Gestion des identités et des accès
Une solution IAM se compose de divers composants et systèmes. Les plus couramment déployés comprennent : Single sign-on. L’authentification unique (SSO) est une forme de contrôle d’accès qui permet aux utilisateurs de s’authentifier avec plusieurs applications logicielles ou systèmes en utilisant une seule connexion et un seul ensemble d’identifiants. L’application ou le site auquel l’utilisateur tente d’accéder s’appuie sur un tiers de confiance pour vérifier que l’utilisateur est bien celui qu’il prétend être, ce qui entraîne : Expérience utilisateur améliorée. Réduction de la fatigue des mots de passe. Gestion simplifiée des mots de passe. Réduction des risques de sécurité pour les clients, les partenaires et les fournisseurs. Utilisation limitée des informations d’identification. Protection améliorée des identités. Authentification multifactorielle. L’authentification multifactorielle vérifie l’identité d’un utilisateur avec des exigences pour saisir plusieurs informations d’identification et fournir divers facteurs : Quelque chose que l’utilisateur sait : un mot de passe. Quelque chose que l’utilisateur possède : un jeton ou un code envoyé à l’utilisateur par e-mail ou SMS, à un générateur de jetons matériels ou à une application d’authentification installée sur le smartphone de l’utilisateur. Quelque chose de spécifique à l’utilisateur, comme des informations biométriques. Gestion des accès privilégiés. La gestion des accès privilégiés protège les entreprises contre les cyberattaques et les attaques internes en attribuant des niveaux d’autorisation plus élevés aux comptes ayant accès aux ressources critiques de l’entreprise et aux contrôles de niveau administrateur. Ces comptes sont généralement des cibles de grande valeur pour les cybercriminels et, à ce titre, des risques élevés pour les organisations. Authentification basée sur les risques. Lorsqu’un utilisateur tente de se connecter à une application, une solution d’authentification basée sur les risques examine des fonctionnalités contextuelles telles que son appareil actuel, son adresse IP, son emplacement ou son réseau pour évaluer le niveau de risque. Sur cette base, il décidera d’autoriser l’utilisateur à accéder à l’application, de l’inviter à soumettre un facteur d’authentification supplémentaire ou de lui refuser l’accès. Cela aide les entreprises à identifier immédiatement les risques de sécurité potentiels, à mieux comprendre le contexte de l’utilisateur et à augmenter la sécurité avec des facteurs d’authentification supplémentaires. Gouvernance des données. La gouvernance des données est le processus qui permet aux entreprises de gérer la disponibilité, l’intégrité, la sécurité et la facilité d’utilisation de leurs données. Cela inclut l’utilisation de politiques et de normes relatives à l’utilisation des données pour s’assurer que les données sont cohérentes, dignes de confiance et ne sont pas utilisées à mauvais escient. La gouvernance des données est importante au sein d’une solution IAM, car les outils d’intelligence artificielle et de machine learning dépendent des entreprises qui disposent de données de qualité. Gestion fédérée des identités. La gestion fédérée des identités est un processus de partage d’authentification par lequel les entreprises partagent des identités numériques avec des partenaires de confiance. Cela permet aux utilisateurs d’utiliser les services de plusieurs partenaires en utilisant le même compte ou les mêmes informations d’identification. L’authentification unique est un exemple de ce processus dans la pratique. Zero Trust. Une approche Zero Trust éloigne les entreprises de l’idée traditionnelle de faire confiance à tout le monde ou à tout ce qui est connecté à un réseau ou derrière un pare-feu. Cette vision n’est plus acceptable, compte tenu de l’adoption du cloud et des appareils mobiles qui étendent le lieu de travail au-delà des quatre murs du bureau et permettent aux gens de travailler de n’importe où. L’IAM est crucial dans cette approche, car elle permet aux entreprises d’évaluer et de vérifier en permanence les personnes accédant à leurs ressources.
Une solution IAM permet aux administrateurs informatiques de gérer de manière sûre et efficace les identités numériques des utilisateurs et les privilèges d’accès associés. Grâce à l’IAM, les administrateurs peuvent définir et modifier les rôles d’utilisateur, suivre et rendre compte de l’activité des utilisateurs, mais aussi appliquer les politiques de conformité réglementaire et de l’entreprise pour protéger la sécurité et la confidentialité des données. Une solution IAM peut être un ensemble de plusieurs processus et outils, y compris une solution de contrôle d’accès au réseau (NAC). Les administrateurs informatiques utilisent les solutions NAC pour contrôler l’accès aux réseaux grâce à des fonctionnalités telles que la gestion du cycle de vie des politiques, l’accès invité au réseau et les contrôles de la posture de sécurité. Les solutions IAM peuvent être fournies sous forme de services en nuage ou déployées sur site, ou bien il peut s’agir de solutions hybrides à la fois sur site et dans le nuage. De nombreuses entreprises choisissent les applications en nuage pour l’IAM, car elles sont plus faciles à mettre en œuvre, à mettre à jour et à gérer. L’identité numérique est une source centrale de vérité dans la gestion des identités et des accès. Elle fait référence aux informations d’authentification dont un utilisateur a besoin pour accéder à des ressources en ligne ou sur un réseau pour grande entreprise. Les solutions IAM font correspondre ces informations d’authentification, appelées facteurs d’authentification, aux utilisateurs ou aux entités qui demandent l’accès aux applications, principalement au niveau de la couche 7. Ces facteurs permettent de vérifier que les utilisateurs sont bien ceux qu’ils prétendent être. Trois des facteurs d’authentification les plus couramment utilisés pour l’IAM sont quelque chose que l’utilisateur connaît (comme un mot de passe); quelque chose que l’utilisateur possède (comme un téléphone intelligent); et quelque chose que l’utilisateur est (une propriété physique, comme une empreinte du pouce). Un utilisateur doit généralement fournir une combinaison de facteurs d’authentification pour qu’une application d’authentification puisse confirmer son identité et lui accorder l’accès aux ressources protégées qu’il est autorisé à consulter ou à utiliser. De nombreuses entreprises utilisent l’authentification à deux facteurs (2FA), qui est une forme basique de l’authentification à plusieurs facteurs (MFA). Le processus 2FA exige de l’utilisateur qu’il fournisse un nom d’utilisateur et un mot de passe, puis qu’il entre un code généré par l’application 2FA ou qu’il réponde à une notification sur un périphérique tel qu’un téléphone intelligent.
