-legendes](https://www.archimag.com/sites/archimag.com/files/styles/article/public/web_articles/image/gestion_identites_acces_bureau_legendes.jpg?itok=Mo7pGfhL ""Le bureau des légendes" montre des procédures d’accès aux bases de données de la direction générale de la sécurité extérieure, qui relèvent de la Gestion des identités et des accès (GIA). (Remy Grandoques/ Top the Oligarchs Productions / Canal +)")
Qu'est-ce que la Gestion des identités et des accès (IAM : Identity and Access Management) ?
« Le bureau des légendes » est une série remarquable à bien des égards. Depuis cinq saisons, elle met en scène des espions qui mènent une double vie, des diplomates qui se font manipuler… « Le bureau des légendes » montre aussi des procédures d’accès aux bases de données de la direction générale de la sécurité extérieure.
Comme tous les services de renseignement du monde, la DGSE recueille de nombreuses informations à haute valeur ajoutée auxquelles quelques personnes seulement peuvent accéder.
Le monde du renseignement n’est pas le seul à produire de l’information et à en prendre soin. Toutes les organisations, dès lors qu’elles gèrent un patrimoine informationnel, doivent mettre en place des procédures de gestion des identités et des accès (GIA).
Celle-ci permet notamment d’accorder — ou pas — une série de droits aux collaborateurs : droit d’accès à un document ou à une application, droit de modification, droit d’archivage, droit de destruction…
Lire aussi : Cybersécurité : mettre en place un plan de reprise d'activité (PRA) est essentiel
Authentification simple, authentification multiple
La gestion des identités et des accès est organisée autour de plusieurs piliers. Le premier concerne l’identification de l’utilisateur : celui-ci se voit attribuer un ensemble de paramètres permettant de le caractériser de façon unique. Une fiche d’identité recense alors les droits d’accès qui sont associés à cet utilisateur.
Une fois identifié, l’utilisateur doit être authentifié. Cela se fait habituellement grâce à une procédure connue de tous les internautes : identifiant et mot de passe.
Il faut cependant noter que deux modes d’authentification coexistent : l’authentification unique et l’authentification multiple.
Lire aussi : Perte de données, harcèlement en ligne, vol d'identité... Vite, utilisez la trousse de premiers soins numériques !
L'authentification unique
La première, également appelée single sign-on ou SSO, permet d’accéder à plusieurs services à partir d’une seule combinaison identifiant plus mot de passe. Ce type d’authentification unique est le plus facile à utiliser pour les utilisateurs finaux, car il nécessite seulement de retenir un identifiant et un mot de passe. En revanche, les experts en cybersécurité le trouvent peu fiable et plaident pour l’authentification multiple.
L’authentification multiple
Connue sous son sigle anglais MFA (pour multi-factor authentication), l’authentification multiple repose sur plusieurs catégories d’informations d’identification destinées à vérifier l’identité de l’utilisateur qui souhaite se connecter à une application ou à une base de données.
Ces informations doivent être au moins au nombre de deux parmi une série : ce que l’utilisateur sait (mot de passe, code PIN, réponse à une question secrète…), ce que l’utilisateur possède (carte Sim, badge d’employé…), ce que l’utilisateur est (vérification biométrique).
Dans ce dernier cas, il peut s’agir de la reconnaissance faciale, de l’empreinte digitale ou du balayage de la rétine ou de l’iris.
Lire aussi : Internautes, voici les meilleurs outils et astuces pour sécuriser vos mots de passe !
Des règles souvent complexes
« À l’heure où les violations de données s’amplifient et se multiplient, les entreprises prennent de plus en plus conscience de cette menace », explique l’éditeur Global Sign ; « face à ces préoccupations, la plupart implémentent l’authentification multifacteur. De fait, avec un taux de croissance annuel cumulé de 15,52 %, le marché de la MFA devrait peser 12,51 milliards de dollars d’ici 2022 [environ 11,4 milliards d’euros]. Ces chiffres prouvent que, pour beaucoup, l’authentification multifacteur fait partie des mesures de sécurité les plus efficaces pour protéger leur entreprise, leurs utilisateurs et leurs données sensibles ».
