Qu’est-ce que l’IGA (Identity Governance & Administration) ?
La solution de gouvernance et d’administration des identités (IGA) permet aux administrateurs de sécurité de gérer efficacement les identités et les accès des utilisateurs dans l’entreprise. Elle améliore la visibilité qu’ils ont sur les identités et les privilèges des accès et les aide à mettre en œuvre les contrôles nécessaires pour éviter tout accès inadéquat ou risqué.
L’IGA combine la gouvernance des identités et l’administration des identités. La gouvernance des identités concerne la visibilité, la séparation des tâches, la gestion des rôles, l’attestation, les analyses et la création de rapports, tandis que l’administration des identités fait référence à l’administration des comptes et des informations d’identification, au provisioning des utilisateurs et des appareils et à la gestion des droits.
Nécessité de l’IGA
Dans un contexte d’entreprise, la numérisation croissante est synonyme d’un plus grand nombre d’appareils, d’utilisateurs et de données dans des environnements sur site et multicloud/distants. Au sein d’écosystèmes de sécurité informatique aussi complexes, il est difficile de gérer efficacement les identités et les accès des utilisateurs. Mais si les utilisateurs reçoivent des accès excessifs ou superflus aux systèmes, aux applications ou aux données, cela augmente les risques de sécurité, le volume des cybermenaces et rend l’entreprise vulnérable aux cyberattaques et aux violations de données.
Avec les solutions d’IGA, le personnel de sécurité peut effectuer le suivi et le contrôle des accès utilisateur tant pour les systèmes sur site que pour les systèmes Cloud dans le cadre des initiatives de gouvernance du Cloud. Le personnel de sécurité peut sécuriser les utilisateurs en s’assurant que les comptes utilisateurs adéquats disposent des accès adéquats aux systèmes adéquats, et détecter et prévenir tout accès inapproprié. En mettant en œuvre les bons accès avec l’IGA, les entreprises peuvent réduire les risques et assurer la conformité aux normes en vigueur.
Modernisez votre stratégie de sécurité des identités
Fonctionnalités des solutions d’IGA
Les solutions d’IGA permettent aux entreprises d’optimiser la gestion du cycle de vie des identités des utilisateurs de manière précise et efficace. Les administrateurs de sécurité peuvent automatiser le processus de provisioning et déprovisioning des accès utilisateurs tout au long du cycle de vie de ces accès. Pour permettre une telle automatisation, les solutions d’IGA fonctionnent avec des processus de gestion des accès et des identités (IAM, pour Identity and Access Management). L’IGA fonctionne également avec l’IAM pour aider les administrateurs à gérer les autorisations et à assurer la conformité avec des rapports précis.
Les systèmes d’IGA incluent généralement ces éléments pour l’administration des identités (IA, pour Identity Administration) :
1. Connecteurs d’intégration
Les connecteurs permettent aux outils d’IGA de s’intégrer dans les répertoires et les autres systèmes d’entreprise contenant des informations sur les utilisateurs, les applications et les systèmes auxquels ils ont accès, ainsi que sur leurs autorisations au sein de ces systèmes. Ces connecteurs lisent de telles données pour comprendre qui a accès à quoi et pour écrire des données afin de créer de nouveaux utilisateurs et de leur accorder des accès.
Cela nous amène aux identités fédérées. Une identité fédérée permet aux utilisateurs autorisés d’accéder à plusieurs applications et domaines grâce à un seul jeu d’identifiants. Elle relie l’identité de l’utilisateur entre plusieurs systèmes de gestion des identités afin qu’il puisse accéder à différentes applications de manière sécurisée et efficace.
2. Workflows de gestion des demandes d’accès automatisés
Les workflows automatisés simplifient pour les utilisateurs la demande d’accès aux systèmes dont ils ont besoin pour travailler. De plus, les administrateurs peuvent facilement intégrer ou annuler l’intégration des utilisateurs, définir quels rôles nécessitent quel niveau d’accès aux applications et aux systèmes, et approuver les accès utilisateur.
