LA GESTION DES IDENTITÉS ET DES ACCÈS (GIA) : Pourquoi et comment ? Publié aussi dans InfoTélécom - Mars 2015

La gestion de la sécurité au sein d’une organisation a toujours été un volet important des TI afin d’en sécuriser les actifs (accès, données, systèmes, messages, etc.) Pour répondre à ces besoins,  une panoplie de mécanismes sont traditionnellement déployés tels que des coupe-feu (firewall) pour la gestion du périmètre et des communications intersystèmes/interdomaines, les antivirus pour les flux web et les courriels, les IDS/IPS pour la détection d’intrusion préventive et en temps réel, les annuaires pour l’authentification des utilisateurs, le cryptage des communications avec SSL, ou encore les certificats de sécurité X.509 pour authentifier les communicants.

Avec tous ces mécanismes en place, pourquoi parle-t-on alors de la gestion des identités et des accès ?

Les organisations ne sont-elles pas assez sécurisées comme cela ? Quels sont les « trous de sécurité » auxquels nous faisons face et auxquels nous n’avions pas pensés ?  Pourquoi parle-t-on alors de « gestion des identités et des accès » ? Est-ce parce que Gartner en a fait un domaine d’importance en soi avec son propre « Magic Quadrant » en gestion des identités et des accès (Identity and Access management - AIM) ? Comment ce domaine s’insère-t-il dans le monde de l’infonuagique avec une partie des actifs à l’interne et l’autre à l’externe ?

 Les besoins d’abord !

Afin de répondre à ces questions, partons du bon pied en répondant d’abord à la question suivante : quels sont les besoins de l’organisation en matière de gestion de ses actifs et de la sécurité ?  Tentons d’y répondre de façon sommaire. Assurer la confidentialité des données pour se conformer à des normes règlementaires (HIPAA, Sorban-Oaxley).  Éviter le vol d’information (secrets industriels,  données de recherches fondamentales, R et D)  pouvant mener à des pertes financières. Contrôler l’accès à l’information afin d’en donner l’accès qu’aux personnes autorisées. Obtenir des pistes d’audit d’accès et autres, assurer les mêmes niveaux de sécurité dans un réseau privé qu’en infonuagique privée ou publique. Assurer la sécurité des accès à partir d’appareils multiples que l’organisation ne contrôle pas nécessairement (BYOD)…

 On voit alors que les besoins des organisations sont plus larges que ce que peuvent offrir les mécanismes traditionnels énumérés plus haut pour faire de la sécurité. Bien que puissants individuellement, aucun des mécanismes n’offre une gestion complète de la sécurité ou une vision d’ensemble pour l’organisation de ce qui est effectivement déployé en matière de mécanismes et la performance de ceux-ci. Il est alors nécessaire de revenir à la base des besoins et y répondre avec l’introduction d’un cycle de vie de l’identité.

 Qu’est-ce qu’une identité ?

Une identité est un identifiant unique descriptif d’une personne, d’un groupe, d’un appareil ou d’un service et possède les attributs utilisés pour gérer les autorisations d’accès aux actifs. Le concept de l’identité peut prendre en effet plusieurs formes et s’étend à tout ce qui doit avoir accès à de l’information de l’organisation. Des exemples ?  Un compte utilisateur dans MS Active Directory, des systèmes qui veulent communiquer entre eux, des services web qui veulent accéder à des informations, des appareils internes ou externes qui communiquent avec des actifs de l’organisation, etc.

 Afin d’en maitriser le contenu, la cartographie des actifs informationnels ainsi que des entités et de leur autorisation est l’une des premières étapes pour que l’organisation puisse avoir un contrôle global sur sa sécurité.

 Introduction d’un cycle de vie de l’identité

Un processus de gestion du cycle de vie de l’identité permet d’actualiser les habilitations d’une identité en fonction de l’évolution de son rapport avec l’organisation.  Prenons par exemple l’évolution d’un employé selon sa carrière. S’il passe du service des finances au service du marketing, le processus de gestion du cycle de vie de l’identité peut fermer et supprimer l’accès de l’employé aux applications financières et lui accorder un accès aux applications marketing.

