Qu'est-ce que l'IAM ? Définitions, fonctionnalités et outils expliqués
Publié: 2019-11-23Contribution invitée de John Wilkinson
La gestion des identités et des accès (IAM) est le terme générique désignant les structures et les processus au sein de toute organisation qui administrent et gèrent l'accès de ses employés aux ressources. Il est important de noter que l'IAM, à proprement parler, est une discipline conceptuelle. Les solutions IAM sont les implémentations logicielles qui appliquent réellement la stratégie et les politiques IAM d'une organisation. Pour les besoins de cet article, nous allons nous plonger dans l'IAM et les solutions en relation avec les ressources informatiques.
Dans leur forme la plus aboutie, les solutions IAM centralisent, connectent et régissent l'accès à vos systèmes, données et ressources. Considérez-les comme les cerveaux qui supervisent l'environnement informatique d'une organisation. La centralisation des informations d'identité de chaque individu préserve les autorisations et la sécurité associées pour piloter et faciliter les processus automatisés. La normalisation et la synchronisation de l'IAM de votre organisation établissent la création d'une base de données précise et facile à gérer facilitant un accès sécurisé et approprié pour tous les utilisateurs.
Les solutions IAM aident à trouver le juste équilibre entre un accès trop ouvert et une sécurité trop rigide pour le rôle spécifique de chaque utilisateur au sein de l'environnement et des opérations uniques de votre organisation. Une implémentation réussie vous fournit des outils de gestion des ressources informatiques et des processus métier. Cela garantit que les bons utilisateurs ont le bon accès aux bonnes ressources, à portée de main, quel que soit leur rôle.
Pourquoi l'IAM est-il important ? - Contexte historique
Comprendre le "Pourquoi?" de quelque chose sert d'élément crucial pour comprendre le « quoi ? ». Alors, pourquoi les solutions IAM sont-elles importantes ? Pour cela, nous nous tournons vers le contexte historique des processus métier et de la technologie.
La technologie commerciale traditionnelle fonctionnait de manière indépendante car elle ne disposait pas de l'interconnectivité dont nous disposons aujourd'hui. Cela a créé des silos de données disparates qui existaient exclusivement dans des systèmes spécifiques. Oubliez le transfert d'informations d'une machine à l'autre, il était souvent confiné à des systèmes individuels et à des applications logicielles. Les processus commerciaux traditionnels contournaient ces limites, nécessitant des efforts excessifs et des traces écrites pour garantir au mieux la bonne exécution et la bonne tenue des dossiers.
Le « cloisonnement » fait référence à l'acte d'isoler quelque chose (par exemple des données) dans des structures ou des systèmes autonomes, en le séparant de tout l'environnement – pensez aux silos à grains dans une ferme.
Lorsque les organisations s'appuient sur des ressources et des données cloisonnées, le manque d'interconnectivité qui en résulte limite l'utilisation dans les limites d'une frontière explicite. Par exemple, l'utilité des données RH serait limitée au système RH exclusivement. De plus, le cloisonnement force souvent la création de processus commerciaux et d'accès autrement inefficaces comme solutions de contournement. Ces solutions de contournement formelles ou ad hoc ne sont pas un remède, mais des bandages superficiels pour les os structurels cassés.
Bon nombre de ces solutions de contournement ont peut-être semblé autrefois raisonnables en tant qu'efforts hérités du pré-numérique, tels que les formulaires papier nécessitant de parcourir cinq étapes d'approbation. Cependant, l'émergence incessante de nouvelles technologies les rend régulièrement redondantes ou contraignantes.
