Qu’est-ce que la gestion des identités et des accès (IAM) ?
La gestion des identités et des accès (IAM) ou IdAM en abrégé, permet de savoir qui est un utilisateur et ce qu’il est autorisé à faire. On peut la comparer à un videur à l’entrée d’une boîte de nuit, avec une liste des personnes autorisées à entrer, celles qui ne le sont pas, et celles qui peuvent accéder à la zone VIP. L’IAM est également appelée gestion d’identité (IdM).
Plus techniquement, l’IAM permet de gérer un ensemble d’identités numériques d’utilisateurs, ainsi que les privilèges associés à chaque identité. C’est un terme général qui englobe différents produits remplissant tous la même fonction de base. Au sein d’une organisation, l’IAM peut être un produit unique ou une combinaison de processus, de logiciels, de services cloud et de matériel, offrant aux administrateurs une visibilité et un contrôle sur les données auxquelles les utilisateurs peuvent accéder.
Qu’est-ce que l’identité dans le contexte de l’informatique ?
Dans le domaine informatique, l’identité n’est pas l’ensemble complet des caractéristiques d’une personne. Elle représente plutôt un certain ensemble de propriétés mesurables et enregistrables numériquement. On peut la comparer à une carte d’identité ou à un passeport, qui ne contiennent pas toutes les informations sur une personne, mais suffisamment de caractéristiques pour pouvoir l’identifier rapidement.
Pour vérifier l’identité d’un utilisateur, un système informatique évalue des caractéristiques spécifiques qui lui sont propres. Si ces caractéristiques correspondent, l’identité de l’utilisateur est confirmée. On appelle ces caractéristiques des “facteurs d’authentification”, car ils permettent de vérifier que l’utilisateur est bien celui qu’il prétend être.
Les trois facteurs d’authentification les plus couramment utilisés sont les suivants :
- Quelque chose que l’utilisateur sait
- Quelque chose que l’utilisateur possède
- Quelque chose que l’utilisateur est
Quelque chose que l’utilisateur sait fait référence à une information que seul l’utilisateur devrait connaître, comme un nom d’utilisateur et un mot de passe. Par exemple, John doit saisir son adresse e-mail et son mot de passe pour accéder à ses e-mails professionnels depuis chez lui.
Quelque chose que l’utilisateur possède fait référence à la possession d’un objet physique, comme une clé ou un smartphone. Par exemple, John peut également devoir prouver qu’il possède son smartphone personnel pour accéder à son compte de messagerie.
Quelque chose que l’utilisateur est fait référence à une caractéristique physique de son corps, comme la reconnaissance faciale ou les empreintes digitales. Ce facteur peut être utilisé pour renforcer davantage la sécurité. Par exemple, John peut devoir scanner son empreinte digitale en plus de saisir son mot de passe et de prouver qu’il possède son smartphone.
En résumé, dans le monde réel, l’identité d’une personne est un mélange complexe de caractéristiques personnelles, d’histoire, de lieu, et d’autres facteurs. Dans le monde numérique, l’identité d’un utilisateur est constituée de certains ou de l’ensemble des trois facteurs d’authentification, stockés numériquement dans une base de données d’identité. Les systèmes informatiques vérifient ainsi l’identité d’un utilisateur par rapport à cette base de données pour éviter les usurpations d’identité.
Qu’est-ce que la gestion de l’accès ?
Le terme “accès” fait référence aux données qu’un utilisateur peut voir et aux actions qu’il peut effectuer une fois connecté. Par exemple, une fois connecté à son compte de messagerie, John peut consulter tous les e-mails qu’il a envoyés et reçus. Cependant, il ne devrait pas avoir accès aux e-mails de Tracy, sa collègue de travail.
En d’autres termes, même si l’identité d’un utilisateur est vérifiée, cela ne signifie pas qu’il peut accéder à tout ce qu’il souhaite dans un système ou un réseau. Par exemple, un employé de niveau inférieur au sein d’une entreprise devrait pouvoir accéder à son compte de messagerie professionnelle, mais il ne devrait pas avoir accès aux dossiers de paie ou aux informations confidentielles sur les ressources humaines.
