Les tentatives de piratage par technique de phishing puis d’usurpation d’identité sont les plus dangereuses pour les entreprises et les collectivités. Avec la transformation numérique, cela nécessite de renforcer sa gestion des identités et le contrôle des accès : on doit être sûr de l’identité de la personne qui cherche à utiliser un système informatique. Les banques ont d’ailleurs bien intégré ce dispositif avec la double authentification imposée par la réglementation DSP2 (Directive sur les Services de Paiement). Mais qu’est-ce que la gestion des identités et des accès ? Explications et définition de ce concept appelé également IAM pour « Identity and Access Management ».
Comprendre les concepts de gestion des identités et du contrôle des accès
La gestion des identités et le contrôle des accès ont toujours été deux des piliers de la cybersécurité. Avec la transformation numérique et l’explosion des différents types de systèmes et d’applications d’entreprise sur site et dans le cloud, sans oublier le fait que chaque utilisateur dispose de plusieurs comptes composés d’un identifiant et d’un mot de passe et de plusieurs privilèges pour chaque compte, on s’est rendu compte qu’un contrôle d’accès efficace doit être centré sur l’identité plutôt que sur le compte. Ainsi, il est possible de déterminer plus précisément qui a fait quoi et de vérifier que ceux qui ont accès à certaines ressources y ont réellement droit.
Malheureusement, la plupart des organisations se limitent à la gestion des comptes composés d’un identifiant et d’un mot de passe plutôt qu’à celle des identités. Une protection plutôt faible au regard des risques et de l’augmentation des cyberattaques.
Une gestion des accès fiable nécessaire pour se conformer à la législation en vigueur
La gestion des accès est un élément central du plan de sécurité de l’entreprise. En effet, dans la plupart des cas de cyberattaques, la compromission des informations d’accès d’un utilisateur de l’entreprise est le point d’entrée des cybercriminels, avec pour but le vol de données ou l’affaiblissement du système d’information. De plus, ces dernières années, la gestion efficace des identifiants a été l’un des points clés du règlement général sur la protection des données (RGPD) auquel sont soumises les entreprises opérant en Europe.
Comment fonctionnent les systèmes de gestion des identités et de contrôle des accès ?
Les systèmes IAM mettent en œuvre un modèle de sécurité basé sur l’identité qui s’intègre au système de surveillance de l’entreprise, de sorte que les attaques potentielles puissent être reconnues, contextualisées et traitées aussi rapidement et efficacement que possible.
La gestion des identités et le contrôle des accès est cependant, avant d’être un outil technologique, un ensemble de politiques qui permettent d’appliquer des principes dans l’entreprise. Ses politiques visent à garantir que les utilisateurs prouvent qu’ils sont bien ceux qu’ils prétendent être. On parle alors d’authentification. De plus, elles garantissent aussi que les utilisateurs, une fois authentifiés, n’ont accès qu’aux ressources auxquelles ils ont droit.
Concrètement, les néophytes en matière de cybersécurité imaginent que l’acronyme IAM en informatique désigne quelque chose comme une base de données contenant la liste des utilisateurs et des ressources dont l’accès est autorisé. On pense facilement à l’Active Directory de Microsoft, ce qui a du sens. En effet, en tant qu’outil de gestion des identités et de contrôle des accès, l’Active Directory fournit des services d’accès et d’autorisation qui permettent aux utilisateurs d’accéder à des machines et des applications particulières. Il s’agit du premier élément constitutif d’une bonne gestion des identités et des accès. Le problème est que le paradigme utilisateur-machine est aujourd’hui obsolète. En effet, les environnements professionnels d’aujourd’hui sont de plus en plus basés sur le cloud et des formes plus poussées de contrôle d’identité doivent être mises en place.
Si le sujet vous intéresse, l’éditeur IAM français Ilex International a d’ailleurs publié ce dossier très complet sur l’authentification forte.
L’avenir de la sécurité des systèmes d’information
Les outils de gestion des identités et des accès s’adaptent à l’évolution des besoins des entreprises, qui voient leur périmètre s’étendre progressivement bien au-delà des limites physiques de leur siège. Plus ce périmètre augmente et plus les utilisateurs ont la possibilité de commettre des erreurs dont les conséquences peuvent être dramatiques. Le facteur humain est un véritable maillon faible de la chaîne de protection des données d’entreprise. La protection des réseaux complexes devient un véritable défi. Il faut adopter des approches toujours plus dynamiques, automatisées et intelligentes. À l’heure actuelle, on note plusieurs tendances qui tendent à remodeler le visage de l’Identity and Access Management.
L’utilisation de services gérés par un tiers de confiance
Aujourd’hui, un nombre considérable d’employés travaillent dans des environnements hybrides où coexistent des applications sur site et dans le nuage. À mesure que cette tendance s’accélère, les organisations trouvent de plus en plus naturel de se tourner vers des fournisseurs de services de sécurité pour gérer l’accès de manière plus efficace et transparente pour l’utilisateur, mais aussi pour surveiller leur activité de manière plus opportune, recevoir des alertes sur les activités potentiellement malveillantes et assurer la conformité avec les diverses réglementations en matière de confidentialité.
Identités décentralisées
Les préoccupations relatives à la confidentialité des informations personnelles incitent les opérateurs de sécurité à expérimenter de nouvelles méthodes de validation de l’identité des utilisateurs. La blockchain pourrait apporter la réponse à ces besoins, en fournissant des capacités d’identité auto-souveraine (SSI) où les individus eux-mêmes contrôlent directement leurs propres données.
L’intelligence artificielle au service de la gestion de l’identité
Le principe du privilège minimum est fondamental pour la gestion des accès. L’idée de base est de fournir aux utilisateurs le « strict minimum » d’accès, c’est-à-dire de ne leur donner que les privilèges d’accès qui sont utiles pour leur permettre de faire leur travail. Les nouveaux modèles de gestion des accès privilégiés, cependant, comprennent non seulement la surveillance des comptes privilégiés, mais aussi l’accès juste à temps. Les modèles de fourniture d’accès en temps réel minimisent le risque de pénétration du réseau de l’entreprise : la gestion des accès repose alors sur l’analyse de divers facteurs contextuels, le suivi des données sensibles et la surveillance continue des activités des utilisateurs.
Toutes ces tendances sont renforcées par l’utilisation généralisée des algorithmes d’apprentissage automatique et d’intelligence artificielle. Les technologies d’auto-apprentissage sont de plus en plus utilisées pour suivre le comportement des utilisateurs et inclure des options tenant compte du contexte dans les processus de vérification de l’identité.