Qu’est-ce que la gestion des identités et des accès (IAM) ?

Avec l’essor du cloud computing, du télétravail et de l’IA générative, l’IAM est désormais une composante centrale de la sécurité des réseaux.

Les réseaux d’entreprise accueillent aujourd’hui un nombre croissant d’utilisateurs humains (salariés, clients, sous-traitants) et non humains (agents IA, appareils IdO, terminaux et workloads automatisées). Répartis sur différents sites, ces utilisateurs ont besoin d’un accès sécurisé aux applications et ressources sur site et dans le cloud.

Les pirates n’ont pas manqué de remarquer cette surface d’attaque des identités en pleine expansion. Selon l’IBM X-Force Threat Intelligence Index, 30 % des cyberattaques impliquent le vol et l’utilisation abusive des comptes valides.

La gestion des identités et des accès facilite et sécurise l’accès des utilisateurs autorisés, tout en bloquant l’accès des attaquants externes, de initiés malveillants et même des utilisateurs bien intentionnés, mais qui abusent de leurs droits d’accès. Les outils IAM permettent aux entreprises de créer et de supprimer en toute sécurité les identités numériques, de définir et d’appliquer des politiques de contrôle d’accès, de vérifier les utilisateurs et de surveiller leur activité. 

L’objectif de l’IAM est de déjouer les plans des pirates informatiques tout en facilitant la tâche des utilisateurs autorisés, sans leur donner plus de droits que nécessaire.

À cette fin, la mise en œuvre de l’IAM repose sur quatre piliers :

• Administration
• L'authentification
• Autorisation
• Audit

L’administration des identités, également appelée « gestion des identités » ou « gestion du cycle de vie des identités », consiste à créer, à gérer et à supprimer en toute sécurité les identités des utilisateurs dans un système.

Pour faciliter et sécuriser l’accès utilisateur, les entreprises doivent avant tout savoir qui et quoi se trouve dans leur système. Il s’agit généralement d’attribuer à chaque utilisateur humain et non humain une identité numérique distincte.

L’identité numérique est un ensemble d’attributs permettant de distinguer une entité. Les identités numériques englobent des caractéristiques telles que le nom de l’utilisateur, ses identifiants de connexion, son poste et ses droits d’accès.

Les identités numériques sont généralement stockées dans une base de données ou un annuaire central, qui sert de source d’information unique. Le système IAM s’appuie sur les informations de cette base de données pour valider les utilisateurs et déterminer ce qu’ils sont autorisés à faire.

En plus d’assurer l’intégration des nouveaux utilisateurs, les outils IAM peuvent mettre à jour les identités et les autorisations, à mesure que les rôles des utilisateurs changent, et supprimer leurs droits d’accès lorsqu’ils quittent le système.

Si les équipes informatiques et de cybersécurité peuvent gérer manuellement le provisionnement et la révocation des droits utilisateur, de nombreux systèmes IAM proposent également une approche en libre-service. Les utilisateurs fournissent leurs informations, et le système crée automatiquement leur identité, puis définit les niveaux d’accès appropriés en fonction des règles fixées par l’entreprise. 

L’authentification est le processus qui permet de vérifier qu’un utilisateur est bien la personne qu’il prétend être.

Lorsqu’un utilisateur se connecte à un système ou demande l’accès à une ressource, il fournit des identifiants, appelés « facteurs d’authentification », pour prouver son identité. Par exemple, un utilisateur humain fournira son mot de passe ou le scan de son empreinte digitale biométrique, tandis qu’un utilisateur non humain partagera un certificat numérique. Le système IAM vérifie ces identifiants dans la base de données centrale. Si elles correspondent, l’accès est accordé.

Si le mot de passe est la méthode d’authentification la plus élémentaire, c’est aussi l’une des plus faibles. La plupart du temps, l’IAM emploie aujourd’hui des méthodes d’authentification plus complexes, comme l’authentification à deux étapes (2FA) ou l’authentification à étapes (MFA), qui demandent aux utilisateurs de fournir plusieurs éléments d’authentification pour prouver leur identité.

Par exemple, lorsqu’un site Web demande aux utilisateurs de saisir à la fois un mot de passe et un code qui est envoyé par SMS à leur téléphone, il s’agit d’un système 2FA.