IAM manuel - Vous l'utilisez depuis toujours
Vous ne vous en rendez peut-être pas compte, mais votre organisation applique déjà diverses politiques et procédures IAM - elles ne sont peut-être pas automatisées ou numérisées. Vous trouverez ci-dessous quelques exemples illustrant des processus IAM manuels ou sur papier qui contrôlent et surveillent l'accès aux ressources :
- Déconnecter une voiture de société en enregistrant votre nom, la date et le kilométrage de début et de fin sur un presse-papiers près des clés
- Saisie de codes de sécurité attribués individuellement dans une serrure à combinaison pour accéder au bâtiment
- Soumettre des formulaires de demande papier pour les approbations de dépenses d'un employé
GIA aujourd'hui
Indépendamment de l'industrie, de la taille ou de l'emplacement, les organisations modernes ont besoin de ressources informatiques pour accomplir leurs tâches quotidiennes : votre service RH utilise un système RH pour les informations sur les employés ; votre service comptable utilise un logiciel de paie ; les ventes utilisent des systèmes de gestion de la relation client (CRM) ; le marketing utilise des systèmes de gestion de contenu (CMS) ; tout le monde accède au stockage local ou cloud pour le partage de fichiers et de données ; etc.
L'utilisation de ces ressources nécessite des comptes d'utilisateurs associés à des individus. Pour accéder à un compte d'utilisateur, un employé doit authentifier son identité, souvent en saisissant un nom d'utilisateur et un mot de passe. Les comptes d'utilisateurs doivent être créés, maintenus et désactivés au cours de leur cycle de vie, qui correspond le plus souvent à la durée d'emploi de cet utilisateur.
L'exploitation efficace des ressources informatiques dans le contexte des attentes actuelles d'immédiateté nécessite un accès instantané aux applications, aux fichiers et aux données à tout moment, à partir de n'importe quel appareil, en tout lieu. En plus de tout cela, l'assaut sans fin d'entités numériques malveillantes dans un monde plus connecté que jamais complique les processus et l'accès traditionnels.
La prospérité dans le monde des affaires d'aujourd'hui dépend de l'optimisation des opérations, des données et de la sécurité. Les processus inefficaces s'additionnent rapidement pour vous ralentir. La gestion manuelle de la création et de l'approvisionnement des comptes d'utilisateurs, des demandes ad hoc, de l'authentification, des examens d'accès, des efforts de sécurité et bien plus encore pèse non seulement sur votre personnel informatique, mais sur tous les employés qui utilisent les ressources informatiques. En combinant ces défis avec une conformité réglementaire de plus en plus exigeante (par exemple, HIPAA, SOX, FERPA) et des risques de violation, chaque entreprise est actuellement confrontée à l'environnement le plus rigoureux qui soit.
En outre, quels types de comptes sont utilisés dans les opérations quotidiennes ? Lorsque des rôles dotés d'autorisations élevées (par exemple, directeurs, gestionnaires, rôles spécialisés) effectuent des opérations via leurs comptes privilégiés en permanence, il y a une probabilité beaucoup plus élevée que ces comptes deviennent non sécurisés et qu'une activité excessive puisse être effectuée sans préavis. La gestion des accès privilégiés est essentielle pour assurer la sécurité de votre environnement. S'il n'est pas nécessaire d'utiliser un compte privilégié, ne le faites pas . C'est si simple. À l'opposé, les comptes génériques partagés par plusieurs utilisateurs éliminent les informations. L'utilisation excessive de comptes privilégiés et génériques facilite la gestion, dans la mesure où il n'en existe pas et que tout est catastrophiquement moins sécurisé.
Ne pas adopter de processus, de politiques et de mesures de sécurité stricts crée le chaos. Sans cela, les droits d'accès de votre personnel peuvent rapidement devenir incontrôlables et, à leur tour, compliquer la compréhension de chacun des rôles et des responsabilités. Cette désorganisation crée des risques de sécurité, des oublis et des négligences avec le potentiel de graves ramifications.
Une solution IAM est la meilleure plate-forme que vous puissiez offrir pour préparer votre organisation au succès. L'automatisation de vos processus de gestion back-end garantit la bonne exécution des tâches critiques et subalternes, fournit un accès sécurisé et récupère la capacité de redéfinir les priorités de votre personnel avec des tâches plus importantes.
