Identity management et access management : on lève le voile sur cet enjeu de sécurité des entreprises

À mesure que la transformation digitale des entreprises se développe, l’identity management et l’access management deviennent des processus à ne plus négliger.

En effet, la complexification et la multiplication croissante des outils numériques, ainsi que l’émergence de nouvelles organisations du travail, poussent désormais de nombreuses structures à se poser la question suivante : comment gérer et sécuriser les accès à leurs systèmes d’information ? C’est là qu’intervient la gestion des identités et des accès, à la fois procédé et cadre technologique.

Afin de cerner au mieux cette notion, attardons nous sur sa définition, ainsi que sur les solutions logicielles permettant de soutenir efficacement les entreprises dans leur politique d’identity and access management.

Pour commencer, il est important de noter que les concepts d’identity management et d’access management sont pratiquement toujours associés. Dès lors, ces termes désignent toutes les activités d’une entreprise relatives à la gestion :

• de l’authentification et des accès des collaborateurs aux applications, réseaux et systèmes de l’entreprise (partie identity),
• des autorisations et des restrictions par rapport aux identités établies (partie access).

Pour ce faire, les services informatiques s’appuient à la fois sur la définition d’une politique interne, ainsi que sur un cadre organisationnel et technologique.

☝️ L’IAM tend de plus en plus à se généraliser, particulièrement dans un contexte où :

• les environnements technologiques deviennent toujours plus complexes et hétérogènes, en raison du développement :
  • du cloud computing,
  • du mobile,
  • du BYOD,
  • de la mobilité des salariés et du télétravail, etc. ;
• les enjeux liés à la protection des données et aux obligations réglementaires afférentes s’intensifient ;
• les entreprises cherchent à gagner davantage en efficacité et en productivité.

Elle désigne la création de l’identité numérique du collaborateur au sein de l’organisation, afin d’évaluer ses différents paramètres d’accès.

Elle se déroule lorsque l’utilisateur souhaite concrètement accéder aux différentes ressources. Pour ce faire, la procédure classique implique le renseignement d’un identifiant ainsi que d’un mot de passe.

☝️ Au regard des risques de fraude croissants, les sociétés recourent de plus en plus à l’authentification à facteurs multiples. D’ailleurs, de nouvelles méthodes émergent, à l’image de l’identification par empreintes digitales ou encore par empreintes rétiniennes.

Une fois la connexion effectuée, l’identité préalablement établie permet de définir un certain degré d’autorisation. En somme, il s’agit de déterminer :

• les droits d’accès d’un collaborateur. Il peut, par exemple, accéder à un système, mais pas à certains de ses composants,
• les actions qu’il a le droit d’exécuter (consultation, modification ou suppression d’un fichier par exemple).

Cette activité, permise par tout bon logiciel IAM, se traduit notamment par l’intégration et la suppression de nouveaux utilisateurs :

• internes, c’est-à-dire les salariés,
• externes, comme des partenaires, des clients, des fournisseurs, etc.

Certaines entreprises tardent encore à instaurer de véritables processus d’identity management, ainsi qu’à déployer les outils pour sa mise en place. Et pour cause, ces changements représentent un certain budget, dont les gains ne sont pas immédiatement perceptibles.

Pourtant, la gestion des accès et des identités comprend de nombreux avantages pour les organisations.

Le principal atout de l’IAM ? Préserver les entreprises des intrusions et des cyberattaques (ransomwares, phishing, etc.) qui compromettraient la protection de leurs données.

Par ailleurs, en interne, certaines informations sensibles ne peuvent être dévoilées aux yeux de tous les collaborateurs. L’identity and access management permet alors :

• une administration plus fine des accès,
• ainsi qu’une meilleure traçabilité.

Enfin, ces processus conduisent à une harmonisation des pratiques en matière de sécurité informatique.

La mise en place d’une politique d’IAM permet de centraliser et d’automatiser au maximum l’administration des accès, pour éviter des ajustements manuels trop chronophages.