L’autorisation est le processus qui consiste à accorder aux utilisateurs vérifiés les niveaux d’accès appropriés à une ressource.

L’authentification et l’autorisation sont étroitement liées, l’authentification étant généralement une condition préalable à l’autorisation. Une fois que l’utilisateur a prouvé son identité, le système IAM vérifie les droits d’accès associés à cette identité dans la base de données centrale pour déterminer si oui ou non l’autoriser.

Ensemble, l’authentification et l’autorisation forment la composante « gestion des accès » du processus de gestion des identités et des accès.

Pour définir les droits d’accès des utilisateurs, les entreprises adoptent diverses approches. Un cadre courant est le contrôle d’accès basé sur les rôles (RBAC), selon lequel les droits d’accès des utilisateurs dépendent de leur poste. Le RBAC permet de rationaliser l’octroi des autorisations et évite aux entreprises d’accorder aux utilisateurs des droits d’accès excessifs.

Par exemple, supposons que des administrateurs système définissent des autorisations pour un pare-feu réseau. Un représentant commercial n’y aurait probablement pas accès, car son rôle ne l’exige pas. Un analyste de sécurité débutant peut être en mesure de visualiser les configurations du pare-feu, mais pas de les modifier. Le responsable de la sécurité des systèmes d’information (RSSI) bénéficierait d’un accès administratif complet. Une API dédiée à un système intégré de gestion des informations et des événements de sécurité (SIEM) pourrait être en mesure de lire les journaux d’activité du pare-feu.

La plupart des cadres de contrôle des accès sont élaborés selon le principe du moindre privilège. Souvent associé à des stratégies de cybersécurité Zero Trust, le principe du moindre privilège stipule que les utilisateurs ne doivent disposer que des autorisations strictement nécessaires pour accomplir une tâche donnée. Leurs droits d’accès doivent être révoqués dès que la tâche est accomplie.

L’audit consiste à s’assurer que le système IAM et ses composantes (administration, authentification et autorisation) fonctionnent correctement.

L’audit consiste à suivre et à enregistrer la manière dont les utilisateurs se servent de leurs droits d’accès afin d’empêcher tout accès non autorisé, y compris celui des pirates informatiques, et de s’assurer que les utilisateurs autorisés n’abusent pas de leurs privilèges.

Fonction essentielle de la gouvernance des identités, l’audit est important pour assurer sa conformité réglementaire. Les cadres de sécurité tels que le Règlement général sur la protection des données (RGPD), la loi Sarbanes-Oxley (SOX) et la Norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS), obligent les entreprises à restreindre les droits d’accès des utilisateurs de certaines manières. Les outils et processus d’audit aident les entreprises à s’assurer que leur système IAM répond aux exigences, tandis que les pistes d’audit leur permettent de prouver leur conformité et de repérer des violations, le cas échéant.

Les entreprises s’appuient sur des outils technologiques pour rationaliser et automatiser leurs principaux workflows IAM, dont l'identification des utilisateurs et le suivi de leur activité. Certaines entreprises se tournent vers des solutions spécialisées pour couvrir différents aspects de l’IAM, tandis que d’autres font le choix d’une plateforme IAM complète, qui se charge de tout, ou qui intègre plusieurs outils dans un ensemble unifié.

Voici les principaux composants et fonctions des solutions de gestion des identités et des accès :

Les services d’annuaire permettent aux systèmes IAM de stocker et de gérer les données relatives à l’identité, aux identifiants et aux droits d’accès des utilisateurs. Les solutions IAM peuvent avoir leur propre annuaire centralisé, ou s’intégrer à des services d’annuaire externes comme Microsoft Active Directory et Google Workspace.

Certaines mises en œuvre de l’IAM suivent une approche appelée « fédération d’identité », selon laquelle des systèmes disparates partagent entre eux des informations d’identité. L’un des systèmes fait office de fournisseur d’identité, s’appuyant sur des normes ouvertes comme SAML (Security Assertion Markup Language) et OpenID Connect (OIDC) pour identifier en toute sécurité les utilisateurs auprès des autres systèmes.