Consultez l'infographie ci-dessous pour plus de statistiques sur la gestion des identités et des accès :
Définition des solutions IAM
Les solutions IAM sont des technologies dynamiques qui gèrent, intègrent et fusionnent les identités des utilisateurs, les cycles de vie des comptes, les autorisations des utilisateurs et les activités. En clair, les solutions IAM gèrent le qui, quoi, où, quand, pourquoi et comment en ce qui concerne les utilisateurs opérant dans les « environnements technologiques de plus en plus hétérogènes » de toute organisation (Gartner).
La mise en œuvre d'une telle plate-forme permet aux utilisateurs vérifiés d'accéder aux ressources nécessaires, aux professionnels de l'informatique de se concentrer sur un travail productif plutôt que sur des tâches administratives subalternes, et à l'organisation dans son ensemble de fonctionner plus efficacement. L'IAM donne à une organisation la possibilité de réorienter son énergie vers des opérations percutantes, axées sur le retour sur investissement et bénéfiques plutôt que d'être contrainte par la gestion de ses systèmes.
Composants de la solution IAM
Il existe quatre composants principaux de toute solution IAM :
1. Gestion de l'authentification
La gestion de l'authentification vérifie les identités et accorde ou refuse en conséquence l'accès initial aux systèmes. C'est le côté "Identité" d'IAM et garantit que chaque utilisateur est bien celui qu'il prétend être.
La vérification d'identité traditionnelle nécessite des identifiants de nom d'utilisateur et de mot de passe, mais la nouvelle authentification multifacteur (MFA) prend en charge l'utilisation de mots de passe à usage unique (OTP), de jetons, de cartes à puce, etc. L'une des méthodes d'authentification actuelles les plus courantes consiste à se connecter à l'Active Directory (AD) de Microsoft lorsque les employés se connectent pour la première fois à leur ordinateur.
2. Gestion des autorisations
La gestion des autorisations garantit qu'un utilisateur authentifié ne peut accéder qu'aux applications et ressources nécessaires pour son rôle donné. Il s'agit du côté "Gestion des accès" de l'IAM et peut incorporer des éléments supplémentaires tels que les modèles de rôle d'authentification unique et de gouvernance des accès (AG), qui consistent en une matrice appliquant le contrôle d'accès basé sur les rôles (RBAC).
Les modèles de rôle peuvent être considérés comme des graphiques numériques décrivant les structures hiérarchiques des employés liées à l'accès. L'authentification unique (SSO) rend toutes les ressources informatiques des utilisateurs disponibles après avoir effectué une connexion unique pour éliminer les tentatives d'authentification répétitives et la mauvaise sécurité des mots de passe lors de l'accès à divers systèmes et applications.
3. Administration
Administration de l'automatisation des cycles de vie des comptes utilisateurs : création, modification, désactivation et suppression des comptes utilisateurs pour les systèmes et les applications. Alors que la gestion de l'authentification et des autorisations supervise la sécurité d'accès, l'administration supervise le provisionnement des ressources. Reliant les systèmes sources (par exemple, les systèmes RH tels que UltiPro ou WorkDay) aux systèmes cibles (par exemple, AD, O365, G Suite, SalesForce, Adobe), les solutions IAM vous permettent d'automatiser les tâches manuelles pour un provisionnement complet de bout en bout.
L'administration coïncide avec le cycle de vie du compte utilisateur, de la configuration le premier jour d'un employé à la désactivation lors de son départ. À mesure que les rôles des employés changent (par exemple, promotions, réorganisations), les solutions IAM réapprovisionnent et mettent à jour automatiquement les ressources et y accèdent en conséquence. Les modifications ad hoc pour des éléments tels que des projets ponctuels peuvent être gérées par une fonctionnalité en libre-service, permettant aux utilisateurs de demander l'accès directement à leur responsable ou au « propriétaire » de la ressource. Étant donné que les solutions IAM fournissent des interfaces administratives, les connaissances techniques ne sont plus nécessaires pour provisionner les utilisateurs. Les responsables peuvent simplement approuver une modification et laisser la solution traiter le reste.
