La solution de gouvernance et d’administration des identités (IGA) permet aux administrateurs de sécurité de gérer efficacement les identités et les accès des utilisateurs dans l’entreprise. Elle améliore la visibilité qu’ils ont sur les identités et les privilèges des accès et les aide à mettre en œuvre les contrôles nécessaires pour éviter tout accès inadéquat ou risqué.
L’IGA combine la gouvernance des identités et l’administration des identités. La gouvernance des identités concerne la visibilité, la séparation des tâches, la gestion des rôles, l’attestation, les analyses et la création de rapports, tandis que l’administration des identités fait référence à l’administration des comptes et des informations d’identification, au provisioning des utilisateurs et des appareils et à la gestion des droits.
Dans un contexte d’entreprise, la numérisation croissante est synonyme d’un plus grand nombre d’appareils, d’utilisateurs et de données dans des environnements sur site et multicloud/distants. Au sein d’écosystèmes de sécurité informatique aussi complexes, il est difficile de gérer efficacement les identités et les accès des utilisateurs. Mais si les utilisateurs reçoivent des accès excessifs ou superflus aux systèmes, aux applications ou aux données, cela augmente les risques de sécurité, le volume des cybermenaces et rend l’entreprise vulnérable aux cyberattaques et aux violations de données.
Avec les solutions d’IGA, le personnel de sécurité peut effectuer le suivi et le contrôle des accès utilisateur tant pour les systèmes sur site que pour les systèmes Cloud dans le cadre des initiatives de gouvernance du Cloud. Le personnel de sécurité peut sécuriser les utilisateurs en s’assurant que les comptes utilisateurs adéquats disposent des accès adéquats aux systèmes adéquats, et détecter et prévenir tout accès inapproprié. En mettant en œuvre les bons accès avec l’IGA, les entreprises peuvent réduire les risques et assurer la conformité aux normes en vigueur.
Les solutions d’IGA permettent aux entreprises d’optimiser la gestion du cycle de vie des identités des utilisateurs de manière précise et efficace. Les administrateurs de sécurité peuvent automatiser le processus de provisioning et déprovisioning des accès utilisateurs tout au long du cycle de vie de ces accès. Pour permettre une telle automatisation, les solutions d’IGA fonctionnent avec des processus de gestion des accès et des identités (IAM, pour Identity and Access Management). L’IGA fonctionne également avec l’IAM pour aider les administrateurs à gérer les autorisations et à assurer la conformité avec des rapports précis.
Les systèmes d’IGA incluent généralement ces éléments pour l’administration des identités (IA, pour Identity Administration) :
Les connecteurs permettent aux outils d’IGA de s’intégrer dans les répertoires et les autres systèmes d’entreprise contenant des informations sur les utilisateurs, les applications et les systèmes auxquels ils ont accès, ainsi que sur leurs autorisations au sein de ces systèmes. Ces connecteurs lisent de telles données pour comprendre qui a accès à quoi et pour écrire des données afin de créer de nouveaux utilisateurs et de leur accorder des accès.
Cela nous amène aux identités fédérées. Une identité fédérée permet aux utilisateurs autorisés d’accéder à plusieurs applications et domaines grâce à un seul jeu d’identifiants. Elle relie l’identité de l’utilisateur entre plusieurs systèmes de gestion des identités afin qu’il puisse accéder à différentes applications de manière sécurisée et efficace.
Les workflows automatisés simplifient pour les utilisateurs la demande d’accès aux systèmes dont ils ont besoin pour travailler. De plus, les administrateurs peuvent facilement intégrer ou annuler l’intégration des utilisateurs, définir quels rôles nécessitent quel niveau d’accès aux applications et aux systèmes, et approuver les accès utilisateur.
L’IGA rationalise le processus de provisioning automatisé et de déprovisioning des autorisations d’accès au niveau des utilisateurs et des applications, tant pour les ressources sur site que pour celles qui se trouvent dans le Cloud.
Les administrateurs de sécurité peuvent spécifier et vérifier ce que les utilisateurs sont autorisés à faire dans différents systèmes et applications. Par exemple, certains utilisateurs pourront ajouter ou modifier des données, tandis que d’autres pourront uniquement consulter des données. Quelques utilisateurs pourront aussi avoir l’autorisation de supprimer des données.
Les systèmes d’IGA incluent généralement un certain nombre d’éléments pour la gouvernance des identités (IG, pour Identity Governance) :
Pour éviter les erreurs et prévenir la fraude, les équipes de sécurité peuvent créer des règles qui empêchent que des ensembles de droits d’accès ou de transaction à risque soient accordés à une seule personne. Par exemple, les contrôles de séparation des tâches empêchent un utilisateur de pouvoir à la fois consulter un compte en banque d’entreprise et transférer des fonds vers des comptes externes, soit par négligence, soit à des fins malveillantes. Les contrôles de séparation des tâches doivent être en place au sein d’une application donnée et aussi dans plusieurs systèmes et applications de gestion des accès et des identités.
Les solutions d’IGA rationalisent le processus d’examen et de vérification des accès utilisateur à différentes applications et ressources. Elles simplifient également la révocation d’accès (par exemple lorsqu’un utilisateur quitte l’entreprise).
C’est là que l’authentification robuste entre en jeu. L’authentification robuste est une méthode utilisée pour sécuriser des systèmes informatiques et/ou des réseaux en vérifiant l’identité d’un utilisateur avec deux facteurs afin de l’authentifier (un élément que vous connaissez, un élément sur vous, un élément que vous possédez).
