Gestion des identités et des accès : comment les solutions d’IAM s’adaptent-elles aux nouveaux besoins des organisations ?

Accélérez votre système IAM

Sommaire

Aujourd’hui, les organisations ont conscience de la nécessité de protéger leurs données, applications et infrastructures des cyberattaques. À ce titre, nombre d’entre elles portent la plus grande attention à la sécurisation de leurs droits d’accès logiques. Non seulement parce qu’ils constituent l’un des premiers points d’entrée pour quiconque souhaiterait pénétrer leurs Systèmes d’Information (SI), mais aussi parce que ces derniers font l’objet de standards réglementaires de conformité et de sécurité auxquels les entreprises doivent adhérer. Aussi, les organisations mettent notamment en place des politiques de sécurité interne et recourent à des outils dédiés de façon à optimiser la protection de leurs droits d’accès logiques.

Le recours à la gestion des identités et des droits d’accès s’inscrit dans cette logique, et les différentes générations de solutions d’Identity and Access Management (IAM) témoignent de l’évolution des besoins relatifs à la gestion, au contrôle et à l’analyse des risques liés aux droits d’accès exprimés par les organisations. De plus en plus nombreux et diversifiés, ces besoins se doivent d’être couverts pour faire face aux menaces cyber grandissantes… Et la capacité des organisations à adapter leur stratégie est primordiale.

Dans quelles mesures les solutions de gestion des identités, de leur création à aujourd’hui, permettent-elles aux organisations de déployer un modèle de cybersécurité efficace et pertinent pour protéger leurs droits d’accès logiques ? Découvrons-le ensemble !

 

Gestion des identités et des accès (IAM) : définition

 

La gestion des identités et des accès est la discipline qui permet au sein d’une organisation de faire en sorte que les bonnes personnes disposent des bons accès aux bonnes ressources, au bon moment et pour les bonnes raisons.

Autrement dit, il s’agit de s’assurer que les identités possèdent uniquement les droits d’accès pour l’exercice strict de leurs fonctions au sein de l’entreprise, dans le respect des principes de moindre privilège et de séparation des tâches.
À ce titre, l’Identity and Access Management (IAM) repose notamment sur la gestion du cycle de vie des personnes qui travaillent au sein de l’organisation et la gestion du cycle de vie des droits d’accès qui leurs sont octroyés.

Un système de gestion des identités et des droits d’accès – ou solution IAM – s’appuie sur un certain nombre de règles pour recenser les identités – humaines ou machines – et les groupes d’identités afin d’attribuer, de modifier ou de révoquer les droits d’accès auxquels elles sont associées au regard de leurs fonctions et de leur périmètre d’action au sein de l’entreprise.
 

Comment les solutions de gestion des identités et des accès (IAM) ont évolué au fil du temps ?

 
La gestion des identités et des accès est un sujet majeur pour les organisations depuis près de 20 ans. Initialement, les premiers projets d’IAM étaient voués à maximiser l’efficacité opérationnelle des équipes et à réduire les risques associés à la gestion des droits d’accès aux applications et aux ressources des entreprises. La gestion des identités et des accès a ensuite connu plusieurs phases successives de déploiement qui ont largement contribué à faire évoluer les solutions d’IAM disponibles sur le marché.

Découvrons les différentes évolutions qu’a connu l’IAM, le contexte dans lequel celles-ci ont eu lieu et comment le périmètre d’action des solutions de gestion des identités et des accès n’a eu de cesse de s’étendre, des années 2000 à aujourd’hui.

 

Gestion des identités et des droits d’accès : le déploiement des premières générations de solutions d’IAM

Dans les années 2000, les premières solutions de gestion des identités et des accès disponibles sur le marché visent à répondre à un enjeu majoritairement opérationnel : celui de construire un annuaire d’entreprise, c’est-à-dire le référentiel des personnes qui travaillent au sein de l’entreprise. La création de ce référentiel a notamment pour objectif de faciliter le recensement des mouvements de personnel (nouveaux arrivants, mobilité interne, départs) et la gestion du cycle de vie des accès au niveau des comptes d’accès utilisateur. L’attribution, la suppression ou la modification de ces derniers peut dès lors être automatisée.