4. Surveillance et audit
Ces capacités prennent en charge la gestion interne active et l'examen des opérations et des processus d'une organisation via des journaux d'activité complets. Les journaux d'activité peuvent être utilisés pour compiler des rapports de Business Intelligence et des pistes d'audit, effectuer des examens d'accès, garantir des rôles corrects et résoudre tout processus ou problème IAM inefficace.
Exécution IAM
Les solutions IAM fonctionnent sur des « données faisant autorité », c'est-à-dire l'ensemble le plus précis et le plus complet contenant les informations d'identité de votre employé. Les organisations doivent fournir des données faisant autorité pour une solution IAM. Les données faisant autorité doivent être propres et saisies dans un format cohérent, sinon l'automatisation rencontrera des problèmes. La plupart des données d'identité sont stockées dans des "systèmes sources", tels qu'un système RH qui contient des informations personnelles/de contact, des dates de début et de fin, une fonction/rôle, un service, un lieu, etc.
Pensez aux systèmes source et aux données comme une batterie de voiture - vous pouvez brancher toutes sortes de fonctions et de fonctionnalités électriques, mais en tant que source, la batterie doit fournir suffisamment de courant électrique propre pour qu'elles fonctionnent. Les processus IAM ne peuvent être exécutés qu'avec des entrées de données propres, cohérentes et complètes. À l'aide de connecteurs standard entre les systèmes, les solutions IAM peuvent agréger les données de nombreux systèmes sources différents avant de les transmettre aux cibles connectées.
Les organisations doivent déterminer, en détail, quelles ressources un individu donné reçoit pour son rôle et les intégrer dans leur modèle AG. Les solutions IAM s'appuient sur des déclencheurs et des processus configurables pour prendre ces données faisant autorité et les synchroniser sur l'ensemble de votre environnement informatique. Un assortiment de champs et de valeurs sont surveillés pour les modifications. Lorsque des modifications des valeurs source se produisent, le déclencheur IAM qui les surveille lance un processus associé pour synchroniser les données selon la logique configurée.
Les individus d'une organisation peuvent avoir différentes identités, qui sont souvent stockées séparément dans une solution IAM. Sur la base de ces identités, IAM peut créer et gérer différents comptes d'utilisateurs pour différents types d'employés et responsabilités de rôle. Si un utilisateur doit effectuer des tâches nécessitant des privilèges élevés (par exemple, accéder aux informations de paie), il doit utiliser un compte privilégié. Pour consulter leurs e-mails ou créer un document, ils doivent utiliser leur compte d'utilisateur général sans privilèges élevés. La gestion des accès privilégiés permet aux employés de mieux fonctionner avec le compte utilisateur qui correspond à la situation.
Les systèmes sources fournissent toujours toutes les informations de ces identités mais n'aident pas à leur bonne gestion. Une solution IAM agit sur les données faisant autorité et c'est ce qui rend possibles tous ces liens complexes entre les identités et les utilisateurs.
Sécurité IAM
Les risques de sécurité commencent lorsqu'un employé est embauché avec la remise des comptes et des informations d'identification nouvellement créés au jour du départ de l'employé. Au cours de leur emploi, les besoins en ressources d'un utilisateur changeront probablement. Les promotions, les réorganisations, les changements de rôle et les projets ponctuels contribuent tous à l'évolution des besoins d'accès. Au fil du temps, une grande partie de cet accès peut devenir inutile ou même constituer un risque de conformité, ce qui se traduit par des problèmes de sécurité. C'est particulièrement préoccupant si l'accès en question menace des informations sensibles telles que des informations personnelles identifiables (PII), des numéros de carte de crédit ou de sécurité sociale, etc. Cette accumulation d'accès est appelée « gonflement des autorisations ». Les solutions IAM contrecarrent le « gonflement des autorisations » en restreignant l'accès aux besoins de l'employé en fonction de son rôle ici et maintenant.
