Mise en œuvre d’un projet de gestion et de gouvernance des identités et des accès pour améliorer la sécurité

Améliorer et simplifier la gestion des identités, des droits et des comptes

Il s’agit ici de simplifier et d’automatiser les actions du quotidien liées à la gestion des identités et de leurs droits.

Gestion du cycle de vie des identités

La gestion du cycle de vie des identités consiste à modéliser et outiller la gestion des événements de la vie d’une identité au sein de l’entreprise.
Elle couvre ainsi :
 toutes les populations devant se connecter au SI de l’entreprise : employés, prestataires in situ et ex situ, fournisseurs, partenaires, clients… voir demain des objets connectés, les machines, les robots, etc. ;
 tous les événements touchant à une identité au cours de son cycle de vie et pouvant varier selon les populations et selon les activités : arrivée, changement de poste, départ, arrivée/retour de saisonnier, détachement, absence longue durée, suspension, mission supplémentaire, etc.

Gestion des habilitations

Les identités étant gérées, il convient également de gérer leurs habilitations sur le SI, c’est-à dire leur(s) compte(s) applicatif(s) et leurs droits dans les applications.
 La gestion des habilitations s’appuie généralement sur :
 un modèle d’habilitation, c’est-à-dire la modélisation homogène des droits sur le SI ;
 une organisation « back office » en charge de la définition et de l’évolution de cette modélisation ;
 des processus d’approbation en cas de demande, modification ou retrait d’un droit ;
 une organisation « front office » en charge d’approuver, de rejeter ou de compléter les demandes soumises.
 Enfin, pour simplifier l’expérience utilisateur et faire de l’IAM l’outil principal de la gestion des demandes, la gestion des habilitations peut être étendue à d’autres ressources comme :
 des badges d’accès logique ou physique : restauration, machine à café, etc. ;
 des équipements IT : téléphone portable, tablette, etc. ;
 des droits d’accès physiques : accès aux bâtiments, à certains locaux, etc.
 15/106 Gestion & Gouvernance des Identités et des Accès © CLUSIF 2017.

Provisioning

Après avoir géré les demandes d’habilitations, il reste à créer les comptes et droits ad hoc sur le SI. C’est l’objectif du provisioning. Il cherche à maintenir à jour les référentiels majeurs comme l’annuaire Active Directory et les annuaires LDAP ainsi que les référentiels propres à chaque application.
Plusieurs niveaux d’intégration sont possibles.
Le provisioning automatique vise à créer automatiquement les comptes et droits nécessaires.
Le provisioning manuel ou guidé nécessite que les actions techniques soient réalisées manuellement par un administrateur. Pour le mettre en œuvre, il existe principalement deux approches :
 Interfacer l’outil IAM/IAG avec l’outil ITSM existant. Ainsi, l’IAM/IAG crée un ticket dans l’ITSM puis suit son traitement afin de pouvoir afficher un niveau d’avancement à l’utilisateur ;
 implémenter directement dans l’IAM les processus appropriés pour notifier les administrateurs des tâches en attente et leur permettre de rendre compte de leurs actions.
 Le provisioning mixte ou semi-automatique combine des tâches automatiques et des actions manuelles. Suivant le contexte, il permet de combiner plusieurs avantages tels que :
 la gestion automatique des attributs sensibles comme le statut actif ou suspendu d’un compte ou le délai d’expiration des mots de passe afin de garantir un haut niveau de sécurité ;
 la gestion manuelle des droits d’accès pour une implémentation simple.
 Le provisioning « à la volée », est apparu plus récemment avec les outils de fédération d’identités. Il consiste à fournir, dans le jeton d’identité échangé, l’ensemble des informations nécessaires à la création et à la mise à jour du compte. Charge alors àl’application consommant ce jeton de créer le compte à la première connexion de l’utilisateur puis de le mettre à jour lors des accès suivants. 18/106 Gestion & Gouvernance des Identités et des Accès © CLUSIF 2017

