L’ouverture au Cloud des systèmes d’information repose la question de la gestion des identités avec bien plus d’acuité que par le passé. Des solutions existent pour que le mot de passe ne soit pas le seul rempart contre les attaques.
L’identité numérique joue aujourd’hui un rôle-clé dans la sécurité des données de l’entreprise. Ces dernières sont de plus en plus stockées dans le Cloud, les outils collaboratifs permettent aux employés d’échanger et partager ces informations beaucoup plus simplement que par le passé, mais l’usurpation d’identité est une menace bien plus tangible aujourd’hui alors que la présence des collaborateurs dans les locaux de l’entreprise n’est plus systématique. « L’identité est au cœur du SI pour ne pas dire au cœur de la sécurité du SI » estime Xavier de Korsak, cofondateur de Harmonie Technologie et spécialiste de l’IAM (Identity and Access Management) depuis 2005. « Avec la tendance du SI étendu, réparti, ouvert/coopératif (cloudification du SI, digitalisation des services et des usages B-to-B-to-B/C), la gestion des identités est un point-clé pour accompagner cette transformation du SI. »
Le Cloud a réduit les barrières à l’entrée de l’IAM
Les DSI et leurs RSSI disposent aujourd’hui de toute une gamme d’outils de sécurité pour gérer et protéger les identités des utilisateurs. Depuis l’annuaire au PAM (Privileged Access Management) pour surveiller les comptes utilisateurs les plus critiques, en passant par les plateformes de gestion du cycle de vie des identités, les briques d’authentification et la fédération des identités. Coordonner l’ensemble de ces moyens est un défi que les RSSI doivent relever s’ils veulent s’assurer que les comptes utilisateurs ne seront pas le point d’entrée d’une attaque et l’origine d’une fuite de données. Pour Xavier de Korsak, il est important de mobiliser l’ensemble des acteurs RH, IT, Sécurité, Risques et Métier. L’objectif de la démarche est de définir les business cases et la feuille de route pour partager et valider une ambition commune. Ensuite, vient le choix des solutions à mettre en oeuvre.
« La tendance de l’IAM “dans” le Cloud s’accélère pour optimiser le time to market et le risque projet. Afin de choisir la solution Cloud la mieux adaptée nous recommandons d’expérimenter les cas d’usage essentiels (récoltés en impliquant l’ensemble des parties prenantes en amont) en phase de présélection. C’est une étape essentielle pour s’assurer de la pérennité de l’investissement et qui permet d’éprouver les cas d’usages. L’important quand on s’oriente vers le Cloud, c’est de bien évaluer ce que peut faire la solution. »
La plateforme IAM est le socle de la stratégie de gestion des identités et Cyril Patou, Country Leader France chez l’éditeur Ping Identity, souligne l’impact du Cloud sur le marché. « Depuis quelques années la demande de protection des accès s’est renforcée, notamment avec l’ouverture des SI aux accès extérieurs au réseau de l’entreprise, l’avènement du Cloud, l’APIsation des SI, l’IOT, le BYOD etc. En outre, l’explosion du télétravail en 2020 a accéléré l’importance portée à la sécurisation des accès distants notamment par la mise en place de MFA pour lutter efficacement contre la menace croissante du vol d’identifiants. Aujourd’hui plus que jamais, nos clients cherchent à trouver le meilleur équilibre entre l’expérience utilisateurs et un excellent niveau de sécurité. » L’éditeur accompagne les DSI dans leur migration vers le Cloud via son approche que nous appelons ’Cloud Your Way’. Ping Identity propose tous ses services de protection des accès en mode SaaS, notamment les toutes dernières innovations (UEBA, Risk scoring, Dynamic Authorization).
Face aux grands acteurs américains du marché IAM, le français Ilex International propose une plateforme globale capable de répondre à l’ensemble des besoins IAM des grands comptes et ETI. La plateforme et ses multiples modules intègre la gestion des accès, la gestion des identités et habilitations et un CIAM ou Customer IAM pour la gestion des comptes clients d’un site de E-Commerce par exemple. Fabrice Bérose, directeur commercial/marketing d’Ilex International, souligne : « Avec plus de 30 ans d’expérience dans la définition et mise en œuvre de stratégies IAM, nous disposons d’une plateforme complète comprenant l’ensemble des composantes clés et fonctionnalités du domaine. » Le responsable estime qu’il est primordial de tenir compte de l’existant et pouvoir s’interfacer avec des tiers comme des fournisseurs de contrôle d’accès physique, de protéger l’accès à des comptes à privilèges et d’Interagir avec les standards du marché via des API et web services.
