Qu’est-ce que la gestion des identités et des accès (IAM) ?
La gestion des identités et des accès (IAM ou IdAM en abrégé) est un moyen de savoir qui est un utilisateur et ce qu’il est autorisé à faire. L’IAM est comme le videur à la porte d’une boîte de nuit avec une liste de qui est autorisé à entrer, de qui n’est pas autorisé à entrer et de qui peut accéder à la zone VIP. L’IAM est également appelé gestion d’identité (IdM).
En termes plus techniques, l’IAM est un moyen de gérer un ensemble donné d’identités numériques des utilisateurs, et les privilèges associés à chaque identité. Il s’agit d’un terme général qui couvre un certain nombre de produits différents qui remplissent tous la même fonction de base. Au sein d’une organisation, l’IAM peut être un produit unique ou une combinaison de processus, de produits logiciels, de services en nuage et de matériel qui donnent aux administrateurs une visibilité et un contrôle sur les données organisationnelles auxquelles les utilisateurs individuels peuvent accéder.
Qu’est-ce que l’identité dans le contexte de l’informatique ?
L’identité complète d’une personne ne peut pas être téléchargée et stockée dans un ordinateur, de sorte que l' »identité » dans un contexte informatique signifie un certain ensemble de propriétés qui peuvent être facilement mesurées et enregistrées numériquement. Pensez à une carte d’identité ou à un passeport : tous les faits concernant une personne ne sont pas enregistrés dans une carte d’identité, mais celle-ci contient suffisamment de caractéristiques personnelles pour que l’identité d’une personne puisse être rapidement mise en correspondance avec la carte d’identité.
Pour vérifier l’identité, un système informatique évaluera un utilisateur pour des caractéristiques qui lui sont spécifiques. Si elles correspondent, l’identité de l’utilisateur est confirmée. Ces caractéristiques sont également connues sous le nom de « facteurs d’authentification », car elles permettent de vérifier qu’un utilisateur est bien celui qu’il prétend être.
Les trois facteurs d’authentification les plus utilisés sont les suivants :
- Quelque chose que l’utilisateur sait
- Quelque chose que l’utilisateur a
- Quelque chose que l’utilisateur est
Quelque chose que l’utilisateur sait : ce facteur est un élément de connaissance qu’un seul utilisateur devrait avoir, comme une combinaison de nom d’utilisateur et de mot de passe.
Imaginez que John veuille consulter ses e-mails professionnels depuis chez lui. Pour ce faire, il devra d’abord se connecter à son compte de courrier électronique en établissant son identité, car si quelqu’un d’autre que John accédait au courrier électronique de John, les données de l’entreprise seraient alors compromises.
John se connecte en entrant son adresse électronique, john@company.com, et le mot de passe qu’il est le seul à connaître – par exemple, « 5jt*2)f12?y ». Il est probable que personne d’autre que John ne connaisse ce mot de passe, de sorte que le système de messagerie reconnaît John et lui permet d’accéder à son compte de messagerie. Si quelqu’un d’autre essayait de se faire passer pour Jean en saisissant son adresse électronique comme « john@company.com », il ne réussirait pas sans savoir qu’il faut taper « 5jt*2)f12?y » comme mot de passe.
Quelque chose que l’utilisateur possède : Ce facteur fait référence à la possession d’un jeton physique qui est délivré aux utilisateurs autorisés. L’exemple le plus élémentaire de ce facteur d’authentification est l’utilisation d’une clé physique de maison pour entrer chez soi. L’hypothèse est que seule une personne qui possède, loue ou est autorisée à entrer dans la maison aura une clé.
Dans un contexte informatique, l’objet physique peut être un porte-clés, un périphérique USB ou même un smartphone. Supposons que l’organisation de John veuille être encore plus sûre que tous les utilisateurs sont vraiment ceux qu’ils disent être en vérifiant deux facteurs d’authentification au lieu d’un. Maintenant, au lieu de se contenter de saisir son mot de passe secret – le facteur de connaissance de l’utilisateur – John doit montrer au système de courrier électronique qu’il possède un objet que personne d’autre ne possède. John est la seule personne au monde qui possède son smartphone personnel, donc le système de messagerie lui envoie un code unique, et John tape le code pour démontrer qu’il possède le téléphone.
Quelque chose que l’utilisateur est : Il s’agit d’une propriété physique de son corps. Un exemple courant de ce facteur d’authentification en action est l’identification faciale, la fonction offerte par de nombreux smartphones modernes. La numérisation des empreintes digitales en est un autre exemple. Parmi les méthodes moins courantes utilisées par certains organismes de haute sécurité figurent les scanners de la rétine et les analyses sanguines.
Imaginez que l’organisation de John décide de renforcer encore plus la sécurité en faisant vérifier par les utilisateurs trois facteurs au lieu de deux (c’est rare). John doit maintenant entrer son mot de passe, vérifier la possession de son smartphone et scanner son empreinte digitale avant que le système de messagerie électronique ne confirme qu’il est bien John.
Pour résumer : Dans le monde réel, l’identité d’une personne est un mélange complexe de caractéristiques personnelles, d’histoire, de lieu et d’autres facteurs. Dans le monde numérique, l’identité d’un utilisateur est constituée de certains ou de l’ensemble des trois facteurs d’authentification, stockés numériquement dans une base de données d’identité. Pour éviter que des imposteurs ne se fassent passer pour de vrais utilisateurs, les systèmes informatiques vérifient l’identité d’un utilisateur par rapport à la base de données d’identité.
Qu’est-ce que la gestion de l’accès ?
