La gestion des identités et des accès : un enjeu capital pour l’économie numérique

Publié le - mis à jour le

La gestion des identités, la pratique d’authentification et d’accréditation, sont essentielles pour garantir la confiance, et ainsi autoriser le développement sur le long terme de l’économie numérique.

La gestion des identités et des accès : un enjeu capital pour l’économie numérique

Une solide gestion des identités, associée à des pratiques rigoureuses d’authentification et d’accréditation, sont essentielles pour garantir la confiance, et ainsi autoriser le développement sur le long terme de l’économie numérique.

Le marché des solutions de gestion des identités et des accès, communément appelée IAM (Identity and Access Management) existe depuis de longues années, mais les technologies qui s’y rattachent évoluent sans cesse, et se trouvent aujourd’hui face à de nouveaux défis. Car avec l’expansion continue du cloud et de la mobilité, associée aux nombreuses obligations de conformité imposées par la législation et les normes industrielles, la tâche de l’IAM ne cesse de se complexifier, ce qui impose l’apparition d’une nouvelle génération de solutions.

En effet pour les entreprises, peu importe où les applications et les données se trouvent – dans le cloud, sur un terminal mobile ou dans un data center, les utilisateurs doivent avoir accès à leur environnement pour travailler. Et elles doivent gérer les changements des droits d’accès à chaque fois que le statut des utilisateurs change ou lorsque ceux-ci quittent l’entreprise. Surtout, l’accès des utilisateurs doit être géré à la fois de manière à sécuriser les données de l’entreprise, à protéger leur vie privée et à répondre aux exigences de conformité réglementaire.

Une nouvelle génération de solutions

Dans ce contexte, les premières générations de solutions IAM, souvent basées sur une combinaison d’outils disparates et de processus manuels, ne sont plus adaptées. Car elles ne permettent plus aux entreprises de savoir précisément qui a accès à quoi, et ainsi d’avoir une image complète de l’ensemble des accès des utilisateurs dans l’entreprise.

A cela s’ajoute que le contrôle centralisé des accès par le département informatique appartient au passé. Les utilisateurs apportent désormais leur propre terminal mobile sur leur lieu de travail et l’utilisent pour accéder au réseau de l’entreprise, et les différents départements métier choisissent d’eux-mêmes de déployer des applications cloud sans consulter ni impliquer le département informatique.

Celui-ci doit donc étendre sa stratégie IAM pour couvrir les utilisateurs, les terminaux et les applications en dehors du data center traditionnel, en incluant les clouds publics et privés, les applications cloud et les outils comme les tablettes et les smartphones, dont beaucoup n’appartiennent pas à l’entreprise.

 

La nouvelle génération de solutions IAM a donc l’obligation de faire le lien de façon transparente entre les utilisateurs et les applications dans le réseau de l’entreprise et entre les utilisateurs et les applications à l’extérieur du réseau, pour fournir une visibilité et un contrôle de bout en bout.

 

De nouvelles méthodes d’authentification, impliquant deux ou trois facteurs

Tout d’abord en mettant en œuvre de nouvelles méthodes d’authentification des identités, reposant sur une convergence de plus en plus forte entre identité numérique et identité physique. En effet, une identité numérique est une combinaison d’éléments qui permet de gérer l’authentification puis l’autorisation d’un individu.

 

Les méthodes d’authentification n’ont cessé d’évoluer ces dernières années, afin d’apporter un niveau de sécurité toujours plus élevé, tout en restant simples à mettre en œuvre pour l’utilisateur.

Ces méthodes peuvent être classées en trois catégories, basées sur ce qui est communément appelé les trois facteurs de l’authentification : ce que l’utilisateur connait ; ce que l’utilisateur possède ; et ce que l’utilisateur est.

Schématiquement, les facteurs de connaissance sont : identifiant, mot de passe, question de sécurité.

Les facteurs de possession sont : badge, jeton de sécurité, jeton logiciel, etc.

Les facteurs physiques sont : empreinte digitale, empreinte rétinienne, signature, voix ou autre identifiant biométrique.

 

Pour contrer des menaces et des techniques d’usurpation de de plus en plus sophistiquées, les nouvelles méthodes d’authentification impliquent désormais au moins deux de ces facteurs, voire tous les trois en même temps.

En effet, les méthodes impliquant un seul facteur de connaissance restent très courantes, mais tendent à entrer en désuétude, l’exemple le plus connu et utilisé étant le tandem identifiant/mot de passe.

Les méthodes exploitant deux facteurs – par exemple l’un de connaissance et l’autre de possession, offrant ainsi un second niveau de sécurité, ont tendance aujourd’hui à se banaliser, en particulier pour les opérations de paiement.

Elles associent typiquement un identifiant, par exemple un numéro de carte de crédit, et un code ou un jeton à usage unique, par exemple envoyé par SMS et ayant une durée de vie limitée.

Les méthodes exploitant trois facteurs – le premier de connaissance, le second de possession et le troisième physique ou biométrique, encore émergentes aujourd’hui, sont quant à elles promises à un bel avenir.

Elles sont pour l’heure essentiellement utilisées dans le monde de l’entreprise, pour sécuriser l’accès à des données stratégiques, et impliquent par exemple la lecture d’un badge ou d’une carte magnétique, suivie d’une prise d’empreinte digitale puis par la réponse à une question de sécurité.

Mais elles deviendront incontournables au fur et à mesure que se généraliseront les identités numériques uniques permettant à chaque individu d’accéder en même temps à toute une gamme de services : banque, santé, administration, e-commerce, etc.

 

Quatre caractéristiques majeures

Parallèlement à ces nouvelles méthodes d’authentification, la nouvelle génération de solutions IAM devra également intégrer quatre caractéristiques majeures.

  • La capacité de gérer de manière centralisée l’infrastructure informatique internet et les environnements cloud. Les entreprises ont désormais besoin d’une gestion des accès multi-domaines, pour gérer en toute sécurité toutes les ressources, où qu’elles soient hébergées, sur site ou dans le cloud.
  • La capacité de gérer des solutions de gestion des mobiles ou MDM (Mobile Device Management). Les employés utilisent de plus en plus d’applications mobiles pour accéder au cloud et aux applications web. Grâce à l’intégration de l’IAM et du MDM, les entreprises pourront obtenir un contrôle de bout en bout sur les ressources sur site, mobiles et dans le cloud.
  • La capacité d’obtenir une vision unique et centralisée des données. Les entreprises ont besoin d’un référentiel unique sur les droits et les accès, en interne et dans le cloud.
  • La capacité d’harmoniser la vision de l’informatique et celle des départements métier. L’IAM doit être considéré comme une solution métier autant qu’une solution technique. L’informatique et les départements métier ont besoin de travailler ensemble pour définir la politique de sécurité et les contrôles, surveiller l’efficacité des contrôles et mieux gérer les risques opérationnels.