Accueil IAM : La gestion des identités et des accès au cœur de...

IAM : La gestion des identités et des accès au cœur de l’approche « Zero Trust »

Migrer une infrastructure de sécurité vers le concept « Zero Trust » implique une gestion performante des identités et des accès. L’efficacité du système d’information tout entier repose sur l’IAM, une brique d’infrastructure dont les frontières ne cessent de s’étendre.

 

Parmi les grandes briques fonctionnelles de l’IAM figure la gestion des comptes utilisateurs et la notion d’annuaire universel qui regroupe les utilisateurs de l’ensemble des ressources informatiques de l’entreprise. Cette centralisation de l’ensemble des comptes permet notamment d’offrir aux utilisateurs une fonction de SSO (Single Sign-On) qui apporte un réel confort d’utilisation de leurs applications au quotidien, notamment pour accéder aux diverses applications SaaS auxquelles l’entreprise a souscrit. Une solution IAM doit supporter l’authentification forte de type MFA (Multi-Factor Authentication) quel que soit le moyen d’authentification choisi par l’entreprise. Les éditeurs de solutions IAM ont étendu le périmètre fonctionnel de leurs plateformes, notamment pour aller vers la gestion des API, la gestion des accès multicloud.

Les plateformes IAM trainaient la réputation de projets longs à mener et complexes à cause du fastidieux travail que représente la vérification des comptes actifs/inactifs dans toute l’entreprise, mais aussi des multiples intégrations à mettre en place avec les applications utilisées par les collaborateurs. Sur le plan technique, le modèle Cloud est venu apporter un élément de réponse. Le marché de l’IDaaS (Identity as a Service) grimpe en flèche avec un taux de croissance supérieur à 21% par an selon Markets&Markets. Ces offres Cloud simplifient aussi la connexion aux autres applications SaaS puisque les connecteurs pour les principales solutions du marché sont prêts à l’emploi et activables en quelques clics. La solution IAM peut alors jouer le rôle de plateforme de fédération d’identité à l’image de ce que Google, Facebook réalisent pour donner à de multiples sites B2C via leur identifiant unique.

Un cadre pour la gouvernance des identités

Outre l’aspect purement fonctionnel de l’IAM pour les administrateurs et les utilisateurs, la mise en place d’une telle plateforme et un moyen d’élever le niveau de sécurité du système d’information par la mise en place de règles de gouvernance des identités et des accès que personne ne peut contourner. Accorder un accès à une ressource est contrôlé en temps réel au niveau de la plateforme et l’outil permet d’appliquer systématiquement une stratégie de moindre privilège (Least Privilege), un des grands principes de base de l’approche « Zero Trust ».

L’IAM se destine initialement à la gestion des identités des collaborateurs, mais l’approche a été déclinée en CIAM (pour Customer IAM) afin de gérer les identités des clients amenés à se connecter aux différents dispositifs digitaux de l’entreprise. Les fonctionnalités sont adaptées à la gestion de ce type de profils, de même que les frais de licences, sachant qu’en B2C, le nombre de profils clients peut être extrêmement élevé. Dans le même ordre d’idée, IAM of Things (IAMoT) transpose l’approche au monde des objets connectés et de l’IoT. On sait que bon nombre d’objets connectés ont un niveau de sécurité très faible, beaucoup restant configurés toute leur durée de vie avec le login/mot de passe mis par défaut par leur fabricant. Pour ces derniers, l’enjeu est de disposer de solutions IAM spécialisées capables de gérer de manière industrielle les milliers voire les centaines de milliers d’identités des objets connectés qu’ils commercialisent en intégrant les spécificités de l’IoT en matière de connectivité, des faibles capacités de traitement de ces objets. Ce sera sans nul doute la prochaine évolution des plateformes IAM attendues pour ces prochaines années.

Une étude KPMG montre que 51% des entreprises ont mis en place l’authentification multi facteurs mais celle-ci reste encore souvent cantonnée à quelques cas d’usage, quelques applications. Source : KPMG, 2020

Pourquoi il faut renforcer les moyens d’authentification des utilisateurs

En parallèle à ce besoin de renforcer les procédures de gestion des identités, le besoin de sécuriser les moyens d’authentification est de plus en plus critique. Un simple mot de passe ne suffit plus à protéger l’accès d’un compte : Que ce soit par force brute, par ingénierie sociale ou vol de fichiers, les mots de passe de vos utilisateurs sont vulnérables et vendus par millions sur le Darknet.

Une récente étude Ponemon montre que dans 59% des entreprises, les collaborateurs doivent mémoriser de multiples mots de passe et il n’y a rien d’étonnant que « 123456 » ou « Azerty » restent des mots de passe encore très populaires ou que celui-ci soit inscrit sur un post-it collé à côté de l’écran. Mettre en place des procédures rigides au moyen d’une brique IAM afin de lutter contre les mots de passe triviaux et contraindre les collaborateurs à les renouveler fréquemment. Néanmoins, il ne s’agit que d’un pis-aller et il fait désormais consensus chez les experts qu’une authentification double ou multi-facteur est désormais nécessaire pour assurer un niveau de sécurité acceptable.

Le MFA devient la règle

L’authentification à double facteur (2FA / 2 Factors Authentication) et l’authentification multi facteurs (MFA / Multi-Factor Authentication) consiste à mettre en œuvre un second facteur d’identification pour s’assurer que l’utilisateur qui saisit son mot de passe est bien la personne qu’il prétend être. Ce second facteur peut être une clé USB portant un jeton d’identification, une carte à puce, un certificat numérique. Depuis plusieurs années le standard FIDO2 a simplifié la connexion double facteur aux sites Web. C’est néanmoins l’essor du smartphone et des tablettes numériques qui a totalement révolutionné l’approche. Ces terminaux numériques offrent de multiples moyens d’authentification de l’utilisateur, notamment des dispositifs biométriques intégrés qui peuvent être exploités par le processus d’authentification sur les applications d’entreprise. Le moyen le plus simple consiste en l’envoi d’un SMS de confirmation à l’utilisateur au moment de sa demande de connexion. L’envoi d’un code permet de débloquer l’accès. Le dispositif est simple à mettre en œuvre et rapide mais les chercheurs ont montré sa vulnérabilité face aux attaques de spoofing et à la capacité des pirates à intercepter ces SMS et se connecter à la place des utilisateurs légitimes.

Néanmoins, le smartphone présente l’avantage de pouvoir faire tourner une application MFA mobile qui va pouvoir interagir avec la solution IAM pour accorder les accès. Le contrôle d’accès peut être réalisé par un code PIN, mais aussi la lecture d’empreinte qui équipe aujourd’hui tous les smartphones ou encore la reconnaissance du visage. Alors que la mise en œuvre de moyens biométriques était considérée comme extrêmement coûteuse et réservée à quelques cas d’usage bien définis, les smartphones ont participé à la démocratisation de l’accès à ces technologies par toutes les entreprises.

Le MFA est l’avenir de l’authentification forte et il est désormais une obligation pour les entreprises soumises à diverses réglementations, notamment la directive NIS ou la loi de programmation militaire.        

 

 

Les fonctions clés d’une plateforme IAM

  • Gestion des comptes utilisateurs,
  • Annuaire universel des comptes utilisateurs et terminaux,
  • Gestion du cycle de vie des accès en temps réel,
  • Gestion des ressources Cloud (IaaS, PaaS, SaaS),
  • Fonction SSO (Single Sign-On),
  • Authentification forte type MFA,
  • Passerelle vers les applications tierces Cloud et on-premise,
  • Gestion des accès aux API,
  • Gestion de la conformité et reporting.