Ce gain de productivité se répercute sur les nouvelles recrues, au moment de leur intégration. En effet, grâce à la diminution du temps consacré à la configuration de leurs accès aux outils de travail, elles deviennent plus rapidement opérationnelles.

Cependant, les processus de gestion des identités et accès doivent avant tout s’adapter aux besoins de simplicité des métiers, et pas uniquement aux nécessités des services informatiques.

Par conséquent, côté utilisateurs, des systèmes sont mis en place pour ne plus perdre de temps à rechercher ses identifiants. L’authentification doit rester la plus simple possible. C’est pourquoi la plupart des technologies actuelles permettent d’accéder à l’ensemble des applications de l’entreprise au moyen d’une authentification unique (technologie SSO, ou single sign-on).

Comme nous l’avons déjà évoqué, l’IAM intègre dans ses processus le management des accès pour des personnes externes, comme des clients ou des partenaires, sans que la sécurité ne soit compromise.

Cette fonctionnalité constitue un atout et une réelle valeur ajoutée pour les organisations, puisqu’elle participe à :

• améliorer l’expérience client et l’expérience utilisateur,
• soutenir la collaboration avec les fournisseurs, prestataires et autres sous-traitants.

Différents outils accompagnent les services informatiques dans la mise en place d’une solide politique d’identity and access management.

Voyons les deux principaux.

Les logiciels IAM se définissent comme des solutions de gestion des identités et des accès tout-en-un. Elles permettent principalement de :

• rationaliser l’ensemble des processus, en fournissant un support technologique aux règles définies par l’entreprise,
• gagner en rapidité,
• standardiser les pratiques.

Quelques fonctionnalités clés des logiciels IAM :

• gestion des identités : développement des méthodes d’authentification (authentification à double facteur, technologie SSO, etc.) ;
• gouvernance des accès : définition des règles et sécurisation des accès aux applications. Un système de contrôle et de traçabilité assure la surveillance des mouvements et le repérage des comportements à risques ;
• provisioning des comptes utilisateurs : au moyen d’une passerelle avec les données RH, les services informatiques catégorisent plus facilement et rapidement les utilisateurs afin de leur attribuer des niveaux d’autorisation propres ;
• annuaire central des utilisateurs : de plus en plus de logiciels proposent un annuaire, afin de centraliser l’ensemble des données et visualiser plus facilement la base utilisateurs ;
• gestion des workflows et du self-service : grâce à la mise en place de workflows, les collaborateurs gèrent en toute autonomie leurs besoins (demande d’approbation par exemple), sans solliciter le service informatique ;
• software asset management : il implique la sécurisation des actifs logiciels, mais aussi leur gestion de manière générale (inventaire, contrôle des licences, etc.).

De plus en plus présents dans les entreprises, les gestionnaires de mots de passe s’intègrent parfaitement aux processus IAM.

Quelques fonctionnalités clés des gestionnaires de mots de passe :

• création de mots de passe sécurisés et conservation dans un coffre-fort numérique ;
• connexion unique : grâce à la technologie SSO, l’utilisateur n’est plus obligé de retenir tous ses mots de passe. Il accède à l’ensemble des applications de l’organisation au moyen d’un identifiant unique et chiffré ;
• partage sécurisé d’identifiants : cette fonctionnalité simplifie le travail collaboratif avec des personnes externes à l’entreprise ;
• personnalisation des niveaux d’accès et des autorisations ;
• annuaire central des utilisateurs ;
• gouvernance des accès et mise en place de contrôles : certains outils, à l’image de LastPass, génèrent des rapports sur l’état des lieux des mots de passe utilisés en entreprise. De ce fait, les administrateurs repèrent les comportements à risque afin de proposer des axes d’amélioration.
  
  

Vous savez désormais pourquoi l’identity management et l’access management gagnent le cœur des priorités des organisations. Certes, l’instauration d’une politique d’IAM implique de repenser ses processus internes et d’insuffler un changement dans les usages quotidiens des employés par l’adoption de nouveaux outils. Mais les bénéfices sur le long terme se révèlent nombreux, car jamais la sécurité et la confidentialité des données n’ont constitué un enjeu aussi important pour les entreprises.