Ces risques ne disparaissent pas même après le départ de l'employé, à moins que vous ne disposiez d'un processus de déprovisionnement complet et automatisé. Un processus de déprovisionnement traite du nettoyage des comptes et de l'accès des employés qui partent. Sans solution IAM, il devient impossible de suivre en toute sécurité tous les comptes, informations d'identification et accès (physiques ou numériques) d'un utilisateur donné, sans parler de les supprimer tous en temps opportun.
Lorsqu'un utilisateur quitte une organisation, tous ses comptes associés doivent être désactivés et déprovisionnés. Si ce n'est pas le cas, l'utilisateur d'origine peut toujours s'y connecter avec les mêmes informations d'identification, même s'il a quitté votre organisation. Un ex-employé malveillant peut prendre des données sensibles (par exemple, des informations sur les clients, la propriété intellectuelle, les identifiants de compte) ou endommager votre environnement dans les pires scénarios. Les anciens employés peuvent accéder à vos ressources informatiques jusqu'à la désactivation. Cela peut prendre des jours, des semaines, des mois ou même des années. Le non-nettoyage des comptes et des accès expose le stockage dans le cloud, les données des clients, les projets à venir, les supports marketing, etc. La désactivation bloquée est particulièrement dangereuse pour les ressources hébergées dans le cloud auxquelles tout le monde peut accéder depuis ses appareils personnels.
"Comptes orphelins"
L'autre raison principale d'adhérer à un processus de désactivation standard est d'empêcher l'accumulation de "comptes orphelins". Les comptes orphelins sont ceux qui ne sont plus associés à un utilisateur actif et restent dans votre environnement. Ces détritus numériques encombrent votre capacité à évaluer avec précision votre environnement tout en occupant de l'espace de stockage. L'un des processus les plus importants d'une solution IAM consiste à les nettoyer.
Regard vers l'avenir : IAM et le cloud
Aujourd'hui, la plupart des entreprises divisent leur environnement informatique en incorporant des applications cloud pour leurs coûts de maintenance réduits, une mise en œuvre plus rapide et une flexibilité d'accès. Cependant, ces environnements hybrides posent de sérieux défis aux opérations commerciales traditionnelles et à la « GIA manuelle ». L'utilisation d'applications cloud non gérées invite les risques de sécurité à travers les innombrables nouvelles ouvertures dans votre environnement informatique - sans oublier qu'elle peut frustrer les utilisateurs avec des connexions répétitives. Des problèmes tels que ceux-ci expliquent pourquoi la fonctionnalité SSO basée sur le cloud ou sur le Web est si importante.
Les solutions IAM avec fonctionnalité d'authentification unique (SSO) basée sur le cloud/web aident à combler le fossé dans les environnements hybrides. Le portail de connexion central d'un SSO regroupe toutes les ressources informatiques des utilisateurs derrière une seule connexion avec des protocoles de sécurité stricts et des politiques d'accès configurables. Une fois authentifié, un utilisateur dispose de tous les accès dont il a besoin pour son rôle dans un portail qui minimise les ouvertures dans le réseau et les risques de violation associés. Pour plus de sécurité, MFA peut être ajouté à l'authentification SSO.
Sans une base de données centrale faisant autorité servant d'intermédiaire entre vos utilisateurs et leurs ressources, ils devront se connecter à plusieurs reprises à leurs comptes séparés sur votre infrastructure sur site et dans le cloud. La gestion de tous ces différents comptes complique l'utilisation quotidienne ainsi que l'administration. Les utilisateurs doivent jongler avec les URL, la complexité des informations d'identification, les expirations de mot de passe, les déconnexions automatiques et d'autres mesures qui, tout en assurant la sécurité, empêchent un accès facile et arrêtent la productivité.
Afin de développer une organisation performante, votre personnel doit être en mesure de réussir en tant qu'individus ou équipes. Cela nécessite l'accès aux moyens et aux ressources pour accomplir les tâches quotidiennes (par exemple, les applications, les partages, les outils de gestion, les espaces collaboratifs) et la flexibilité d'agir de manière décisive lorsque le moment l'exige. Des exigences d'accès compliquées et des processus métier surchargés ne font que mettre un frein à la productivité de votre personnel, à sa motivation et à l'élan de chacun.