Piloter, auditer et contrôler les identités, les droits et les accès

L’objectif est ici de disposer de la capacité à piloter, auditer et contrôler les accès au SI. Historiquement ces fonctions étaient relativement peu développées dans les solutions d’IAM, jusqu’à l’apparition d’outils dédiés à cet enjeu, sous le nom d’IAG ou IAI (Identity & Access Governance, Identity Analytics & Intelligence). A noter qu’à ce jour les outils d’IAM cherchent Mise en œuvre d’un projet de gestion et de gouvernance des identités et des accès pour améliorer la sécurité de l’entreprise à étendre leur couverture fonctionnelle, menant parfois à un recouvrement entre solutions d’IAM, d’IAG et d’IAI.
Les solutions IAM, IAG et IAI se distinguent par:
 la conception intrinsèque des outils : les outils d’IAI sont le pendant « Business Intelligence » de l’IAM. Ils sont construits autour d’un puits de données ou cube de données et ont vocation à réagir a posteriori ;
 la granularité des droits gérés : les outils d’IAM et d’IAG se limitent en grande majorité aux droits dont ils doivent gérer l’attribution. Par exemple dans SAP, il s’agira des rôles composites. Allant plus loin, les outils d’IAI ont vocation à recréer la chaîne de liaison complète, jusqu’au droit le plus fin dans les applications. Par exemple dans SAP, il s’agira des transactions. L’objectif est de détecter les risques ou les nonconformités dues à la définition des rôles ou des profils.
 Les sponsors et donneurs d’ordre visés : les solutions d’IAI visent en premier lieu à maîtriser le niveau de risques liés aux droits d’accès. En ce sens, elles s’adressent prioritairement aux directions des risques et à l’audit interne.
 Ainsi, et de manière très schématique, l’IAI vise principalement 3 objectifs :
 améliorer la qualité des données par des contrôles de cohérence et une assistance à l’identification des sources d’incohérence ;
 maîtriser les risques liés aux habilitations avec un suivi de l’attribution des droits à risques, le pilotage de campagnes de revues et la gestion des exceptions ;
 ajuster le modèle d’habilitation ou « Role Management » grâce à l’analyse de l’usage des profils métiers et applicatifs définis et à la comparaison des droits attribués et transactions effectivement utilisées.
L’intérêt de l’IAI prend toute sa dimension lorsque les directions des risques et de l’audit interne sont fortement impliquées dans le projet.
La suite du chapitre donne un éclairage rapide sur les principales fonctionnalités d’un IAI.

Authentifier les utilisateurs

Authentifier un utilisateur vise à garantir, avec un niveau de confiance adapté, son identité.
L’objectif de ce chapitre est de donner un aperçu des moyens d’authentification autres que le simple couple « login/mot de passe » encore très répandu.
 Authentification forte, authentification renforcée, MFA
Sans qu’il existe de définition officielle et partagée, l’authentification forte peut se définir comme la combinaison de deux principes :
 la combinaison d’au moins deux facteurs différents parmi les suivants :
 ce que je sais et que je suis le seul à connaître : par exemple un mot de passe ou un code PIN ;
 ce que je possède : par exemple une carte à puce, un certificat, un token ou un smartphone ;
 ce que je suis : par exemple par une empreinte digitale, un réseau veineux, un visage.
 au moins un de ces facteurs n’est pas rejouable. C’est-à-dire que les données échangées entre l’utilisateur et le serveur ne peuvent pas être réutilisées. Ainsi, même si elles sont interceptées, elles restent inutilisables.
 Authentification OOB (Out-Of-Band)
L’authentification OOB consiste à recourir, pour un facteur d’authentification, à un canal différent de celui utilisé pour accéder à l’application.
• Exemple OOB : accès à une application Web à partir d’un PC + application sur un smartphone recevant une notification push dans laquelle il faut confirmer son identité.
• Exemple non OOB : accès à une application Web à partir d’un PC + envoi d’un SMS sur un smartphone, à ressaisir dans l’IHM de l’application Web.
 Biométrie comportementale
La biométrie comportementale consiste à comparer le comportement de l’utilisateur par rapport à son « empreinte comportementale ». Cette dernière peut être générée lors d’une phase d’enrôlement ou construite progressivement, à mesure que l’utilisateur utilise ses équipements.
A titre d’exemples : la vitesse ou la dynamique de frappe, les mouvements de la souris, les habitudes dans l’utilisation d’un écran tactile.

