Devenez le meilleur gardien de vos ressources grâce à la gestion des accès et identités
Les ressources informatiques et les données sont précieuses pour les entreprises ; elles méritent une protection accrue. En parallèle, il faut bien que les collaborateurs internes, voire les externes, puissent accéder facilement à ces éléments pour mener à bien leurs missions.
Du coup, comment garantir que les processus de connexion se produisent de manière sécurisée, contrôlée, mais aussi suffisamment fluide pour éviter que les services IT ne se retrouvent sous l’eau ?
Grâce à l’instauration d’une politique de gestion des accès et des identités, ou GIA, elle-même associée à l’utilisation de logiciels spécialisés (les fameux systèmes IAM… mais pas que !).
Alors de quoi parle-t-on au juste ? Quelles activités implique la gestion des accès et des identités et par où commencer pour développer cette approche dans votre organisation ? Comment fonctionne un IAM ?
Toutes les réponses à ces questions, et à bien d’autres, dans cet article… facile d’accès !
Qu’est-ce que la gestion des droits d’accès et des identités ?
La gestion des accès et des identités, également connue sous l’acronyme IAM (Identity and Access Management), désigne les activités relatives à la réglementation et à l’administration :
- des identités numériques des collaborateurs,
- des droits et niveaux d’autorisation requis pour avoir accès au réseau, aux applications et à l’ensemble des ressources de l’entreprise de manière générale.
D’ordinaire piloté par le service IT, ce processus concerne l’ensemble des salariés, mais également d’autres parties prenantes, telles que les prestataires externes ou encore les clients.
L’IAM implique diverses activités, et accompagne tout le cycle de vie du collaborateur, dès son onboarding (attribution de son identité numérique, de ses identifiants de connexion, etc.) et jusqu’à son départ de la société.
💡 À savoir : la notion de gestion des accès et des identités est très souvent associée à l’usage de logiciels particuliers, en particulier les solutions IAM.
Les composantes de la GIA
La gestion des accès informatiques et des identités englobe plusieurs composantes :
La gestion des identités et l’authentification
Les services IT sont tenus de vérifier la légitimité de l’individu qui envisage d’utiliser les outils de l’entreprise. En ce sens, l’identification permet de créer son identité numérique. Elle tient compte :
- des caractéristiques permettant de définir le lien de la personne concernée avec l’organisation,
- le niveau d’accès dont elle a besoin.
Ensuite, différents systèmes d’authentification sont déployés afin de se connecter aux ressources. Bien sûr, on pense en premier lieu au traditionnel couple identifiant-mot de passe. Mais d’autres méthodes existent :
- L’authentification unique, ou SSO : l’utilisateur accède à un ensemble d’outils au moyen d’une seule authentification, et ce, pour toute la durée d’une session. Il évite ainsi de renseigner à chaque fois son identifiant et son mot de passe.
- L’authentification forte, ou authentification multifacteur : elle exige a minima deux preuves d’identité, appartenant à des facteurs différents (mémoriels, matériels et biométriques). Par exemple : un mot de passe et des empreintes digitales.
- L’authentification basée sur les risques, ou RBA : il ne s’agit pas d’un mécanisme figé, puisqu’il permet d’adapter automatiquement le processus d’authentification au niveau de risque, par l’analyse de divers critères (adresse IP, heure d’accès, etc.).
La gestion des accès utilisateurs et de l’autorité
Plus complexe à mettre en place que la gouvernance des identités, la gestion des accès suppose de questionner :
- les niveaux d’autorisation des utilisateurs : qui a accès à quoi, et quand,
- le type d’action permis : administration, consultation, modification, etc.
Ici, il est possible de déployer différentes politiques, comme celle du moindre privilège : le collaborateur utilise uniquement les ressources nécessaires à l’accomplissement d’un travail précis, pour une durée limitée dans le temps.
Il existe aussi une gestion des accès basée sur les rôles (RBAC). Pour simplifier le traitement des équipes IT, les droits sont déterminés en fonction des rôles (et donc des spécificités d’un poste), et non des individus.
La traçabilité et la gestion du cycle de vie des utilisateurs
La gestion centralisée des accès et des identités est un processus permanent. Il nécessite un audit régulier des opérations menées au sein du système d’information. Il s’agit de procéder à des contrôles rigoureux pour savoir de quelle manière sont utilisées les ressources, pour identifier les comportements suspects ou à risque, etc.
Le processus IAM implique également de gérer toutes les étapes du cycle de vie de l’utilisateur : arrivée dans la société, évolution des missions, départ, etc.
Pourquoi l’IAM est-il indispensable ?
Pour sécuriser les données de l’entreprise
Alors que les cyberattaques ne cessent de se multiplier, le renforcement de la sécurité est sans doute le plus gros bénéfice à retirer d’un système de gestion des accès et des identités.
Déjà, il favorise l’alignement sur les normes de sécurité informatique établies dans l’entreprise, les harmonise. Les salariés agissent en toute transparence et vous évitez que des personnes non autorisées accèdent aux données sensibles de l’organisation, ou les altèrent.