Avec le contrôle d’accès basé sur les rôles (RBAC, pour Role-based Access Control), les accès utilisateurs sont définis en fonction de leur rôle, de sorte qu’ils ne peuvent accéder qu’aux informations nécessaires à l’exécution de leur travail. En empêchant les accès non nécessaires, en particulier aux données sensibles, le RBAC renforce la sécurité d’entreprise et prévient les violations.
Ces solutions d’IGA offrent une visibilité sur les activités des utilisateurs et permettent au personnel de sécurité d’identifier les problèmes ou risques et de déclencher des alarmes dans les situations particulièrement risquées. Elles peuvent également suggérer des améliorations de sécurité, démarrer des processus de correction, traiter les violations de stratégie et générer des rapports de conformité.
Dans la mesure où les associations d’utilisateurs changent au sein de l’entreprise (par exemple s’ils sont mutés dans un autre service ou quittent l’entreprise), les exigences changent aussi en matière d’accès. L’IGA facilite la gestion de ces changements, du provisioning au déprovisioning. L’IGA aide également à garder le contrôle sur les utilisateurs, les appareils, les réseaux et autres ressources informatiques à travers la gestion des mots de passe, la gestion des autorisations et la gestion des demandes d’accès.
Un système d’IGA fournit un lieu d’approbation centralisé, ce qui facilite pour les utilisateurs le processus de demande des approbations d’accès dont ils ont besoin dans l’exercice de leurs fonctions. La centralisation permet également aux administrateurs de gérer les autorisations, de suivre et détecter les activités suspectes, et d’empêcher les éventuelles personnes malveillantes d’accéder aux systèmes ou aux données d’entreprise.
Les rapports et les analyses détaillés aident les administrateurs informatiques à comprendre ce qui se passe dans l’ensemble de l’environnement d’entreprise et à identifier rapidement les problèmes ou les risques. Ils peuvent alors résoudre les problèmes pour protéger les ressources stratégiques. La centralisation des données permet également aux administrateurs d’auditer les rapports d’accès afin de répondre aux exigences de conformité.
Grâce à de solides solutions d’IGA, les entreprises peuvent accorder et contrôler en toute sécurité les accès à distance, afin d’assurer la continuité d’activité tout en évitant les violations. Une telle flexibilité permet aux collaborateurs de travailler n’importe où, et donc d’améliorer leur productivité et leurs performances.
Les solutions d’IGA prennent en charge les stratégies centralisées et les workflows automatisés qui aident à réduire les coûts d’exploitation, garantissent que les salariés peuvent accéder aux ressources dont ils ont besoin, réduisent le risque et améliorent la conformité. Tous ces avantages permettent à l’entreprise d’évoluer en interne, ce qu’elle ne serait pas capable de faire avec des processus manuels ou une visibilité limitée sur les utilisateurs, les identités et les systèmes.
Les réglementations visent à protéger les utilisateurs et/ou les données et à renforcer la confiance entre les différentes entités. Par exemple, le RGPD a été créé pour protéger les données personnelles tandis que la loi américaine sur la transférabilité des régimes d’assurance-santé et l’imputabilité (HIPAA, Health Information Portability and Accountability Act) l’a été pour protéger les informations de santé des utilisateurs. Elle impose aux organismes de santé de mettre en œuvre les protections adéquates pour garantir la sécurité et la confidentialité des données des patients.
De même, la loi américaine Sarbanes-Oxley (SOX) a imposé des exigences pour améliorer la tenue de registres financiers et les audits dans les sociétés cotées en bourse. L’objectif est de renforcer la confiance relative aux informations financières des entreprises et de prévenir la fraude. Un autre texte réglementaire, la norme de sécurité des données du secteur des cartes de paiement (PCI DSS, Payment Card Industry Data Security Standard), spécifie des exigences relatives à la gestion de la sécurité, ainsi qu’aux stratégies et procédures associées, afin de protéger les données de carte de crédit des clients.
Il est important pour les entreprises de se conformer à toutes les réglementations qui leur sont applicables pour éviter les pénalités légales ou financières en cas de non-respect. La conformité leur permet également de gagner la confiance des clients et de développer leurs activités. La conformité aux normes en vigueur signifie par ailleurs que les entreprises ont mis en place les contrôles nécessaires pour défendre leurs systèmes et leurs données, ce qui les protège des cyberattaques et des violations de données.
L’IGA est une sous-catégorie de la gestion des accès et des identités (IAM). Toutefois, les systèmes d’IGA offrent des fonctionnalités supplémentaires qui vont au-delà des solutions d’IAM standard et contribuent à relever les défis habituels de l’IAM.
Par exemple, un accès inadéquat et/ou obsolète aux ressources d’entreprise est un problème courant dans l’IAM. Le télétravail, le caractère chronophage des processus de provisioning, la faiblesse des stratégies BYOD (Bring Your Own Device, Apportez vos appareils personnels) et les exigences de conformité très strictes sont quelques-unes des autres difficultés qu’implique la gestion des accès et des identités. Ces problèmes augmentent les risques de sécurité et affaiblissent le niveau de conformité des entreprises. Celles-ci répondent toutefois à ces difficultés en renforçant leurs solutions d’identités à l’aide de l’IGA.
Grâce à l’IGA, les entreprises peuvent automatiser les workflows d’approbation d’accès et réduire le risque. Elles peuvent également définir et faire appliquer des stratégies d’IAM, et auditer les processus d’accès des utilisateurs à des fins de création de rapports de conformité. Voilà pourquoi de nombreuses entreprises utilisent l’IGA pour répondre aux exigences de conformité définies par le RGPD, la loi HIPAA, la loi SOX et la norme PCI DSS.