Contrôler et simplifier l’accès aux applications

L’objectif ici est double :
 simplifier l’accès de l’utilisateur en limitant les demandes d’authentification : c’est le principe du SSO qui vise, après une première authentification, à ne plus authentifier l’utilisateur durant une période déterminée ;
 contrôler l’accès aux applications, c’est-à-dire vérifier que l’utilisateur est bien autorisé à réaliser l’accès demandé, et tracer cet accès.

Tirer parti du cloud

Les services d’IDaaS/IAMaaS visent à offrir les fonctionnalités d’IAM dans le Cloud, c’est-àdire en mode SaaS.
Comme pour les autres services IT, nombreux sont les clients qui s’interrogent sur la pertinence de recourir au Cloud pour les services IAM. A la date de rédaction de ce document, le recours à ces services reste limité car toutes les briques IAM n’offrent pas le même niveau de maturité:
 les services Cloud associés à la gestion des accès, tels que l’authentification multifacteurs, le SSO ou la Fédération d’Identités, offrent déjà un niveau de maturité intéressant ;
 les services Cloud associés à la gestion des identités restent en retrait par rapport à l’offre « on-premise ». A noter que la couverture fonctionnelle n’est pas nécessairement identique chez un même éditeur offrant sa solution en mode « on-premise » et en mode Cloud ;
 les services Cloud associés à l’IAI sont les moins bien représentés dans les offres Cloud.
Les approches les plus répandues actuellement sont au mieux « hydrides », combinant une infrastructure « on-premise » et certains services Cloud.
Enfin, pour pallier le manque d’offres Cloud, certains intégrateurs tendent à délivrer des implémentations de solutions « on-premise » sur des hébergements Cloud (PaaS). Ce mode de délivrance reste lui aussi assez récent et n’offre pas un niveau de service identique à une offre Cloud à part entière.

Pourquoi démarrer un projet IAM/IAG ?

Les motivations liées au démarrage de tout ou partie d’un projet de Gestion et Gouvernance des Identités et des Accès sont nombreuses. C’est pourquoi l’objet de ce chapitre n’est pas d’en dresser la liste exhaustive mais plutôt d’identifier de nombreux cas d’usages ou objectifs concrets qui sont autant d’arguments justifiant de lancer un projet d’IAM/IAG.
Le tableau ci-après présente un certain nombre de ces cas d’usages, organisés par domaines fonctionnels et problématiques, en face desquels nous avons positionné les briques de l’IAM/IAG les plus directement concernées.
La liste n’est pas exhaustive, d’autres cas d’usages sont fournis dans la suite du document, et notamment dans les fiches pratiques présentées au chapitre VI.

Gestion des accès

La gestion des accès comprend divers procédés et techniques permettant de veiller à ce que les droits d’accès soient corrects en permanence. Elle se concentre sur l’élaboration et la gestion de la matrice des accès, des dérogations étant approuvées et visées par les responsables habilités, aux éléments d’audits, etc.

SSO – Single Sign-On

L’acception la plus courante de ce terme est informelle et désigne la possibilité pour un utilisateur de s’authentifier une seule fois pour avoir accès à plusieurs services.

Gestion des identités

La gestion des identités s’intéresse par exemple au contrôle de la façon dont les utilisateurs acquièrent une identité, la protection de cette identité et les technologies permettant cette protection.

Gouvernance des accès et identités

Il s’agit de superviser les comportements des utilisateurs du système d’information sur tous leurs terminaux, qu’il s’agisse d’employés, de clients ou même d’objets accédant légitimement aux ressources partagées

Formation et coursTélécharger le document complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *