Qu’est-ce que la gestion des identités et des accès (IAM) ?
La gestion des identités et des accès (IAM) est un moyen de déterminer qui est un utilisateur et ce qu’il est autorisé à faire. Vous pouvez imaginer l’IAM comme le videur à l’entrée d’une boîte de nuit avec une liste de personnes autorisées à entrer, de personnes non autorisées et de personnes ayant accès à la zone VIP. L’IAM est également connue sous le nom de gestion d’identité (IdM).
De manière plus technique, l’IAM permet de gérer un ensemble d’identités numériques d’utilisateurs et les privilèges associés à chaque identité. C’est un terme général qui englobe différents produits qui remplissent tous la même fonction de base. Au sein d’une organisation, l’IAM peut être un produit unique ou une combinaison de processus, de logiciels, de services cloud et de matériel qui offre aux administrateurs une visibilité et un contrôle sur les données auxquelles les utilisateurs individuels peuvent accéder.
Qu’est-ce que l’identité dans le contexte informatique ?
Dans le monde de l’informatique, l’identité d’une personne ne peut pas être téléchargée et stockée dans un ordinateur. L’identité dans ce contexte fait référence à un ensemble de propriétés qui peuvent être mesurées et enregistrées numériquement. Pensez à une carte d’identité ou à un passeport : toutes les informations concernant une personne ne sont pas enregistrées sur la carte, mais elle contient suffisamment de caractéristiques personnelles pour que l’identité de la personne puisse être rapidement vérifiée.
Pour vérifier l’identité dans un système informatique, celui-ci évalue des caractéristiques spécifiques de l’utilisateur. Si ces caractéristiques correspondent, l’identité de l’utilisateur est confirmée. Ces caractéristiques sont également appelées “facteurs d’authentification” car elles permettent de vérifier l’identité déclarée d’un utilisateur.
Les trois facteurs d’authentification les plus couramment utilisés sont :
- Quelque chose que l’utilisateur sait
- Quelque chose que l’utilisateur possède
- Quelque chose que l’utilisateur est
Quelque chose que l’utilisateur sait est une connaissance exclusive à cet utilisateur, comme une combinaison de nom d’utilisateur et de mot de passe. Par exemple, John doit entrer son adresse e-mail et son mot de passe pour accéder à son compte de messagerie et s’assurer que seules les personnes autorisées peuvent consulter ses e-mails professionnels.
Quelque chose que l’utilisateur possède fait référence à la possession d’un objet physique qui est délivré aux utilisateurs autorisés. Par exemple, John peut prouver qu’il est bien lui-même en montrant son smartphone personnel. Cette validation de la possession ajoute un niveau de sécurité supplémentaire.
Quelque chose que l’utilisateur est se réfère à une caractéristique physique de son corps, comme la reconnaissance faciale ou les empreintes digitales. Ces caractéristiques personnelles uniques offrent une vérification encore plus précise de l’identité de l’utilisateur.
En résumé, dans le monde réel, l’identité d’une personne est un mélange complexe de caractéristiques personnelles, d’histoire, de lieu et d’autres facteurs. Dans le monde numérique, l’identité d’un utilisateur est composée de certains ou de tous ces facteurs d’authentification, stockés numériquement dans une base de données d’identité. Ainsi, les systèmes informatiques vérifient l’identité d’un utilisateur en la comparant à cette base de données pour empêcher les usurpations d’identité.
Qu’est-ce que la gestion de l’accès ?
Le terme “accès” fait référence aux données qu’un utilisateur peut voir et aux actions auxquelles il peut accéder une fois connecté. Par exemple, lorsque John se connecte à son compte de messagerie, il peut voir tous les e-mails qu’il a envoyés et reçus. Cependant, il ne devrait pas pouvoir accéder aux e-mails de Tracy, sa collègue de travail.
Cela signifie que même si l’identité d’un utilisateur est vérifiée, cela ne signifie pas qu’il doit avoir accès à tout ce qu’il souhaite dans un système ou un réseau. Par exemple, un employé de niveau inférieur dans une entreprise doit pouvoir accéder à son compte de messagerie professionnelle, mais pas aux dossiers de paie ou aux informations confidentielles sur les ressources humaines.