Outre la capacité à construire un référentiel d’identités, le déploiement de plusieurs services via les premières solutions d’IAM permet ainsi :

  • La réalisation de contrôles d’accès sur les applications web.
  • La création de briques de SSO (Single Sign-On), de façon que les utilisateurs n’aient pas à s’authentifier plusieurs fois dans les systèmes.
  • La mise en place de la gestion du cycle de vie des identités et des accès.
  • La création d’un système de provisioning des comptes et des accès afin d’automatiser les axes de gestion technique.
    Pilotés par les départements IT des organisations, ces projets d’IAM contribuent à optimiser l’efficacité opérationnelle et à alléger la charge de travail des équipes IT.

De la gestion à la gouvernance des identités et des droits d’accès

Si la mise sur le marché des premières solutions d’IAM permet de répondre à un certain nombre de besoins exprimés par les organisations, la nécessité de faire évoluer ces solutions s’impose rapidement. En effet, nombre d’organisations se trouvent confrontées aux limites de ces dernières et peinent à :

  • Rationaliser les droits d’accès (notamment lorsque deux personnes ayant le même métier sont supposées avoir les mêmes droits).
  • Intégrer les demandes d’accès dans un processus d’approbation formelle et tracée.
  • Transmettre des éléments de reporting et de suivi relatifs aux droits attribués.
 

Une nouvelle génération de produits logiciels voit alors le jour et permet de faire face à ces difficultés : la gouvernance des identités et des accès, soit l’Identity and Access Governance (IAG).

 

Quelques années plus tard, un nouveau cap est franchi : le marché de l’IAM et de l’Identity and Access Governance (IAG) fusionnent et donnent naissance à l’Identity Governance and Administration (IGA).

Les solutions d’IGA couvrent alors un périmètre plus large et viennent répondre à de nouveaux enjeux :

  • Améliorer la gestion de l’attribution des droits d’accès dans les applications et les systèmes en généralisant le concept de gestion des droits via la création de rôles (Role Based Access Control ou RBAC et Role Modeling en anglais).
  • Favoriser l’adhésion aux premières contraintes réglementaires en matière de conformité et de gestion des risques en s’assurant que les personnes disposent de rôles pertinents et compatibles entre eux (Role Based SoD).
  • S’assurer de l’efficacité du système de gestion des identités en place via la recertification des droits d’accès, qui permet de vérifier que les droits d’accès octroyés à chaque identité sont bel et bien légitimes.
 

IGA : la naissance de solutions augmentées

À partir de 2018, les organisations doivent faire face à de nouveaux challenges. Tandis que les standards réglementaires de conformité et de sécurité des droits d’accès logiques se multiplient, de profondes mutations internes sont également à l’œuvre. De plus en plus d’organisations se tournent vers le cloud et s’orientent vers la création d’architectures hybrides.

Ainsi, alors que le contrôle des droits d’accès logiques est un enjeu crucial pour les organisations, la mise en place de processus de contrôles se complexifie : les droits d’accès logiques sont de plus en plus nombreux et disséminés de part et d’autre des systèmes d’information (SI), en local ou à distance dans le cloud.

Qui plus est, de nouveaux interlocuteurs (auditeurs internes et externes, compliance officers) font également leur apparition et expriment des besoins relatifs à la gestion et la réduction des risques associés aux droits d’accès. L’exécution de contrôles des droits d’accès et la production de rapports de conformité s’imposent.

Il ne s’agit donc plus de répondre uniquement à des besoins d’efficacité opérationnelle, mais aussi de respecter les exigences de conformité et de sécurité des droits d’accès utilisateur auxquelles sont soumises les organisations.

De nouveaux services voient ainsi le jour pour permettre :

  • La mise en place de contrôles de séparation des tâches dans les systèmes eux-mêmes pour être capable d’identifier les risques liés aux droits d’accès de façon plus fine (Fine Grained SoD).
  • L’automatisation des contrôles liés aux accès tels que les contrôles généraux IT (ITGC) de façon à identifier notamment les comptes actifs de personnes ayant quitté l’entreprise, les surallocations de droits d’accès, les droits d’accès atypiques, les problèmes de violation de stratégie de mots de passe.
  • La production de reportings et d’audits de conformité, pour apporter des réponses aux auditeurs internes et externes.
  • La production de tableaux de bord de pilotage, afin d’offrir davantage de visibilité aux directions des organisations.