Le terme « accès » désigne les données qu’un utilisateur peut voir et les actions qu’il peut effectuer une fois connecté. Une fois que John se connecte à son courrier électronique, il peut voir tous les courriers électroniques qu’il a envoyés et reçus. Cependant, il ne devrait pas pouvoir voir les courriels envoyés et reçus par Tracy, sa collègue de travail.
En d’autres termes, ce n’est pas parce que l’identité d’un utilisateur est vérifiée qu’il doit pouvoir accéder à tout ce qu’il veut dans un système ou un réseau. Par exemple, un employé de bas niveau au sein d’une entreprise devrait pouvoir accéder à son compte de messagerie d’entreprise, mais il ne devrait pas pouvoir accéder aux dossiers de paie ou aux informations confidentielles sur les ressources humaines.
La gestion des accès est le processus de contrôle et de suivi des accès. Chaque utilisateur d’un système aura des privilèges différents au sein de ce système en fonction de ses besoins individuels. Un comptable a en effet besoin d’accéder et de modifier les fiches de paie, donc une fois qu’il a vérifié son identité, il devrait pouvoir consulter et mettre à jour ces fiches ainsi qu’accéder à son compte de messagerie.
Pourquoi l’IAM est-il si important pour le cloud computing ?
Dans l’informatique dématérialisée, les données sont stockées à distance et accessibles via Internet. Comme les utilisateurs peuvent se connecter à l’internet depuis presque n’importe quel endroit et n’importe quel appareil, la plupart des services dans les nuages sont indépendants des appareils et des lieux. Les utilisateurs n’ont plus besoin d’être au bureau ou sur un appareil appartenant à l’entreprise pour accéder au nuage. Et en fait, la télétravail est de plus en plus fréquent.
Par conséquent, l’identité devient le point le plus important du contrôle de l’accès, et non le périmètre du réseau* L’identité de l’utilisateur, et non son appareil ou son emplacement, détermine les données dans le nuage auxquelles il peut accéder et s’il peut y avoir accès.
Pour comprendre pourquoi l’identité est si importante, voici une illustration. Supposons qu’un cybercriminel veuille accéder à des fichiers sensibles dans le centre de données d’une entreprise. Avant l’adoption généralisée de l’informatique dématérialisée, le cybercriminel devait passer le pare-feu de l’entreprise qui protégeait le réseau interne ou accéder physiquement au serveur en pénétrant par effraction dans le bâtiment ou en soudoyant un employé interne. L’objectif principal du criminel était de passer le périmètre du réseau.
Cependant, avec l’informatique dématérialisée, les fichiers sensibles sont stockés dans un serveur dématérialisé distant. Comme les employés de l’entreprise ont besoin d’accéder aux fichiers, ils le font en se connectant via un navigateur ou une application. Si un cybercriminel veut accéder aux fichiers, il n’a plus besoin que des identifiants de connexion des employés (comme un nom d’utilisateur et un mot de passe) et d’une connexion Internet ; le criminel n’a pas besoin de passer par un périmètre de réseau.
L’IAM permet d’éviter les violations d’identité attacks et de données dues à l’escalade des privilèges (lorsqu’un utilisateur non autorisé a un accès trop important). Les systèmes IAM sont donc essentiels pour l’informatique en nuage et pour la gestion des équipes distantes.
*Le périmètre du réseau fait référence aux limites d’un réseau interne ; il s’agit d’une frontière virtuelle qui sépare le réseau interne sécurisé et géré de l’Internet non sécurisé et non contrôlé. Tous les ordinateurs d’un bureau, ainsi que les appareils connectés comme les imprimantes de bureau, se trouvent dans ce périmètre, mais un serveur distant dans un centre de données à travers le monde ne s’y trouve pas.
Quelle est la place de l’IAM dans une pile de déploiement ou une architecture en nuage ?
L’IAM est souvent un service en nuage par lequel les utilisateurs doivent passer pour accéder au reste de l’infrastructure en nuage d’une organisation. Il peut également être déployé dans les locaux d’une organisation sur un réseau interne. Enfin, certains fournisseurs de cloud public peuvent regrouper l’IAM avec leurs autres services.
Les entreprises qui utilisent une architecture multicloud ou hybride cloud peuvent au contraire faire appel à un fournisseur distinct pour l’IAM. Le découplage de l’IAM de leurs autres services publics ou privés cloud leur offre une plus grande flexibilité : elles peuvent toujours conserver leur identité et accéder à leur base de données si elles changent de fournisseur de cloud.
Qu’est-ce qu’un fournisseur d’identité (IdP) ?
Un fournisseur d’identité (IdP) est un produit ou un service qui aide à gérer l’identité. Un IdP gère souvent le processus de connexion proprement dit. Les fournisseurs d’authentification unique (SSO) entrent dans cette catégorie. Les IdP peuvent faire partie d’un cadre IAM, mais ils ne contribuent généralement pas à la gestion de l’accès des utilisateurs.
Qu’est-ce que l’IDaaS (Identity-as-a-Service) ?
Identity-as-a-Service (IDaaS) est un service en ligne qui vérifie l’identité. Il s’agit d’une offre SaaS d’un fournisseur de cloud, une façon d’externaliser partiellement la gestion de l’identité. Dans certains cas, IDaaS et IdP sont essentiellement interchangeables, mais dans d’autres cas, le fournisseur d’IDaaS offre des capacités supplémentaires en plus de la vérification et de la gestion de l’identité. Selon les capacités offertes par le fournisseur IDaaS, IDaaS peut faire partie d’un cadre IAM ou constituer l’ensemble du système IAM.