Une fois l’identification et l’authentification établies, la phase d’autorisation peut alors commencer. Elle porte sur les habilitations attribuées à l’utilisateur : droit d’accès, droit de modification, droit de destruction…
Facile en apparence, cette étape ne le serait pas tant que ça, comme l’explique l’éditeur Tools4ever :
« Si la procédure d’authentification est plutôt simple, la procédure d’autorisation, quant à elle, fait appel à un ensemble de règles souvent complexes. Les droits d’accès sur le réseau de l’entreprise sont en effet attribués en fonction du poste ou de la fonction occupés par chaque utilisateur ».
Dernier pilier de la GIA, l’annuaire central d’utilisateurs a pour vocation de stocker les données des utilisateurs. Il est souvent construit selon le standard LDap (lightweight directory access protocol).
Lire aussi : Cybersécurité : les entreprises asphyxiées par les mots de passe
Déléguer la GIA aux responsables métier
S’il semble aisé de mettre en place une solution de gestion des identités et des accès dans une petite structure, il n’en va pas de même dans les grandes organisations.
« Les administrateurs en charge des solutions de GIA ont de plus en plus souvent des difficultés à gérer le nombre important de requêtes qui leur sont adressées par les équipes responsables des applications, dont le nombre lui-même ne cesse d’augmenter », constate Arnaud Gallut de la société Ping Identity ; « il peut s’agir par exemple d’ajouter un droit d’accès à une application ou une API pour un nouvel utilisateur, d’en supprimer un, ou d’effectuer des changements mineurs tels que la mise à jour des configurations, des certificats de sécurité, etc. »
A ses yeux, il convient de déléguer la Gestion des identités et des accès aux responsables métier : « Il est désormais nécessaire de rapprocher les administrateurs GIA et les équipes opérationnelles en charge des applications en introduisant un ensemble de fonctionnalités nouvelles ».
Lire aussi : Cloud & sécurité, des concepts antagonistes mais complémentaires
Cette stratégie passe par une série de procédures :
- mettre à disposition des équipes opérationnelles un portail d’administration déléguée en self-service ;
- laisser aux équipes GIA la possibilité de construire des modèles et des procédures prédéfinies ;
- disposer d’un moteur d’orchestration permettant d’automatiser les mises à jour de la configuration du système GIA.
Prévoir des revues d’habilitation
La tâche des gestionnaires des identités et des accès est d’autant plus délicate qu’il faut compter avec les inévitables mouvements au sein des organisations : recrutements, départs… Certains collaborateurs changent de postes — et donc d’attributions —, d’autres quittent l’entreprise, de nouveaux arrivent…
Il convient donc de procéder régulièrement à des revues d’habilitation afin de mettre à jour les registres dédiés à la GIA.
Mais à quel rythme ? Tout dépend de la sensibilité de l’application et de la base de données. Certains professionnels préconisent une révision trimestrielle pour les applications les plus sensibles. Autant dire qu’une telle cadence suppose des ressources humaines ! En revanche, d’autres applications (la gestion des congés par exemple) ne revêtent pas le même caractère confidentiel. Leur révision peut se faire tous les ans ou tous les deux ans par exemple.
Le déroulement des revues d’habilitation à proprement parler commence par le contrôle des identités. Il a pour objectif de débusquer les comptes orphelins, les doublons ou les comptes dormants… et éventuellement de les clore. Il se poursuit par la modification des droits. Généralement, ces deux opérations sont effectuées respectivement par le responsable des annuaires et par le propriétaire des applications. Elles font ensuite l’objet d’un reporting.
Lire aussi : La plateforme d'assistance pour les PME victimes de cyberattaques est lancée
Faire appel à un prestataire pour gérer les identités et les accès
Toutes ces actions sont chronophages et supposent de la rigueur. Heureusement, les entreprises ne sont pas seules. Elles peuvent faire appel à des prestataires qui connaissent parfaitement les enjeux de la GIA. Youzer, par exemple, est une jeune pousse créée en 2018 (Voir La start-up du mois d'Archimag n° 330, décembre 2019) qui aide les entreprises à gérer les arrivées et les départs de leurs collaborateurs. Les connecteurs de la start-up se chargent de créer automatiquement les accès aux applications en respectant les droits attribués.
L’éditeur Ilex International, de son côté, propose des outils qui peuvent être adaptés à des secteurs professionnels aussi divers que la santé, la banque, l’industrie ou la défense.