La gestion de l’accès consiste à contrôler et surveiller ces accès. Chaque utilisateur du système a des privilèges différents en fonction de ses besoins individuels. Par exemple, un comptable a besoin d’accéder et de modifier les fiches de paie, donc une fois son identité vérifiée, il devrait pouvoir consulter et mettre à jour ces fiches ainsi qu’accéder à son compte de messagerie.
Pourquoi l’IAM est-il si important pour le cloud computing ?
Dans le cloud computing, les données sont stockées à distance et accessibles via Internet. Les utilisateurs peuvent se connecter à Internet depuis presque n’importe où et n’importe quel appareil. Les services cloud sont donc indépendants des appareils et des lieux. Il n’est plus nécessaire d’être au bureau ou d’utiliser un appareil appartenant à l’entreprise pour accéder au cloud. Le télétravail est de plus en plus courant.
Par conséquent, l’identité devient le point de contrôle principal de l’accès, plutôt que le périmètre du réseau. Ce n’est plus l’appareil ou l’emplacement de l’utilisateur qui détermine les données auxquelles il peut accéder, mais son identité.
Pour comprendre pourquoi l’identité est si importante, prenons un exemple. Supposons qu’un cybercriminel veuille accéder à des fichiers sensibles dans le centre de données d’une entreprise. Avant l’adoption généralisée du cloud computing, le cybercriminel devait contourner le pare-feu de l’entreprise qui protégeait le réseau interne, ou accéder physiquement au serveur en pénétrant dans le bâtiment ou en corrompant un employé interne. L’objectif principal était de franchir le périmètre du réseau.
Cependant, avec le cloud computing, les fichiers sensibles sont stockés sur un serveur distant. Les employés de l’entreprise peuvent y accéder en se connectant par le biais d’un navigateur ou d’une application. Si un cybercriminel souhaite accéder à ces fichiers, il lui suffit d’obtenir les informations d’identification d’un employé (nom d’utilisateur et mot de passe) et d’une connexion Internet. Il n’a plus besoin de franchir un périmètre réseau.
L’IAM permet d’éviter les attaques d’usurpation d’identité et de données ainsi que les privilèges excessifs (lorsqu’un utilisateur non autorisé dispose de trop d’accès). Les systèmes IAM sont donc essentiels pour le cloud computing et la gestion d’équipes à distance.
Quelle est la place de l’IAM dans une architecture cloud ?
L’IAM est souvent un service cloud par lequel les utilisateurs doivent passer pour accéder au reste de l’infrastructure cloud d’une organisation. Il peut également être déployé à l’intérieur des locaux de l’organisation, sur un réseau interne. Certains fournisseurs de cloud public peuvent également proposer l’IAM en combinaison avec leurs autres services.
Les entreprises utilisant une architecture multicloud ou hybride peuvent choisir d’avoir un fournisseur distinct pour l’IAM. Découpler l’IAM des autres services cloud publics ou privés offre une plus grande flexibilité. Ainsi, même en changeant de fournisseur de cloud, l’entreprise peut toujours conserver son identité et accéder à sa base de données.
Qu’est-ce qu’un fournisseur d’identité (IdP) ?
Un fournisseur d’identité (IdP) est un produit ou un service qui aide à gérer l’identité. Il est souvent responsable du processus de connexion lui-même. Les fournisseurs de Single Sign-On (SSO) font partie de cette catégorie. Les IdP peuvent faire partie d’un cadre IAM, mais ils ne contribuent généralement pas à la gestion des accès des utilisateurs.
Qu’est-ce que l’IDaaS (Identity-as-a-Service) ?
Identity-as-a-Service (IDaaS) est un service en ligne qui vérifie l’identité. C’est une offre SaaS proposée par un fournisseur de cloud, qui permet d’externaliser partiellement la gestion de l’identité. Dans certains cas, IDaaS et IdP sont pratiquement interchangeables, mais dans d’autres cas, le fournisseur d’IDaaS offre des capacités supplémentaires en plus de la vérification et de la gestion de l’identité. Selon les capacités offertes, IDaaS peut faire partie d’un cadre IAM ou constituer l’ensemble du système IAM.