La connexion par le biais d’un réseau social, c’est-à-dire lorsqu’une application permet à l’utilisateur de se connecter à l’aide de son compte Facebook, Google ou autre, constitue un exemple courant de fédération des identités.

Outre MFA et 2FA, de nombreuses solutions IAM prennent en charge des méthodes d’authentification avancées telles que la connexion unique (SSO), l’authentification adaptative et l’authentification sans mot de passe.

La connexion unique (SSO) permet aux utilisateurs d’accéder à plusieurs applications et services à l’aide des mêmes identifiants. Le portail SSO authentifie l’utilisateur et génère un certificat ou un jeton qui sert de clé de sécurité pour diverses autres ressources. Les systèmes SSO s’appuient sur des protocoles comme SAML et OIDC pour partager les clés entre différents fournisseurs de services.

L’authentification adaptative, également appelée authentification basée sur les risques, modifie les exigences d’authentification en temps réel, en fonction de l’évolution des niveaux de risque. Les schémas d’authentification adaptative associent intelligence artificielle (IA) et machine learning (ML) pour analyser le contexte de chaque connexion, notamment des facteurs tels que le comportement des utilisateurs, la posture de sécurité de l’appareil et la chronologie. Plus la connexion est risquée, plus le système exige une authentification rigoureuse.

Par exemple, un utilisateur qui se connecte à partir de son appareil et de son emplacement habituels n’aura à saisir que son mot de passe. Si ce même utilisateur se connecte à partir d’un appareil non reconnu ou s’il tente de consulter des informations particulièrement sensibles, il devra fournir des facteurs supplémentaires car la situation fait peser un risque plus grand sur l’entreprise.

Les systèmes d’authentification sans mot de passe remplacent les mots de passe, réputés pour être faciles à pirater, par des identifiants plus sécurisés. Les clés d’accès, comme celles reposant sur la norme FIDO, comptent parmi les méthodes d’authentification sans mot de passe les plus courantes. Elles s’appuient sur la cryptographie à clé publique pour vérifier l’identité des utilisateurs.

Les outils de contrôle d’accès permettent aux entreprises de définir et d’appliquer des politiques granulaires réglementant l’accès des utilisateurs humains et non humains. Outre le RBAC, les cadres de contrôle d’accès les plus courants sont les suivants :

• Le contrôle d’accès obligatoire (MAC), qui applique des politiques définies de manière centralisée pour tous les utilisateurs, en fonction des niveaux d’autorisation ou des scores de confiance.
  
  
• Le contrôle d’accès discrétionnaire (DAC), qui permet aux propriétaires de définir leurs propres règles de contrôle d’accès aux ressources. 
  
  
• Le contrôle d’accès basé sur les attributs (ABAC), qui consiste à analyser les attributs des utilisateurs, des objets et des actions (par exemple, le nom de l’utilisateur, le type de ressource et l’heure de la journée), afin de déterminer si l’accès sera accordé.

Les outils de gestion des accès privilégiés (PAM) supervisent la sécurité des comptes et contrôlent l’accès des comptes utilisateurs hautement privilégiés, comme les administrateurs système. Les comptes privilégiés bénéficient de protections spéciales, car il s’agit de cibles importantes, que les acteurs malveillants peuvent exploiter pour causer des dommages significatifs. Pour isoler et sécuriser ces identités privilégiées, les outils PAM associent coffres-forts pour les identifiants et protocoles d’accès à la demande.

Les outils de gestion des identifiants permettent aux utilisateurs de stocker de manière sécurisée et centralisée leurs mots de passe, clés d’accès et autres identifiants. Les outils de gestion des identifiants réduisent le risque que les salariés oublient leurs identifiants. Ils favorisent également une meilleure hygiène informatique, puisqu’ils permettent de définir plus facilement un mot de passe différent pour chaque service utilisé.

Les outils de gestion des secrets protègent les identifiants (certificats, clés, mots de passe, jetons) associés aux utilisateurs non humains tels que les applications, les serveurs et les workloads. Les solutions de gestion des secrets stockent généralement les secrets dans un coffre-fort central sécurisé. Lorsque les utilisateurs autorisés doivent accéder à un système sensible, ils obtiennent le secret correspondant auprès du coffre-fort. 