La gestion de l’accès consiste à contrôler et à surveiller les accès. Chaque utilisateur d’un système dispose de privilèges différents en fonction de ses besoins individuels. Par exemple, un comptable aura besoin d’accéder et de modifier les feuilles de paie, il aura donc les droits nécessaires une fois son identité vérifiée pour consulter et mettre à jour ces feuilles, ainsi que pour accéder à son compte de messagerie.
Pourquoi l’IAM est-il si important pour le cloud computing ?
Dans le cloud computing, les données sont stockées à distance et accessibles via Internet. Comme les utilisateurs peuvent se connecter à Internet depuis presque n’importe où et n’importe quel appareil, la plupart des services cloud sont indépendants des appareils et des lieux. Les utilisateurs n’ont plus besoin d’être physiquement présents au bureau ou d’utiliser un appareil appartenant à l’entreprise pour accéder au cloud. Le télétravail est de plus en plus courant.
Par conséquent, l’identité devient le point central du contrôle d’accès, plutôt que le périmètre du réseau. C’est l’identité de l’utilisateur et non son appareil ou son emplacement qui détermine l’accès aux données dans le cloud.
Pour comprendre pourquoi l’identité est si importante, prenons un exemple. Supposons qu’un cybercriminel veuille accéder à des fichiers sensibles dans le centre de données d’une entreprise. Avant le cloud computing, le cybercriminel devait contourner le pare-feu de l’entreprise ou pénétrer physiquement dans le bâtiment ou corrompre un employé interne pour accéder au serveur. L’objectif principal était de franchir le périmètre du réseau.
Cependant, avec le cloud computing, les fichiers sensibles sont stockés sur un serveur distant. Les employés de l’entreprise y accèdent via un navigateur ou une application. Si un cybercriminel veut accéder à ces fichiers, il lui suffit d’obtenir les informations de connexion d’un employé (comme un nom d’utilisateur et un mot de passe) et d’avoir une connexion Internet, sans avoir besoin de franchir un périmètre de réseau.
L’IAM permet d’éviter les violations de données et les attaques d’usurpation d’identité en contrôlant les privilèges des utilisateurs. Les systèmes IAM sont donc essentiels pour le cloud computing et la gestion d’équipes à distance.
Quelle est la place de l’IAM dans une pile de déploiement ou une architecture cloud ?
L’IAM est souvent un service cloud par lequel les utilisateurs doivent passer pour accéder au reste de l’infrastructure cloud d’une organisation. Il peut également être déployé sur site par une organisation au sein de son réseau interne. Certains fournisseurs de cloud public peuvent également proposer l’IAM en complément de leurs autres services.
Les entreprises qui utilisent une architecture multicloud ou hybride peuvent choisir de faire appel à un fournisseur distinct pour l’IAM. Découpler l’IAM des autres services cloud leur offre une plus grande flexibilité : elles peuvent conserver leur identité et accéder à leur base de données même si elles changent de fournisseur de cloud.
Qu’est-ce qu’un fournisseur d’identité (IdP) ?
Un fournisseur d’identité (IdP) est un produit ou un service qui aide à gérer l’identité. Un IdP gère souvent le processus de connexion lui-même. Les fournisseurs de connexion unique (SSO) font partie de cette catégorie. Les IdP peuvent faire partie d’un cadre IAM, mais ils ne contribuent généralement pas à la gestion des accès des utilisateurs.
Qu’est-ce que l’IDaaS (Identity-as-a-Service) ?
Identity-as-a-Service (IDaaS) est un service en ligne qui vérifie l’identité d’un utilisateur. C’est une offre SaaS (Software-as-a-Service) proposée par un fournisseur de cloud, qui permet d’externaliser partiellement la gestion de l’identité. Dans certains cas, IDaaS et IdP sont interchangeables, mais dans d’autres cas, le fournisseur d’IDaaS offre des fonctionnalités supplémentaires en plus de la vérification et de la gestion de l’identité. Selon les capacités offertes par le fournisseur d’IDaaS, celui-ci peut faire partie d’un cadre IAM ou constituer l’ensemble du système IAM.
