Qu’est-ce que la gestion des identités et des accès (IAM) ?
La gestion des identités et des accès (IAM) est un moyen de savoir qui est un utilisateur et ce qu’il est autorisé à faire. C’est comme un videur à la porte d’une boîte de nuit qui a une liste des personnes autorisées à entrer, de celles qui ne le sont pas et de celles qui ont accès à la zone VIP. L’IAM est également appelé gestion d’identité (IdM).
En termes plus techniques, l’IAM est un moyen de gérer un ensemble donné d’identités numériques des utilisateurs, ainsi que les privilèges associés à chaque identité. Il s’agit d’un terme général qui englobe plusieurs produits différents qui remplissent tous la même fonction de base. Au sein d’une organisation, l’IAM peut être un produit unique ou une combinaison de processus, de logiciels, de services cloud et de matériel qui donnent aux administrateurs une visibilité et un contrôle sur les données organisationnelles auxquelles les utilisateurs individuels peuvent accéder.
Qu’est-ce que l’identité dans le contexte de l’informatique ?
Dans le domaine informatique, l’identité d’une personne ne peut pas être téléchargée et stockée dans un ordinateur. L’”identité” signifie plutôt un ensemble de propriétés qui peuvent être mesurées et enregistrées numériquement. Pensez à une carte d’identité ou à un passeport : toutes les informations concernant une personne ne sont pas enregistrées, mais elles contiennent suffisamment de caractéristiques personnelles pour pouvoir identifier rapidement une personne.
Pour vérifier l’identité, un système informatique évalue un utilisateur en fonction de ses caractéristiques spécifiques. Si elles correspondent, l’identité de l’utilisateur est confirmée. Ces caractéristiques sont également appelées “facteurs d’authentification”, car elles permettent de vérifier que l’utilisateur est bien celui qu’il prétend être.
Les trois facteurs d’authentification les plus couramment utilisés sont les suivants :
- Quelque chose que l’utilisateur sait
- Quelque chose que l’utilisateur possède
- Quelque chose que l’utilisateur est
Quelque chose que l’utilisateur sait : il s’agit d’une information que seul l’utilisateur devrait connaître, comme un nom d’utilisateur et un mot de passe.
Imaginez que John souhaite consulter ses e-mails professionnels depuis chez lui. Pour cela, il doit d’abord se connecter à son compte de messagerie en prouvant son identité, car si quelqu’un d’autre que John accédait à ses e-mails, les données de l’entreprise pourraient être compromises.
John se connecte en entrant son adresse e-mail, john@company.com, et le mot de passe qu’il est le seul à connaître – par exemple, “5jt2)f12?y”. Il est peu probable que quelqu’un d’autre que John connaisse ce mot de passe, de sorte que le système de messagerie reconnaît John et lui permet d’accéder à son compte de messagerie. Si quelqu’un d’autre essaie de se faire passer pour John en saisissant son adresse e-mail comme “john@company.com”, il échouera sans connaître le mot de passe “5jt2)f12?y”.
Quelque chose que l’utilisateur possède : cela fait référence à la possession d’un objet physique qui est délivré aux utilisateurs autorisés. L’exemple le plus courant de ce facteur d’authentification est l’utilisation d’une clé pour entrer chez soi. Seule une personne qui possède, loue ou est autorisée à entrer dans la maison aura une clé.
Dans le contexte informatique, l’objet physique peut être un porte-clés, un périphérique USB ou même un smartphone. Supposons que l’organisation de John veuille renforcer encore davantage la sécurité en vérifiant deux facteurs d’authentification au lieu d’un seul. Maintenant, en plus de saisir son mot de passe secret, John doit prouver qu’il possède un objet que personne d’autre ne possède. Comme John est la seule personne au monde à posséder son smartphone personnel, le système de messagerie lui envoie un code unique, que John entre pour prouver qu’il possède le téléphone.
Quelque chose que l’utilisateur est : il s’agit d’une caractéristique physique de son corps. Un exemple courant de ce facteur d’authentification est la reconnaissance faciale proposée par de nombreux smartphones modernes. La numérisation des empreintes digitales en est un autre exemple. Certains organismes de haute sécurité utilisent également des scanners de rétine et des analyses sanguines.
Imaginons que l’organisation de John décide de renforcer encore davantage la sécurité en demandant aux utilisateurs de vérifier trois facteurs au lieu de deux (ce qui est rare). John doit désormais entrer son mot de passe, prouver qu’il possède son smartphone et scanner son empreinte digitale avant que le système de messagerie électronique ne confirme qu’il est bien John.
Pour résumer : dans le monde réel, l’identité d’une personne est un mélange complexe de caractéristiques personnelles, d’histoire, de lieu et d’autres facteurs. Dans le monde numérique, l’identité d’un utilisateur est composée de l’un ou des trois facteurs d’authentification, stockés numériquement dans une base de données d’identité. Afin d’éviter que des imposteurs se fassent passer pour de véritables utilisateurs, les systèmes informatiques vérifient l’identité d’un utilisateur par rapport à la base de données d’identité.