Cette évolution marque un tournant décisif dans la prise en compte des risques cyber. Si ces derniers étaient autrefois l’apanage des équipes IT, cette époque est bel et bien révolue : la cybersécurité devient l’affaire de tous. Elle constitue une priorité majeure pour les organisations tous départements confondus et nécessite que chaque partie prenante puisse détenir la visibilité nécessaire pour anticiper, contrôler et réduire les risques associés aux droits d’accès et aux identités.

Gestion et gouvernance des identités et des accès (IAM/IGA) aujourd’hui : où en est-on ?

Aujourd’hui, nombre d’organisations ont d’ores et déjà enclenché voire achevé leur transformation digitale. La démocratisation du télétravail et les nouveaux usages qui en émergent repoussent à nouveau les limites de l’IAM et de l’IGA.

Autrefois centralisées, les ressources de l’entreprise sont désormais dispersées dans les SI, une grande majorité d’entre elles étant hébergées à distance, en dehors du strict périmètre physique de l’entreprise. Comment dès lors garder le contrôle des identités et des accès pour les protéger ?

Pour y parvenir, les organisations opèrent un changement majeur et s’affranchissent de la notion de confiance implicite pour lui préférer une nouvelle approche : celle du Zéro Trust. La nécessité de s’inscrire dans une démarche Zéro Trust génère ainsi de nouveaux besoins. Les entreprises doivent plus que jamais disposer d’une vision globale et exhaustive des droits d’accès logiques suivant :

  • les personnes et les identités qui les détiennent,
  • le niveau de sensibilité des données auxquelles accèdent les utilisateurs,
  • leur usage, relatif aux applications ou aux infrastructures.
  • leur localisation, en local ou à distance.

Le tout, dans un contexte où le volume de données dont disposent les organisations ne cesse de croître !

Les nouveaux services offerts par les dernières solutions d’IGA disponibles ont ainsi pour objectif de permettre aux organisations de :

  • Gérer les comptes qui ne sont pas nominatifs, et en particulier les comptes à privilèges.
  • Mettre en place une gouvernance de façon à savoir précisément qui a accès à quoi du point de vue des données mais aussi du point de vue des infrastructures.
  • Disposer d’une approche analytique intelligente qui leur permet d’automatiser toutes les tâches qui peuvent l’être pour se concentrer sur ce qui pose problème et sur le pilotage de la stratégie de sécurité des droits d’accès logiques mise en place.

 

IAM et IGA : quelles problématiques rencontrées par les organisations face aux solutions disponibles sur le marché ?

 

Si les différentes étapes de déploiement de l’IAM puis de l’IGA ont permis d’étoffer l’offre de services des solutions disponibles sur le marché, nombre d’organisations se confrontent à un dilemme de taille et s’interrogent sur la stratégie à adopter.

 

En effet, si certaines recourent à des solutions d’IGA dites de dernière génération, nombreuses sont celles qui achèvent tout juste le déploiement de leur projet d’IAM à l’aide d’une solution plus ancienne. La perspective d’opter pour une solution d’IGA pour répondre à leurs nouveaux besoins s’avère alors problématique : les efforts déployés au cours des dernières années et l’investissement financier conséquent réalisé pour mener à bien leur projet d’IAM seraient-ils vains ?

 

Détrompez-vous : des solutions existent ! Le recours à l’Identity Analytics est l’une d’elle. Adossée à leur solution d’IAM existante, cette technologie d’analyse des droits d’accès et des identités peut leur permettre de capitaliser sur les efforts fournis jusqu’ici et d’adresser leurs nouveaux besoins en matière de sécurité, de conformité et de gouvernance des droits d’accès.

Envie d’en savoir plus ? Contactez-nous et découvrez comment maximiser le potentiel de votre solution d’IAM avec Brainwave Identity Analytics !

Sur la même thématique

Aucun résultat

La page demandée est introuvable. Essayez d'affiner votre recherche ou utilisez le panneau de navigation ci-dessus pour localiser l'article.