Les outils de gouvernance des identités permettent aux entreprises de contrôler l’activité des utilisateurs et de garantir la conformité réglementaire.

Les principales fonctions des outils de gouvernance des identités sont l’audit des autorisations utilisateur en vue de corriger les niveaux d’accès inappropriés, l’enregistrement de l’activité utilisateur, l’application des politiques de sécurité et le signalement des violations.

Les outils de détection et de réponse aux menaces liées à l’identité (ITDR ) repèrent et éliminent automatiquement les menaces pesant sur l’identité, ainsi que les risques tels que l’élévation des privilèges et les erreurs de configuration des comptes. Relativement nouveaux, les outils ITDR ne sont pas encore systématiquement intégrés à l’IAM, mais ils sont de plus en plus souvent inclus dans la stratégie de sécurité des identités des entreprises.

La gestion des identités et des accès clients (CIAM) consiste à gérer les identités numériques des clients et d’autres utilisateurs externes à l’entreprise. Les principales fonctions de la CIAM sont la capture des données de profil client, l’authentification des utilisateurs et l’accès sécurisé aux services numériques, comme les sites d’e-commerce.

Les solutions de gestion des identités et des accès cloud, également appelées « outils IDaaS » (identité à la demande), adoptent une approche Saas (logiciel à la demande) de l’IAM.

Les outils IDaaS sont particulièrement utiles sur les réseaux complexes, au sein desquels les utilisateurs répartis se connectent à l’aide d’un appareil Windows, Mac, Linux ou mobile pour accéder aux ressources situées sur site et dans des clouds privés et publics. Ces réseaux peuvent être fragmentés et manquer de visibilité, mais les solutions IAM dans le cloud s’adaptent pour prendre en charge différents utilisateurs, applications et actifs dans un système d’identité unique.

Les outils IDaaS permettent également aux entreprises d’externaliser les aspects les plus chronophages et les plus gourmands en ressources de la mise en œuvre des systèmes IAM, comme la configuration des annuaires et la journalisation de l’activité utilisateur. 

Au fur et à mesure que les entreprises adoptent le multicloud, l’IA, l’automatisation et le télétravail, davantage d’utilisateurs ont besoin d’un accès sécurisé à toujours plus de ressources et d’emplacements. Les solutions IAM améliorent l’expérience utilisateur et renforcent la cybersécurité des réseaux décentralisés. En effet, elles rationalisent la gestion des accès tout en protégeant l’entreprise contre les cybermenaces courantes.

La transformation numérique est la norme pour les entreprises d’aujourd’hui, ce qui signifie que le réseau informatique centralisé, entièrement sur site, appartient désormais au passé. Les solutions et stratégies de sécurité axées sur le périmètre ne suffisent pas pour protéger efficacement les réseaux qui englobent appareils sur site et hors site, services cloud, applications Web et équipes d’utilisateurs humains et non humains répartis dans le monde entier.

Par conséquent, les entreprises font de la sécurité des identités un pilier central de leur stratégie de cybersécurité. Au lieu de se concentrer sur la périphérie du réseau, il est préférable de sécuriser chaque utilisateur, ainsi que son activité, où qu’elle se déroule.

Parallèlement, les entreprises doivent s’assurer que les utilisateurs disposent de l’accès à la demande nécessaire pour accomplir leurs tâches, sans être ralentis par des mesures de sécurité trop contraignantes.

Les systèmes IAM offrent aux équipes informatiques et de sécurité un moyen centralisé de définir et d’appliquer des politiques d’accès personnalisées à chaque utilisateur au sein de l’entreprise.

Les outils IAM peuvent également authentifier les utilisateurs en toute sécurité et participer au suivi de l’utilisation des autorisations par les entités. Il s’agit de capacités importantes pour se défendre contre les cyberattaques basées sur l’identité, qui sont aujourd’hui la méthode de prédilection de nombreux cybercriminels.  

Selon le Rapport sur le coût d’une violation de données publié par IBM, le vol d’identifiants est la principale cause de violations de données, soit 10 % des attaques. Ces attaques par usurpation d’identifiants, qui consistent pour les pirates informatiques à utiliser les comptes d’utilisateurs légitimes pour accéder à des données sensibles, coûtent 4,67 millions de dollars et nécessitent 246 jours pour être détectées et neutralisées, en moyenne.