Qu’est-ce que la gestion de l’accès ?
Le terme “accès” fait référence aux données qu’un utilisateur peut voir et aux actions qu’il peut effectuer une fois connecté. Une fois que John se connecte à son compte de messagerie, il peut voir tous les e-mails qu’il a envoyés et reçus. Cependant, il ne devrait pas pouvoir voir les e-mails envoyés et reçus par Tracy, sa collègue de travail.
En d’autres termes, ce n’est pas parce que l’identité d’un utilisateur est vérifiée qu’il doit avoir accès à tout ce qu’il veut dans un système ou un réseau. Par exemple, un employé de bas niveau au sein d’une entreprise devrait pouvoir accéder à son compte de messagerie d’entreprise, mais il ne devrait pas pouvoir accéder aux fichiers de paie ou aux informations confidentielles sur les ressources humaines.
La gestion des accès est le processus de contrôle et de suivi des accès. Chaque utilisateur d’un système a des privilèges différents en fonction de ses besoins individuels. Par exemple, un comptable a besoin d’accéder et de modifier les fiches de paie, donc une fois son identité vérifiée, il devrait pouvoir consulter et mettre à jour ces fiches ainsi que son compte de messagerie.
Pourquoi l’IAM est-il si important pour le cloud computing ?
Dans le cloud computing, les données sont stockées à distance et accessibles via Internet. Comme les utilisateurs peuvent se connecter à Internet depuis presque n’importe où et n’importe quel appareil, la plupart des services cloud sont indépendants des appareils et des lieux. Les utilisateurs n’ont plus besoin d’être au bureau ou d’utiliser un appareil de l’entreprise pour accéder au cloud. Le travail à distance est de plus en plus courant.
Par conséquent, l’identité devient le point le plus important du contrôle d’accès, plutôt que le périmètre du réseau. L’identité de l’utilisateur, et non son appareil ou son emplacement, détermine les données auxquelles il peut accéder dans le cloud et s’il y a accès.
Pour comprendre pourquoi l’identité est si importante, voici une illustration. Supposons qu’un cybercriminel souhaite accéder à des fichiers sensibles dans le centre de données d’une entreprise. Avant l’avènement du cloud computing, le cybercriminel devait contourner le pare-feu de l’entreprise qui protégeait le réseau interne ou accéder physiquement au serveur en pénétrant par effraction dans le bâtiment ou en corrompant un employé de l’entreprise. L’objectif principal du criminel était de franchir le périmètre du réseau.
Cependant, avec le cloud computing, les fichiers sensibles sont stockés sur un serveur distant. Comme les employés de l’entreprise doivent accéder aux fichiers, ils le font en se connectant via un navigateur ou une application. Si un cybercriminel veut accéder aux fichiers, il lui suffit d’avoir les identifiants de connexion des employés (comme un nom d’utilisateur et un mot de passe) et une connexion Internet ; il n’a pas besoin de contourner un périmètre de réseau.
L’IAM permet d’éviter les attaques d’usurpation d’identité et les fuites de données causées par l’escalade des privilèges (lorsqu’un utilisateur non autorisé a un accès excessif). Les systèmes IAM sont donc essentiels pour le cloud computing et la gestion des équipes distantes.
Quelle est la place de l’IAM dans une architecture en nuage ?
L’IAM est souvent un service en nuage par lequel les utilisateurs doivent passer pour accéder au reste de l’infrastructure en nuage d’une organisation. Il peut également être déployé dans les locaux d’une organisation sur un réseau interne. Enfin, certains fournisseurs de cloud public peuvent regrouper l’IAM avec leurs autres services.
Les entreprises utilisant une architecture multicloud ou hybride peuvent choisir d’utiliser un fournisseur distinct pour l’IAM. Découpler l’IAM de leurs autres services cloud publics ou privés leur offre une plus grande flexibilité : elles peuvent conserver leur identité et accéder à leur base de données si elles changent de fournisseur de cloud.
Qu’est-ce qu’un fournisseur d’identité (IdP) ?
Un fournisseur d’identité (IdP) est un produit ou un service qui aide à gérer l’identité. Un IdP gère souvent le processus de connexion lui-même. Les fournisseurs de services de connexion unique (SSO) font partie de cette catégorie. Les IdP peuvent faire partie d’un cadre IAM, mais ils ne contribuent généralement pas à la gestion des accès des utilisateurs.
Qu’est-ce que l’Identity-as-a-Service (IDaaS) ?
L’Identity-as-a-Service (IDaaS) est un service en ligne qui vérifie l’identité. Il s’agit d’une offre SaaS (Software-as-a-Service) d’un fournisseur de cloud, une façon de sous-traiter partiellement la gestion de l’identité. Dans certains cas, IDaaS et IdP sont essentiellement interchangeables, mais dans d’autres cas, le fournisseur d’IDaaS offre des capacités supplémentaires en plus de la vérification et de la gestion de l’identité. Selon les capacités offertes par le fournisseur d’IDaaS, l’IDaaS peut faire partie d’un cadre IAM ou constituer l’intégralité du système IAM.
