Qu’est-ce que la gestion des identités et des accès (IAM) ?
La gestion des identités et des accès (IAM ou IdAM en abrégé) est une méthode permettant de déterminer l’identité de l’utilisateur et les activités qu’il est en mesure d’effectuer. L’IAM est semblable au videur à l’entrée d’une boîte de nuit. Il dispose d’un inventaire des personnes autorisées à entrer, de celles qui ne le sont pas et de celles qui ont le droit d’accéder à la section VIP. L’IAM est également connu sous le nom de gestion des identités (IdM).
Si vous voulez utiliser des termes plus techniques, l’IAM est un moyen de gérer un certain nombre d’identités numériques pour les utilisateurs et les privilèges associés à chaque compte. Il s’agit d’un terme général qui englobe plusieurs produits différents qui remplissent la même fonction. Au sein d’une entreprise, l’IAM peut être un produit unique ou un ensemble de logiciels, de processus, de services en nuage et de matériel qui permettent aux administrateurs d’avoir accès aux données personnelles de l’organisation auxquelles les employés ont accès et de les contrôler.
Que signifie l’identité dans le monde de l’informatique ?
L’identité complète d’une personne ne peut pas être téléchargée ou sauvegardée sur des ordinateurs. Par conséquent, l' »identité » au sens informatique fait référence à un ensemble spécifique de caractéristiques qui peuvent facilement être évaluées et sauvegardées numériquement. Prenons l’exemple de votre carte d’identité ou de votre passeport : toutes les informations concernant une personne ne peuvent pas être enregistrées sur une carte d’identité, mais celle-ci contient suffisamment d’informations personnelles pour que l’identité d’une personne puisse être rapidement vérifiée.
Pour confirmer l’identité Pour vérifier l’identité d’une personne, un système informatique examine les traits qui lui sont propres. S’ils sont en accord avec le profil de l’utilisateur, son identité est confirmée. On parle également de « facteurs d’authentification » car ils confirment que la personne qui les utilise est bien celle qu’elle prétend être. Sont.
Les trois méthodes d’authentification les plus fréquemment utilisées sont :
- La connaissance d’un utilisateur est quelque chose dont il est conscient.
- Une situation que l’utilisateur peut avoir
- Les actions de l’utilisateur sont
Une chose dont l’utilisateur est conscient : Ce facteur est un aspect de l’information qu’une seule personne devrait posséder, par exemple, la combinaison du nom d’utilisateur et du mot de passe.
Imaginons que Jean souhaite consulter son courrier électronique au travail à la maison. Pour ce faire, il doit d’abord se connecter à son compte par courrier électronique et établir son identité. Si quelqu’un d’autre que Jean accède à la messagerie de Jean, les données de l’entreprise pourraient être compromises.
Jean se connecte en saisissant son adresse électronique john@company.com ainsi que le mot de passe qu’il est le seul à connaître, par exemple « 5jt*2)f12 ?y ». Il est probable que seul Jean possède ce mot de passe, c’est pourquoi le système reconnaît Jean et autorise l’accès au compte. Si quelqu’un essayait de se faire passer pour John en utilisant son adresse électronique, par exemple « john@company.com », il échouerait sans savoir qu’il doit saisir « 5jt*2)f12 ?y » comme mot de passe.
Une chose que l’utilisateur possède : Ce facteur fait référence à la possession d’un jeton physique qui n’est donné qu’aux utilisateurs autorisés. La forme la plus élémentaire de ce facteur d’authentification est l’utilisation d’une clé physique pour entrer dans la maison. Cela suppose que seule une personne qui est le propriétaire, le locataire ou qui a la permission d’entrer dans la propriété possède une clé.
Dans un contexte informatique, l’objet physiquement présent pourrait être une carte d’identité ou un périphérique USB, voire un téléphone portable. Supposons que l’entreprise de Jean souhaite être plus sûre que tous les utilisateurs sont bien ceux qu’ils prétendent être en examinant deux facteurs d’authentification au lieu d’un seul. Au lieu de taper son mot de passe secret – qui est le facteur d’information de l’utilisateur – John doit montrer à un système de messagerie qu’il possède quelque chose que personne d’autre ne possède. John est la seule personne au monde à posséder son propre smartphone et le système de messagerie lui fournit donc un code exclusif. John entre le code pour prouver qu’il possède le téléphone.
Ce que l’utilisateur peut être : Il s’agit d’une caractéristique physique de son corps. L’identification faciale, proposée par la majorité des smartphones modernes, est un exemple de ce facteur utilisé. La numérisation des empreintes digitales en est un autre exemple. Les méthodes moins courantes employées par certaines agences de haute sécurité incluent les scans rétiniens ainsi que les tests sanguins.
Imaginez que l’entreprise de Jean décide de renforcer la sécurité en demandant aux utilisateurs de vérifier trois facteurs au lieu de deux seulement (ce qui n’est pas courant). John doit maintenant saisir son mot de passe, confirmer l’authenticité de son smartphone et scanner son empreinte digitale avant que le système de messagerie puisse confirmer que John est bien John.
Dans le monde réel, l’identité d’un individu est un mélange complexe de traits personnels, de lieux historiques, de caractéristiques personnelles et d’autres facteurs. À l’ère numérique, l’identité d’un individu est constituée de tout ou partie des trois éléments d’authentification qui sont conservés dans une base de données numérique appelée base de données d’identité. Pour empêcher les faux de se faire passer pour de vrais utilisateurs, les ordinateurs vérifient l’identité d’une personne par rapport à la base de données d’identité.
