Audit de securite informatique

Gestion des identités et des accès : c’est quoi ?

Les produits IAM fournissent aux responsables informatiques des outils et des technologies permettant de contrôler l’accès des utilisateurs aux informations critiques au sein d’une organisation.

 

 

La gestion des identités et des accès (IAM) : qu’est-ce que c’est ?

 

La gestion des identités et des accès (IAM) dans l’informatique d’entreprise consiste à définir et à gérer les rôles et les privilèges d’accès des entités individuelles du réseau (utilisateurs et appareils) à une variété d’applications en nuage et sur site. Les utilisateurs comprennent les clients, les partenaires et les employés ; les appareils comprennent les ordinateurs, les smartphones, les routeurs, les serveurs, les contrôleurs et les capteurs. L’objectif central des systèmes IAM est une identité numérique par individu ou par élément. Une fois que cette identité numérique a été établie, elle doit être maintenue, modifiée et surveillée tout au long du cycle de vie de l’accès de chaque utilisateur ou dispositif.

Les systèmes de gestion des identités et des accès fournissent aux administrateurs les outils et les technologies nécessaires pour modifier le rôle d’un utilisateur, suivre ses activités, créer des rapports sur ces activités et appliquer des politiques de manière continue. Ces systèmes sont conçus pour fournir un moyen d’administrer l’accès des utilisateurs dans l’ensemble d’une entreprise et pour garantir la conformité aux politiques de l’entreprise et aux réglementations gouvernementales.

 

 

Comment fonctionne la gestion des identités et des accès ?

 

Dans le passé, un système de gestion d’identité typique comprenait quatre éléments de base :

– Un répertoire ou référentiel d’identité des données personnelles que le système utilise pour définir les utilisateurs individuels.

– Un ensemble d’outils permettant d’ajouter, de modifier et de supprimer ces données (liés à la gestion du cycle de vie des accès).

– un système qui régule et applique l’accès des utilisateurs

– Un système d’audit de sécurité informatique et de reporting

– Une vérification par test d’intrusion

La réglementation de l’accès des utilisateurs fait traditionnellement appel à des méthodes d’authentification pour vérifier l’identité d’un utilisateur ou d’un appareil, notamment des mots de passe, des certificats numériques, des jetons matériels et logiciels pour smartphones. Ces dernières formes de jetons sont apparues en 2005 et se trouvent aujourd’hui sur les smartphones iOS et Android avec les applications de Google, Microsoft, Cisco/Duo, Authy et de nombreux autres fournisseurs d’IAM. Des approches plus modernes incluent des éléments biométriques et la prise en charge de la Fast Identity Alliance (FIDO).

 

 

 

Rôle de l’IAM dans la sécurité de votre entreprise

 

La gestion des identités et des accès (IAM) joue une série de rôles essentiels à plusieurs endroits de la “pile” de sécurité informatique d’une organisation, mais on n’y pense pas souvent parce que ces rôles sont répartis entre différents groupes, comme les équipes de développement, l’infrastructure informatique, les responsables des opérations, le service juridique, etc.

Tout d’abord, les techniques IAM ne sont que le début de la gestion d’un réseau sécurisé. Elles exigent des entreprises qu’elles définissent leurs politiques d’accès, en indiquant précisément qui a accès à quelles ressources de données et applications et dans quelles conditions.

Ensuite, l’IAM doit se connecter à toutes les parties de l’entreprise, comme l’intégration avec les analyses, la veille économique, les portails clients et partenaires et les solutions marketing.

De plus, l’IAM va au-delà de la protection des utilisateurs pour inclure l’authentification des entités non humaines telles que les clés d’application, les API et les secrets, les agents et les conteneurs. Gartner recommande de faire de ces éléments des “citoyens de première classe” et indique qu’ils doivent être gérés de manière appropriée par des équipes interfonctionnelles afin de réunir toutes les parties prenantes.

Enfin, la gestion des identités et des accès doit être étroitement liée à l’authentification adaptative et aux outils MFA. L’authentification était autrefois considérée comme une décision binaire de type “oui ou non” au moment de la connexion, par exemple pour se connecter à un VPN. C’est un raisonnement dépassé. Aujourd’hui, l’IAM a besoin d’une plus grande granularité pour empêcher les prises de contrôle de comptes et les attaques subtiles de phishing.

ARTICLES CONNEXES
MICROSOFT TEAMS

Vous souhaitez plus d’infos ?


Retour vers le haut

Découvrir les fonctionnalités