Enfin, l’IAM encadre les systèmes d’authentification. Grâce au déploiement de certaines technologies, telles que le SSO, vous réduisez les comportements dangereux, notamment en matière de gestion des mots de passe.
💡 La GIA est souvent présentée comme un bon moyen de lutter contre le shadow IT, souvent dangereux. Il convient cependant de sensibiliser les collaborateurs sur la nécessité de se conformer aux règles établies !
Pour rester en conformité avec la réglementation
De la même manière que l’IAM permet d’observer les normes de sécurité, il assure le respect des différentes réglementations en vigueur.
On pense, par exemple, au RGPD, exigeant une stricte protection des données personnelles des utilisateurs (et donc le contrôle de leur accès). Citons également la loi HIPAA (Health Insurance Portability and Accountability Act), qui impose aux entreprises traitant des data de santé un niveau de sécurité accru.
Pour fluidifier les processus et gagner du temps
La mise en place de la gestion des accès et des identités, ainsi que l’utilisation des outils qui vont avec, rationalise les processus dans un monde professionnel sans cesse plus agile.
Par exemple, lors de l’arrivée d’un nouveau collaborateur, elle fluidifie la communication et les opérations entre les différents managers, en particulier le RH et la DSI, réduisant par là même les potentiels points de friction.
En parallèle, le service IT économise du temps grâce à l’automatisation de l’IAM. S’il doit se consacrer à l’impulsion de la politique mise en œuvre, une fois la machine lancée, il ne se retrouvera plus sollicité sans cesse.
Enfin, les utilisateurs aussi gagnent en productivité. Les accès aux outils sont facilités et bien mieux encadrés, et ce, peu importe d’où ils exercent (en télétravail par exemple).
💡 À savoir : rappelons la nécessité actuelle d’optimiser la collaboration avec les externes, pour accélérer, par exemple, la signature d’un contrat. Nécessité à laquelle la gestion des accès et des identités apporte une réponse.
Pour s’adapter aux nouvelles réalités du travail
Ces derniers mois, le monde du travail a profondément muté. On a vu l’essor de nouvelles pratiques, à l’image du télétravail. À cela s’ajoutent la multiplication des outils, due entre autres à la généralisation du cloud computing, ou encore le développement de la pratique du BYOD (utilisation d’un mobile personnel pour un usage professionnel par exemple).
Les conséquences sont doubles :
- l’accès aux ressources se complexifie ;
- ces nouveaux usages constituent autant de portes d’entrée potentielles pour les hackers qui ambitionnent d’accéder aux données de l’entreprise.
Le déploiement d’un processus IAM, nous l’avons vu, met de l’ordre dans tout ça.
Pour réduire les coûts
Puisqu’une bonne gestion des accès et des identités engendre un gain de temps notable, cela se répercute sur les coûts, en particulier ceux liés aux services support et autres centres d’appel. Ils n’ont plus à gérer ce type de problématiques !
Par ailleurs, une meilleure protection des données et le strict respect des réglementations réduisent les risques, et donc les frais associés.
Comment mettre en place un processus de gestion des identités et des accès ?
Définissez les rôles de chacun dans la politique de gestion des accès
La DSI pilote communément les processus de gestion des identités et des accès. Pour autant, si elle est amenée à procéder aux contrôles ou encore à édicter les bonnes pratiques, elle n’est pas toujours la mieux placée pour savoir qui doit avoir accès à quoi. Ce rôle échoit souvent aux managers et propriétaires des données, forts de leur niveau de connaissance quant aux besoins métier.
Par conséquent, le déploiement de la politique de GIA doit être bien cadré au départ, dans le but de déterminer le niveau de compétence et de responsabilité de chacun.
Sensibilisez les collaborateurs
On ne le dira jamais assez, mais les collaborateurs jouent un rôle essentiel dans la protection des données de l’entreprise. Les comportements à risque (dans la majorité des cas non intentionnels) sont souvent à l’origine des problèmes.
Alors, à quoi bon mettre en place de telles règles si les salariés ne jouent pas le jeu ?
Pour remédier à ce phénomène, sensibilisez-les aux enjeux de l’IAM, notamment en matière d’authentification.
💡 À savoir : le référentiel ITIL aborde la gestion des accès et peut servir de base à l’instauration de votre politique. Il existe également des formations en gestion des identités et des accès.
Référencez tous les utilisateurs
Une des premières actions nécessaires à la mise en place de l’IAM consiste à lister toutes les personnes concernées, celles qui ont un « contrat » avec l’entreprise. Il s’agit, bien entendu, de l’ensemble des employés, mais également d’autres acteurs tels que les prestataires externes.
💡 À savoir : vous êtes tenu·e de maintenir ce référentiel à jour. D’où l’intérêt, si possible, de le connecter avec un SIRH qui provisionnera automatiquement le compte en envoyant toutes les données utiles (départs, arrivées, etc.).
