Savoir qui accède à quoi avec certitude, connaître les droits de chacun et gérer dans le temps l’identité de ses utilisateurs : le marché du contrôle d’accès et de l’identité répond à un besoin complexe et vital.
Ce n’est pas un hasard si la métaphore de la serrure revient sans cesse dans le monde de la SSI : contrôler les accès au système d’information est au cœur du besoin de protection de l’entreprise.
Ce marché est en réalité pluriel : il y a en effet bien peu de similitudes entre une solution individuelle de gestion des mots de passe et une solution d’IAM (Identity & Access Management) ou de NAC (Network Access Control) d’entreprise. Voici donc un aperçu des grands types de solutions de contrôle d’accès que vous pourrez déployer :
- Les outils de gestion des mots de passe (de type Single Sign On par exemple). Souvent installés sur le poste de travail, mais disponibles également en mode SaaS, ces solutions permettent de stocker de manière fiable de nombreux mots de passe et de les renseigner automatiquement au moment de la connexion ou de l’accès aux ressources protégées (sites web, applications interne, etc.)
- Les solutions d’infrastructure. Il s’agit ici des solutions qui vont contrôler l’accès au réseau, que ce soit localement (notamment via une borne Wifi) ou à distance (à travers un tunnel VPN). Pour les postes de travail internes le contrôle d’accès est le plus souvent délégué à un contrôleur de domaine Microsoft Active Directory ou un annuaire similaire.
- L’accès aux applications métier web et les portails. Alors que de plus en plus d’applications métiers sont fournies en mode SaaS, ces solutions permettent un accès unifié aux applications locales et sur Internet.
- L’authentification forte. Le marché de l’authentification forte offre des outils (souvent physiques, mais désormais de plus en plus virtuels, sur téléphone mobile) destinés à renforcer l’authentification par mot de passe, jugée insuffisante (biométrie, mots de passe à usage unique, etc,).
- Les solutions d’infrastructure avancées. Le NAC (Network Access Control) permet de prendre des décisions d’accès en fonction de l’identité du poste client, de son état (mise à jour, par exemple) et de son comportement (changement d’adresse MAC suspecte, par exemple). Ce marché a été popularisé par Cisco puis Microsoft, mais il est désormais également servi par d’autres acteurs du monde du réseau et des pure players.
- Les solutions d’IAM (Identity & Access Management). Projets structurants, les chantiers d’IAM visent à optimiser la gestion de l’accès et des droits des collaborateurs en fédérant en un endroit unique les informations d’identités réparties au sein des multiples référentiels de l’entreprise. Il s’agit d’une approche non seulement technique (provision automatique des comptes) mais aussi organisationnelle (définition de rôles métiers spécifiques, suivi du cycle de vie de l’identité, gestion des habilitations multiples et réhabilitations, etc,).
- La gestion des identités et des accès privilégiés (PIM). Un marché de niche qui se focalise sur les droits d’accès des administrateurs.
- Les infrastructures à clés privées (PKI). Egalement très structurants, les projets de PKI permettent à l’entreprise d’émettre et de gérer les certificats numériques utilisés par ses dispositifs d’authentification (dont cartes à puce). Jadis en perte de vitesse, ces projets connaissent désormais un regain d’intérêt grâce aux objets connectés, où l’authentification mutuelle à très grande échelle sera une nécessité à terme.
L’identité dans le nuage
Le Cloud s’est imposé comme un facteur majeur de restructuration du marché du contrôle d’accès. La majeure partie des applications d’entreprises, du CRM à la gestion RH, en passant par la messagerie et la suite bureautique, ont basculé en mode SaaS. Peu adaptés au Cloud, les outils de contrôle d’accès habituels sont complétés par les CASB (Cloud Access Security Brokers), qui permettent de contrôler de manière centralisée l’accès aux applications Cloud (métier et grand public).
Les grandes tendances
Le tableau suivant présente quelques tendances à suivre en 2018 sur le marché du contrôle d’accès et de la gestion des identités.
SMS
Si jusqu’à présent l’utilisation d’un SMS envoyé sur un téléphone mobile pouvait faire office de second facteur d’authentification, cela ne sera bientôt plus le cas et vous devriez commencer à prévoir de ne plus y avoir recours. Les dernières attaques révélées contre le protocole de signalisation GSM ont démontré la vulnérabilité accrue des SMS à l’interception.
Identité
Investissez dans la gestion des identités, car ces dernières sont là pour rester. A l’avenir, de nombreuses solutions de sécurité pourront intégrer la notion d’identité dans la prise de décision sécurité. Autant anticiper !
Multifacteur
Cela fait des années que les spécialistes appellent de leurs vœux la fin du mot de passe simple ! Sous la pression de nombreux acteurs du web (notamment les GAFA), l’authentification forte à plusieurs facteurs se démocratise. C’est le moment d’y réfléchir si ce n’est pas déjà fait ! Les 85 000 employés de Google n’ont été victime d’aucun phishing en un an depuis le déploiement massif d’une telle solution !
Cloud
Les CASB (Cloud Access Security Brokers) permettent de contrôler de manière centralisée l’ensemble des accès aux applications dans le Cloud, qu’il s’agisse d’applications métiers (CRM, gestion des congés, des notes de frais…) ou personnelles (Dropbox, notamment). Pour l’utilisateur ces solutions apportent une simplicité d’usage (toutes les applications sont accessibles depuis un portail unique, authentification transparente), et pour l’entreprise un meilleur contrôle des accès.