Les solutions IAM ont toujours assuré un accès, une conformité et une sécurité appropriés, mais elles commencent maintenant à tirer davantage parti des nouvelles données, de l'interopérabilité des diverses applications et de l'informatique décisionnelle. En tant que contributeur actif à la croissance organisationnelle, les solutions IAM fournissent des fonctionnalités étendues qui permettent aux utilisateurs à tous les niveaux.
Tout relier ensemble
Malgré toutes les percées technologiques révolutionnaires et perturbatrices de l'industrie, l'utilisation des données reste la constante la plus importante dans l'ensemble de vos ressources informatiques.
En mettant en œuvre des identités vérifiables, des processus automatisés, une gouvernance des accès et des capacités de libre-service, une solution IAM utilise les données de votre organisation pour construire son cadre. Ce cadre contrôle et surveille tous les défis susmentionnés concernant les processus métier, l'accès et la sécurité.
Les solutions IAM éliminent le dilemme de votre organisation consistant à choisir entre l'accès et la sécurité grâce à des politiques de gouvernance qui permettent la productivité des utilisateurs et rationalisent les opérations. Une mise en œuvre réussie favorisera à la fois l'efficacité organisationnelle et maintiendra des journaux d'audit détaillés pour examiner l'accès et l'activité d'un utilisateur.
Sans un changement significatif des intrants (par exemple, les employés, les flux de trésorerie, l'offre/la demande), le seul moyen possible d'obtenir des extrants accrus est l'efficacité organisationnelle. Les solutions IAM fournissent les outils de gestion nécessaires pour poursuivre cette augmentation de la production, qu'il s'agisse de parvenir à une organisation plus flexible, à des implémentations technologiques plus ambitieuses, à un renforcement de la sécurité, à des efforts d'entreprise élevés ou à vos objectifs et à votre vision.
Pour récapituler, les solutions IAM :
- Assurez-vous que les utilisateurs peuvent accéder aux ressources dont ils ont besoin.
- Restreindre l'accès inutile ou irrégulier pour l'application de la sécurité
- Fournir à la direction et à l'informatique les outils et les informations nécessaires pour effectuer des tâches administratives complexes et optimiser les processus
- Automatisez les processus et les tâches subalternes, donnant à votre organisation la flexibilité nécessaire pour redéfinir les priorités des personnes avec un travail plus percutant
- Renforcez la sécurité tout au long du cycle de vie du compte utilisateur - de l'approvisionnement et de la transmission en toute sécurité des comptes et des informations d'identification à la désactivation rapide après les départs
- Aider à la préparation de l'audit via des rapports sophistiqués et des journaux d'activité
Certains fournisseurs de solutions IAM :
- Outils4ever
- Okta
- IBM
- Microsoft Azure
- Centrifier
- Identité PING
- Automatisation des identités
- SailPoint
En fin de compte, les solutions IAM profitent à tous les membres de votre organisation.
Cet état d'esprit holistique et axé sur l'organisation est essentiel pour réussir la mise en œuvre d'une solution IAM. Dès le départ, considérez les solutions IAM comme des catalyseurs de ce qu'elles accomplissent plutôt que comme une simple série d'implémentations techniques « définir et oublier » laissées au service informatique pour les activer. Alors que les processus sont automatisés, les solutions IAM nécessitent une gestion et une configuration actives pour obtenir les résultats souhaités - elles exécutent ce que vous leur dites. Pour s'intégrer au mieux aux besoins et aux opérations de votre organisation, la configuration de votre solution doit les refléter pour être efficace.
Une solution IAM est donc l'une des décisions les plus intelligentes et financièrement responsables qu'une entreprise moderne puisse prendre. Un plan technologique complet agit comme un levier organisationnel, permettant plus d'accomplissement avec moins. Si cette prémisse est vraie, alors la gestion des identités et des accès est le pivot avec lequel cette multiplication permet d'obtenir le plus grand avantage.