Listez les comptes
En parallèle, répertoriez l’ensemble des outils de l’organisation en prenant soin, là aussi, de maintenir cet annuaire à jour.
L’intérêt d’un travail de sensibilisation des collaborateurs se fait ressentir à cette étape : ils doivent prendre le réflexe d’informer la DSI en cas d’usage d’un nouveau logiciel, pour éviter la pratique du shadow IT.
Rapprochez les annuaires
Ensuite, rapprochez ces deux annuaires pour définir, pour chaque compte, les utilisateurs associés ainsi que leur niveau de droit.
Pour ce faire, adressez-vous aux managers, les mieux placés pour déterminer qui doit avoir accès à quoi en fonction des obligations professionnelles de chacun. Mieux vaut éviter de mettre tout le monde en « admin » par facilité !
💡 À savoir : pour rappel, une des bonnes pratiques consiste à adopter une démarche RBAC (Role-Based Access Control), fondée sur les rôles de chacun et non sur les individus.
Procédez à des contrôles réguliers
Enfin, la gestion des accès et des identités implique un travail continu de contrôle, tant au niveau des comptes que des habilitations.
Il a pour objectif :
- de veiller au bon respect des règles établies ;
- d’appliquer les actions requises en cas de changement dans l’organisation et dans les équipes.
☝️ Ce travail, une fois de plus, se trouve grandement facilité grâce à l’automatisation permise par l’utilisation d’outils spécifiques.
Quels outils pour assurer une bonne gestion des accès et des identités ?
Les logiciels d’IAM
Bien entendu, nous pensons en premier lieu aux logiciels IAM.
Ils ont pour avantage d’automatiser les opérations décrites ci-dessus, afin que les salariés et le service IT travaillent de manière plus efficace.
Plus précisément, ces solutions incluent une multitude de fonctionnalités, parmi lesquelles :
- la gestion des identités des utilisateurs,
- la gestion de leur authentification,
- le provisioning et le déprovisioning des comptes, c’est-à-dire le fait d’automatiser l’attribution des rôles et de s’adapter en temps réel aux changements, le tout conformément aux règles pré-établies,
- la production de rapports, pour contrôler les actions effectuées (conditions de connexion, type d’authentification utilisé, etc.).
Les gestionnaires de mots de passe
Les gestionnaires de mots de passe se révèlent également indispensables à une bonne gestion des accès et des identités, car l’authentification aux différents services constitue une composante essentielle de la GIA.
En effet, un gestionnaire centralisé tel que LockPass vient en complément des outils d’IAM de type bastion, comme Wallix ou CyberArk, en permettant de mettre en place une gestion des accès à l’échelle de l’ensemble des utilisateurs, et pas seulement les profils privilèges.
L’intérêt ici est de centraliser les identités afin d’éviter les mauvaises pratiques liées à une gestion individuelle puis de mettre en place une granularité sur le « Qui a accès à quoi ? » en fonction de l’organisation de votre entreprise et de sa gouvernance de la donnée.
Au-delà de sa simplicité, LockPass se positionne comme un quick-win sur une stratégie IAM pour deux raisons :
- implémentation et déploiement rapide,
- coût maîtrisé comparé aux solutions de SSO ou de bastion.
LockPass
Que retenir ?
Aujourd’hui, une gestion maîtrisée des accès et des identités n’est plus une option pour les organisations, d’autant plus si elles composent avec un nombre important de collaborateurs et d’outils. L’objectif : garder le contrôle !
Avec l’IAM, la sécurité des données est augmentée. Mais l’entreprise gagne aussi en productivité (autant au niveau du service IT qu’à celui des autres pôles) et réalise par là même des économies.
Un processus bien rodé requiert le déploiement d’un certain nombre d’actions : création d’annuaires d’utilisateurs et de comptes, rapprochement de ces annuaires en accord avec les règles d’habilitation, mises à jour, etc.
Heureusement, il existe des outils pour automatiser ce travail, les fameux logiciels IAM. Si vous les couplez avec d’autres solutions, comme les gestionnaires de mots de passe, rien n’échappera à votre vigilance. Les accès à vos ressources ne seront plus une source d’inquiétude !
Actuellement Editorial Manager, Jennifer Montérémal a rejoint la team Appvizer en 2019. Depuis, elle met au service de l’entreprise son expertise en rédaction web, en copywriting ainsi qu’en optimisation SEO, avec en ligne de mire la satisfaction de ses lecteurs 😀 !
Médiéviste de formation, Jennifer a quelque peu délaissé les châteaux forts et autres manuscrits pour se découvrir une passion pour le marketing de contenu. Elle a retiré de ses études les compétences attendues d’une bonne copywriter : compréhension et analyse du sujet, restitution de l’information, avec une vraie maîtrise de la plume (sans systématiquement recourir à une certaine IA 🤫).
Une anecdote sur Jennifer ? Elle s’est distinguée chez Appvizer par ses aptitudes en karaoké et sa connaissance sans limites des nanars musicaux 🎤.