3. Provisioning
L’IGA rationalise le processus de provisioning automatisé et de déprovisioning des autorisations d’accès au niveau des utilisateurs et des applications, tant pour les ressources sur site que pour celles qui se trouvent dans le Cloud.
4. Gestion des droits
Les administrateurs de sécurité peuvent spécifier et vérifier ce que les utilisateurs sont autorisés à faire dans différents systèmes et applications. Par exemple, certains utilisateurs pourront ajouter ou modifier des données, tandis que d’autres pourront uniquement consulter des données. Quelques utilisateurs pourront aussi avoir l’autorisation de supprimer des données.
Les systèmes d’IGA incluent généralement un certain nombre d’éléments pour la gouvernance des identités (IG, pour Identity Governance) :
Séparation des tâches
Pour éviter toute erreur et prévenir la fraude, les équipes de sécurité peuvent créer des règles qui évitent que des jeux d’accès risqués ou des droits de transaction soient accordés à une seule personne. Par exemple, les contrôles de séparation des tâches empêchent un utilisateur de pouvoir à la fois consulter un compte en banque d’entreprise et transférer des fonds vers des comptes externes, soit par négligence, soit à des fins malveillantes. Les contrôles de séparation des tâches doivent être en place au sein d’une application donnée et aussi dans plusieurs systèmes et applications de gestion des accès et des identités.
Examen des accès
Les solutions d’IGA rationalisent le processus d’examen et de vérification des accès utilisateur à différentes applications et ressources. Elles simplifient également la révocation d’accès (par exemple lorsqu’un utilisateur quitte l’entreprise).
C’est là que l’authentification robuste entre en jeu. L’authentification robuste est une méthode utilisée pour sécuriser des systèmes informatiques et/ou des réseaux en vérifiant l’identité d’un utilisateur avec deux facteurs afin de l’authentifier (un élément que vous connaissez, un élément sur vous, un élément que vous possédez).
Gestion des accès basée sur les rôles
Avec le contrôle d’accès basé sur les rôles (RBAC, pour Role-based Access Control), les accès utilisateurs sont définis en fonction de leur rôle, de sorte qu’ils ne peuvent accéder qu’aux informations nécessaires à l’exécution de leur travail. En empêchant les accès non nécessaires, en particulier aux données sensibles, le RBAC renforce la sécurité d’entreprise et prévient les violations.
Analyses et création de rapports
Ces solutions d’IGA offrent une visibilité sur les activités des utilisateurs et permettent au personnel de sécurité d’identifier les problèmes ou risques et de déclencher des alarmes dans les situations particulièrement risquées. Elles peuvent également suggérer des améliorations de sécurité, démarrer des processus de correction, traiter les violations de stratégie et générer des rapports de conformité.
Avantages de l’IGA
1. Gestion du cycle de vie des identités utilisateur simplifiée
Dans la mesure où les associations d’utilisateurs changent au sein de l’entreprise (par exemple s’ils sont mutés dans un autre service ou quittent l’entreprise), les exigences changent aussi en matière d’accès. L’IGA facilite la gestion de ces changements, du provisioning au déprovisioning. L’IGA aide également à garder le contrôle sur les utilisateurs, les appareils, les réseaux et autres ressources informatiques à travers la gestion des mots de passe, la gestion des autorisations et la gestion des demandes d’accès.
2. Suivi des demandes d’accès dangereuses
Un système d’IGA fournit un lieu d’approbation centralisé, ce qui facilite pour les utilisateurs le processus de demande des approbations d’accès dont ils ont besoin dans l’exercice de leurs fonctions. La centralisation permet également aux administrateurs de gérer les autorisations, de suivre et détecter les activités suspectes, et d’empêcher les éventuelles personnes malveillantes d’accéder aux systèmes ou aux données d’entreprise.
3. Création de rapports pour une sécurité et une conformité améliorées
Les rapports et les analyses détaillés aident les administrateurs informatiques à comprendre ce qui se passe dans l’ensemble de l’environnement d’entreprise et à identifier rapidement les problèmes ou les risques. Ils peuvent alors résoudre les problèmes pour protéger les ressources stratégiques. La centralisation des données permet également aux administrateurs d’auditer les rapports d’accès afin de répondre aux exigences de conformité.