Les outils IAM compliquent la tâche des pirates informatiques. Par exemple, grâce à la MFA, voler un mot de passe ne suffit plus pour accéder aux systèmes. Même s’ils prennent le contrôle d’un compte, le mouvement latéral est limité, car les utilisateurs disposent uniquement des autorisations nécessaires pour faire leur travail, rien de plus. En outre, les outils ITDR facilitent la détection et le blocage des activités suspectes sur les comptes des utilisateurs autorisés. 

Selon le Rapport sur le coût d’une violation de données, la technologie IAM joue un rôle essentiel dans la réduction des coûts liés aux violations (189 838 dollars américains de réduction en moyenne par attaque).

Une structure d’identité est une architecture d’identité complète, qui réunit et intègre tous les systèmes d’identité du réseau. Les solutions IAM holistiques, qui relient les applications disparates et englobent les fonctions essentielles de l’IAM, jouent un rôle important dans la création de ces structures.

Les structures d’identité gagnent en popularité, puisque les entreprises cherchent à résoudre les problèmes liés à la multiplication des applications et des systèmes d’identité utilisés. Selon un rapport, une équipe utilise en moyenne 73 applications SaaS différentes. Lorsque ces applications disposent de leur propre système d’identité, la fragmentation engendre des problèmes logistiques et des failles de sécurité.

Pour lutter contre ces problèmes, les entreprises investissent dans des outils d’orchestration des identités, qui permettent aux systèmes d’identité disparates de communiquer entre eux.

Les solutions IAM complètes, qui gèrent tous les aspects clés de l’IAM (administration des identités, gestion des accès, gouvernance, audit, PAM et CIAM), facilitent cette orchestration. L’objectif est de créer une structure d’identité à l’échelle du réseau pour permettre à l’entreprise de gérer les informations d’identité et l’accès pour l’ensemble des applications, des utilisateurs et des actifs, et ce sur une seule et même plateforme.

En plus de simplifier l’IAM, l’approche intégrée permet également de renforcer la sécurité. Selon le X-Force Threat Intelligence Index, la consolidation des solutions d’identité est l’un des moyens les plus efficaces de gérer la multiplication des identités et de se protéger contre les attaques ciblant l’identité.

L’IA traditionnelle, basée sur des règles, est intégrée à l’IAM depuis longtemps, afin d’automatiser des workflows tels que l’authentification et les pistes d’audit. L’arrivée de l’IA générative s’accompagne toutefois d’opportunités et de défis nouveaux.

Des nouvelles applications alimentées par les grands modèles de langage (LLM) aux agents IA, l’IA générative promet une hausse significative du nombre d’identités non humaines présente sur les réseaux d’entreprise. Ces  identités sont déjà 10 fois plus nombreuses que les humains dans une entreprise type.¹ Ce ratio pourrait bientôt être beaucoup plus élevé.  

Ces identités non humaines sont des cibles privilégiées des pirates informatiques, car elles disposent d’un niveau d’accès relativement élevé et d’identifiants mal protégés.

Cependant, les outils IAM peuvent empêcher les cybercriminels de prendre le contrôle des comptes d’IA. Grâce aux techniques et outils courants de gestion des accès privilégiés, comme la rotation automatique des identifiants et les coffres-forts sécurisés, le vol d’identifiants devient plus difficile.

L’IA présente également des avantages pour la gestion des identités et des accès (IAM). Selon l’IBM® Institute for Business Value, de nombreuses entreprises utilisent déjà l’IA pour faciliter la vérification et l’autorisation des utilisateurs (62 %) et pour contrôler les risques, la conformité et la sécurité (57 %). Les outils d’IA générative sont en mesure d’optimiser ces utilisations.

Par exemple, certains outils IAM déploient des chatbots alimentés par des LLM pour permettre aux équipes de sécurité d’utiliser le langage naturel afin d’analyser les jeux de données de sécurité, de créer de nouvelles politiques et suggérer des niveaux d’accès utilisateur personnalisés.