Des approches résolument différentes
Usercube est un acteur français du marché des plateformes IGA (Identity Governance and Administration). Il vise les entreprises qui souhaitent industrialiser la gestion des identités et industrialiser les revues des droits. L’éditeur mise sur le Saas et une approche basée sur les wizards pour abaisser le coût d’entrée de ce type de solutions réputées à la fois coûteuses à déployer, mais aussi synonymes de projets marathon. Christophe Grangeon, co-fondateur de Usercube, explique sa démarche : « Nous innovons sur plusieurs axes afin de réduire le coût total de possession. Cela se traduit par des interfaces simplifiant la mise en œuvre et la maintenance de la solution afin que le client puisse le faire par lui-même en lieu et place de spécialistes. Nous utilisons également l’intelligence artificielle pour adapter en temps réel les modèles de rôles et diminuer la charge d’exploitation de la cellule habilitation. » En outre, l’éditeur enrichit en permanence son catalogue de connecteurs “intelligents”, des connecteurs qui s’adaptent automatiquement à la structure de données de l’application cible et calculent un modèle de rôles applicatifs par “mining” des droits fins.
Autre approche résolument différente, celle d’Auth0, un acteur qui vise en premier lieu les développeurs. « Une plateforme d’identité doit toujours viser à augmenter l’innovation et la productivité » estime Nicolas Luneau, Channel and Alliance Manager chez Auth0. « Les développeurs ont besoin d’un système qui leur permette de travailler avec les langages de leur choix et qui les aide à mettre en œuvre et étendre l’identité simplement et facilement. À cette fin, nous avons notamment développé un système d’exploitation d’identité qui leur offre une plateforme d’authentification et d’autorisation prête à l’emploi pour toute application, avec l’extensibilité nécessaire pour répondre à leurs besoins. » Cette approche originale à permis à l’éditeur de se faire une place dans les secteurs du gaming, de l’e-commerce, en passant par la finance, la santé ou le retail. Schneider Electric compte parmi les clients de l’américain.
Vers la constitution d’écosystèmes de solutions interopérables
L’éditeur milite naturellement pour un socle commun pour accueillir l’ensemble des modules qu’il propose, mais il est aussi possible d’assembler des solutions d’origines différentes pour se constituer une plateforme sur mesure pour sécuriser les identités de bout en bout. C’est notamment ce que propose le groupement Hexatrust avec un catalogue de solutions souveraines.
Jean-Noël de Galzain, CEO de Wallix, éditeur de référence sur le marché des PAM, mais aussi président d’Hexatrust, souligne : « Nos Solutions s’intègrent avec les plateformes d’éditeurs tiers ou Hexatrust de gestion des identités, de provisioning, SIEM ou encore toute plateforme qui permettra de vérifier la qualité d’un utilisateur. C’est aussi le cas avec toute solution qui permet de faciliter le déploiement et la configuration de solution PAM, en particulier la gestion des identités et des droits associés, de type annuaire ou de base centralisée. » Parmi les solutions d’éditeurs membres d’Hexatrust, le CEO de Wallix cite InWebo, Brainwave, Ilex International, Cyberwatch, TheGreenBow, AntemetA, Jaguar Network, EBRC, Holiseum, NEOWAVE, Outscale, Schneider Electric, Rudder et Rohde and Schwarz.
Dans cet écosystème, un acteur joue un rôle un peu particulier, c’est Brainwave GRC. Celui-ci vient en effet apporter une couche d’analytique sur cette infrastructure. « Nous sommes partis du constat qu’on ne peut pas être à la fois celui qui gère les accès (qui les attribue, les révoque) et celui qui contrôle les accès (qui s’assure de leur légitimité) » explique Cyril Gollain, CEO de Brainwave GRC. « Ces deux fonctions sont bien distinctes et correspondent à deux métiers et deux domaines technologiques : Identity Management et Identity Analytics. » Pour l’éditeur, l’intérêt de disposer d’une couche d’analytics est bien entendu de faciliter la compréhension des accès logiques et détecter les situations anormales. Cette analyse de la masse de milliers d’accès légitimes va permettre d’identifier les signaux faibles qui pourraient passer sous le radar de solutions de détection moins spécialisées.