4. Amélioration de la productivité des utilisateurs grâce à un accès flexible
Grâce à de solides solutions d’IGA, les entreprises peuvent accorder et contrôler en toute sécurité les accès à distance, afin d’assurer la continuité d’activité tout en évitant les violations. Une telle flexibilité permet aux collaborateurs de travailler n’importe où, et donc d’améliorer leur productivité et leurs performances.
5. Prise en charge de l’évolutivité de l’entreprise
Les solutions d’IGA prennent en charge les stratégies centralisées et les workflows automatisés qui aident à réduire les coûts d’exploitation, garantissent que les salariés peuvent accéder aux ressources dont ils ont besoin, réduisent le risque et améliorent la conformité. Tous ces avantages permettent à l’entreprise d’évoluer en interne, ce qu’elle ne serait pas capable de faire avec des processus manuels ou une visibilité limitée sur les utilisateurs, les identités et les systèmes.
Consultez le rapport d’analyste 2022 du Leadership Compass de KuppingerCole pour la catégorie Gouvernance et administration des identités :
Pourquoi la conformité aux normes en vigueur est-elle importante ?
Les réglementations visent à protéger les utilisateurs et/ou les données et à renforcer la confiance entre les différentes entités. Par exemple, le RGPD a été créé pour protéger les données personnelles tandis que la loi américaine sur la transférabilité des régimes d’assurance-santé et l’imputabilité (HIPAA, Health Information Portability and Accountability Act) l’a été pour protéger les informations de santé des utilisateurs. Elle impose aux organismes de santé de mettre en œuvre les protections adéquates pour garantir la sécurité et la confidentialité des données des patients.
De même, la loi américaine Sarbanes-Oxley (SOX) a imposé des exigences pour améliorer la tenue de registres financiers et les audits dans les sociétés cotées en bourse. L’objectif est de renforcer la confiance relative aux informations financières des entreprises et de prévenir la fraude. Un autre texte réglementaire, la norme de sécurité des données du secteur des cartes de paiement (PCI DSS, Payment Card Industry Data Security Standard), spécifie des exigences relatives à la gestion de la sécurité, ainsi qu’aux stratégies et procédures associées, afin de protéger les données de carte de crédit des clients.
Il est important pour les entreprises de se conformer à toutes les réglementations qui leur sont applicables pour éviter les pénalités légales ou financières en cas de non-respect. La conformité leur permet également de gagner la confiance des clients et de développer leurs activités. La conformité aux normes en vigueur signifie par ailleurs que les entreprises ont mis en place les contrôles nécessaires pour défendre leurs systèmes et leurs données, ce qui les protège des cyberattaques et des violations de données.
En quoi l’IGA se distingue-t-elle de l’IAM ?
L’IGA est une sous-catégorie de la gestion des accès et des identités (IAM). Toutefois, les systèmes d’IGA offrent des fonctionnalités supplémentaires qui vont au-delà des solutions d’IAM standard et contribuent à relever les défis habituels de l’IAM.
Par exemple, un accès inadéquat et/ou obsolète aux ressources d’entreprise est un problème courant dans l’IAM. Le télétravail, le caractère chronophage des processus de provisioning, la faiblesse des stratégies BYOD (Bring Your Own Device, Apportez vos appareils personnels) et les exigences de conformité très strictes sont quelques-unes des autres difficultés qu’implique la gestion des accès et des identités. Ces problèmes augmentent les risques de sécurité et affaiblissent le niveau de conformité des entreprises. Celles-ci répondent toutefois à ces difficultés en renforçant leurs solutions d’identités à l’aide de l’IGA.
Grâce à l’IGA, les entreprises peuvent automatiser les workflows d’approbation d’accès et réduire le risque. Elles peuvent également définir et faire appliquer des stratégies d’IAM, et auditer les processus d’accès des utilisateurs à des fins de création de rapports de conformité. Voilà pourquoi de nombreuses entreprises utilisent l’IGA pour répondre aux exigences de conformité définies par le RGPD, la loi HIPAA, la loi SOX et la norme PCI DSS.