Qu’est-ce que la gestion des accès ?
Le mot « accès » fait référence aux informations que l’utilisateur est en mesure de voir et aux actions qu’il peut entreprendre une fois connecté. Lorsque Jean se connecte à son compte de messagerie, il peut voir tous les courriels qu’il a envoyés et reçus. Cependant, il ne devrait pas pouvoir voir les courriels envoyés et reçus par Tracy, sa collègue de travail.
En d’autres termes, ce n’est pas parce que l’identité d’une personne est vérifiée que l’utilisateur peut accéder à un réseau ou à un système. Par exemple, un employé de bas niveau de l’entreprise devrait être capable d’accéder à son compte de messagerie, mais ne devrait pas être autorisé à accéder aux dossiers de paie ou à des informations RH sensibles.
La gestion des accès implique la régulation et la surveillance des accès. Chaque utilisateur aura des droits différents au sein du système, en fonction de ses besoins spécifiques. Un comptable, par exemple, doit avoir accès aux dossiers de paie et les modifier. Une fois son identité vérifiée, il pourra visualiser et modifier les dossiers, ainsi qu’accéder au compte de messagerie dont il dispose.
Pourquoi l’IAM est-il si crucial dans le cloud computing ?
Dans le cloud computing, les informations sont gérées à distance et accessibles via Internet. Étant donné que les utilisateurs peuvent se connecter à l’internet à partir de pratiquement n’importe quel appareil ou emplacement, les services en nuage sont indépendants du lieu et de l’appareil. Les utilisateurs n’ont pas besoin d’être au travail ou sur un appareil appartenant à l’entreprise pour accéder aux services en nuage. En fait, le télétravail est de plus en plus répandu.
C’est pourquoi l’identité est désormais le facteur le plus important du contrôle d’accès, et non le périmètre du réseau. C’est l’identité de l’utilisateur, et non son appareil ou son emplacement, qui détermine à quelles informations du nuage il a accès et s’il y a accès.
Pour mieux comprendre l’importance de l’identité pour vous, voici un visuel. Supposons qu’un cybercriminel veuille accéder à des données sensibles dans le centre de données d’une entreprise. Avant la généralisation de l’informatique en nuage, le cybercriminel devait franchir le pare-feu qui protège le réseau interne, ou accéder physiquement au serveur en pénétrant dans le bâtiment ou en soudoyant un employé de l’entreprise. L’objectif principal du criminel était de franchir le périmètre du réseau.
Cependant, le cloud computing signifie que les données sensibles sont stockées dans le nuage sur un serveur distant. Comme les employés doivent accéder à leurs fichiers, ils le font en se connectant à l’aide du navigateur ou d’une application. Si un cybercriminel cherche à accéder aux fichiers, il n’a besoin que des identifiants de connexion des employés (tels que le nom d’utilisateur et le mot de passe) et d’une connexion Internet.
L’IAM permet de mettre fin aux usurpations d’identité et aux violations de données causées par l’augmentation des privilèges (lorsqu’un utilisateur non autorisé a accès à trop de choses). Les systèmes IAM sont donc essentiels pour le cloud computing et le contrôle des équipes à distance.
Le terme « périmètre réseau » désigne la limite d’un réseau interne. Il s’agit d’une frontière virtuelle qui sépare le réseau interne sécurisé et contrôlé de l’Internet non sécurisé et contrôlé. Chaque ordinateur d’un bureau et les périphériques connectés, tels que les imprimantes de bureau, font partie de cette limite, mais pas les serveurs distants dans un centre de données à l’autre bout du monde.
Quelle est la place de l’IAM dans l’architecture en nuage ou dans la pile de déploiement ?
L’IAM est généralement un service basé sur le cloud que les utilisateurs doivent utiliser pour avoir accès à l’infrastructure du cloud. Il est également possible de le déployer dans les locaux d’une organisation via les réseaux internes. En outre, certains fournisseurs de cloud peuvent regrouper l’IAM avec d’autres offres.
Les entreprises qui ont une architecture de cloud hybride ou multi-cloud peuvent choisir de faire appel à un fournisseur supplémentaire pour l’IAM. En séparant l’IAM des autres services de cloud privé ou public, elles bénéficient d’une plus grande flexibilité. Elles peuvent conserver l’identité de leurs utilisateurs et avoir accès à leur base de données même si elles changent de fournisseur de cloud.
Qu’est-ce qu’un fournisseur d’identité (IdP) ?
Un fournisseur d’identité (IdP) est un élément ou un service qui aide à gérer l’identité des utilisateurs. Un IdP gère généralement le processus de connexion proprement dit. Les fournisseurs d’authentification unique (SSO) entrent dans cette catégorie. Les IdP sont inclus dans un cadre IAM, mais ils ne contribuent généralement pas à la gestion de l’accès aux utilisateurs.
Qu’est-ce que l’IDaaS (Identity-as-a-Service) ?
Identity-as-a-Service (IDaaS) est un service en ligne qui vérifie l’identité. Il s’agit d’un service SaaS proposé par des fournisseurs de services en nuage, qui permet d’externaliser la gestion de l’identité. Dans certains cas, IDaaS et IdP sont fondamentalement interchangeables, mais dans d’autres cas, le fournisseur IDaaS peut fournir des capacités supplémentaires qui vont au-delà de la gestion et de la vérification des identités. En fonction des capacités fournies par le fournisseur d’IDaaS, l’IDaaS peut faire partie d’un cadre IAM ou même de l’ensemble du système IAM.