Concepts de gestion des identités et des accès (GIA): gestion des identités, authentification et autorisation, fédération, gouvernance, comptes à privilèges élevés. Enjeux liés à la gestion et la gouvernance des identités et des accès en entreprise.
Avec la GIA, nous pouvons définir et modifier les rôles d’utilisateurs, suivre et rendre compte de leurs activités, mais aussi appliquer les politiques de conformité réglementaire pour protéger et garantir la sécurité et la confidentialité des données. Il s’agit d’un élément essentiel de l’architecture informatique de l’Université. Un système de la GIA peut être déployé sur place, fourni par un tiers au moyen d’un modèle d’abonnement basé dans le nuage ou déployé dans un modèle hybride. Il comprend les systèmes d’authentification unique, l’authentification à facteurs multiples et la gestion des accès privilégiés. À l’Université, le système GIA traite chaque jour des milliers d’interactions basées sur l’utilisation de différents systèmes sources tels que uOCampus, Talisma, Office 365 ainsi le contrôle des accès aux divers bâtiments. Qu’il s’agisse de la population étudiante, le personnel de soutien, le corps professoral ou d’un partenaire externe, le système de la GIA garantit que tous les utilisateurs ont accès aux différents systèmes et disposent des autorisations adéquates pour effectuer les tâches souhaitées. Voici quelques-unes des fonctions clés d’un système de la GIA: Identification des individus dans un système. Identification des rôles dans un système et attribution des rôles aux individus. Ajout, suppression et mise à jour des individus et de leurs rôles dans un système. Attribution des niveaux d’accès aux individus ou aux groupes d’individus. Protection des données confidentielles au sein du système et sécurisation du système lui-même.
L’octroi d’un accès sécurisé aux ressources d’une entreprise comporte deux volets : la gestion des identités et la gestion des accès. La gestion des identités contrôle une tentative de connexion en se référant à une base de données de gestion des identités, qui est un enregistrement continu de toutes les personnes qui doivent disposer d’un accès. Ces informations doivent être mises à jour en permanence au fur et à mesure que les collaborateurs rejoignent ou quittent l’entreprise, que leurs rôles et leurs projets changent et que la portée de l’entreprise évolue. Les noms des collaborateurs, les intitulés de poste, les managers, les subordonnés directs, les numéros de téléphone portable et les adresses e-mail personnelles sont des exemples d’informations stockées dans une base de données de gestion des identités. L’authentification est le processus qui consiste à faire correspondre les informations de connexion d’une personne, telles que son nom d’utilisateur et son mot de passe, avec son identité dans la base de données. Pour plus de sécurité, de nombreuses entreprises exigent que les utilisateurs vérifient leur identité avec une fonctionnalité appelée authentification multifacteur (MFA). Aussi connue sous le nom de vérification bidirectionnelle ou authentification à 2 facteurs (2FA), l’authentification MFA est plus sécurisée que l’utilisation d’un nom d’utilisateur et d’un mot de passe seuls. Elle ajoute une étape au processus de connexion où l’utilisateur doit vérifier son identité avec une autre méthode de vérification. Ces méthodes de vérification peuvent inclure des numéros de téléphone portable et des adresses e-mail personnelles. Le système de gestion des identités et des accès envoie généralement un code à usage unique à la méthode de vérification alternative, que l’utilisateur doit saisir dans le portail de connexion dans un délai défini. La gestion des accès est le second volet de la gestion des identités et des accès. Une fois que le système de gestion des identités et des accès a vérifié que la personne ou l’objet qui tente d’accéder à une ressource correspond à son identité, la gestion des accès garde une trace des ressources auxquelles la personne ou l’objet est autorisé à accéder. La plupart des entreprises accordent différents niveaux d’accès aux ressources et aux données et ces niveaux sont déterminés par des facteurs tels que l’intitulé du poste, l’ancienneté, l’habilitation de sécurité et le projet. L’autorisation correspond à l’octroi du niveau d’accès correct une fois que l’identité d’un utilisateur est authentifiée. L’objectif des systèmes de gestion des identités et des accès est de s’assurer que l’authentification et l’autorisation s’effectuent correctement et de façon sécurisée lors de chaque tentative d’accès.