 Un autre exemple pourrait être de gérer une entente contractuelle d’échange de données entre deux organisations où les communications se font entre systèmes via des services web. Le processus ouvre les communications au début du contrat, s’assure d’enregistrer tous les échanges, d’autoriser seulement les manipulations entendues sur les données (lecture, écriture, modification, effacement) et ferme automatiquement l’accès à la fin de l’entente.

 Un processus de gestion du cycle de vie de l’identité peut être manuel ou automatique selon les besoins. Les processus automatisés augmentent généralement le niveau de sécurité, car ils s’assurent de la cohérence des politiques de sécurité déployées (par exemple, l’ajout d’un accès lors d’une embauche, un retrait/changement des accès lors d’un départ ou changement de rôle).

 Les activités suivantes sont liées à une gestion du cycle de vie de l’identité: mise en oeuvre d’une stratégie de comptes,  suppression des comptes périmés, amélioration de la protection des données, déploiement d’une authentification renforcée, gestion des informations d’identification avec des services d’annuaire, amélioration de l’autorisation, gestion des habilitations par attribution des privilèges d’accès, gestion de groupes, gestion des politiques organisationnelles concernant la sécurité,  adhésion des utilisateurs à cette politique, etc.  Les solutions sur le marché pour mettre en œuvre une gestion des identités

Il existe sur le marché plusieurs solutions en gestion des identités. Une référence en la sorte est le « IAM – Magic Quadrant 2015 » de Gartner qui liste les différents joueurs sur le marché : Microsoft, C.A. Technologie, Imprivata et autres. Nous retrouvons aussi des solutions de gestion des identités spécialisées dans certains marchés comme « Identity Manager » d’Enovacom qui a fait ses preuves pour le secteur de la santé et ses différents enjeux.

 Comment démarre-t-on un projet en gestion des identités ?

Partons des principes de l’architecture d’entreprise avec le référentiel TOGAF 9.1 — «Walk the talk! ».

 La première étape à réaliser dans un projet de gestion des identités est de bien clarifier le besoin de l’organisation et de faire un premier dossier d’affaires et d’analyse de faisabilité. On identifiera les besoins en matière de gestion de sécurité de ’organisation, clarifiera l’état de situation actuelle en matière de sécurité, cernera les risques potentiels pour l’organisation, déterminera l’étendue du projet afin de combler l’écart identifié, soulèvera les bénéfices attendus, identifiera les ressources nécessaires à la réalisation du projet (efforts en RH, budget, échéancier) et autres.  Par la suite, les phases d’architecture pourront démarrer pour bien préciser les processus d’affaires, les systèmes, les données et les technologies pour répondre aux attentes de l’organisation. Suivra le choix d’un ou des systèmes pour supporter les besoins de l’organisation en matière de gestion des identités et combler les « trous de sécurité » identifiés.

 Pour contrôler la sécurité d’une organisation, une approche structurée et globale est essentielle. En effet, il est impossible aujourd’hui de gérer sécuritairement ses actifs sans en avoir une vue complète et avec des mécanismes hétérogènes. La puissance des outils disponibles pour les attaques et le vol d’information requiert qu’on s’y attarde rapidement, étape par étape,  avec une vision complète et homogène. Il s’agit d’approcher un projet de gestion des identités comme le dit si bien un célèbre proverbe africain : comment mange-ton efficacement un éléphant ? Bouchée par bouchée…

 Saviez-vous que ?

L’ACFAS (Association Canadienne Française pour l’Avancement des Sciences - www.acfas.ca) organise au mois de mai son 84e congrès annuel du 9 au 13 mai prochain sous la présidence de monsieur Denis Coderre. Au plaisir de vous y voir !