1 Introduction
L'IAM (Identity & Access Management - gestion des identités et des accès) est aujourd'hui au cœur des infrastructures informatiques de l'entreprise pour protéger les actifs numériques. L'IAM, comme son nom l'indique, concerne la gestion des identités et de leurs accès. Cela implique la gestion des comptes d'utilisateurs et de leurs droits dans une variété de systèmes et d'applications utilisés dans les entreprises.
Au cours des dernières années, les organisations ont été confrontées à de multiples changements affectant leur attitude par rapport à la sécurité. Le périmètre qui séparait le réseau interne du monde extérieur n'a plus la même pertinence qu'auparavant, avec des utilisateurs mobiles accédant aux systèmes internes, avec l'intégration des partenaires commerciaux et des clients dans les processus métier, et avec le passage aux applications cloud. D'un autre côté, la valeur et la pertinence des actifs numériques et des propriétés intellectuelles des entreprises ont augmenté. Avec le passage aux objets connectés et à la «fabrication intelligente», les actifs numériques se transforment en « joyaux de la couronne », même pour les entreprises plus traditionnelles comme par exemple dans l'ingénierie mécanique.
La protection des actifs numériques des systèmes et des applications face à des attaques de plus en plus nombreuses, dans un environnement informatique d’une complexité croissante et de nature hybride, implique plusieurs mesures que les entreprises doivent prendre impérativement. La protection contre des attaquants internes et externes nécessite une compréhension raisonnée des risques et des contre-mesures.
L’IAM est un des éléments-clés de toute infrastructure. Lorsque bien conçue, l'IAM garantit une bonne gestion des identités avec leurs comptes utilisateurs et mots de passe, ainsi que de leurs droits d'accès. L'IAM réduit ainsi la surface de vulnérabilité en aidant les organisations à évoluer vers le principe du «moindre privilège». Elle fournit des outils pour automatiser les processus de gestion des utilisateurs et des droits d'accès, mais aussi pour en effectuer l'examen régulier et identifier, par exemple, des droits excessifs.
Par ailleurs, l'IAM joue également un rôle opérationnel vital dans le fonctionnement quotidien des entreprises, afin de permettre aux employés, aux sous-traitants, aux partenaires commerciaux et aux clients d'accéder à certaines applications, systèmes et données. L'IAM est l'outil qui permet d'implémenter les workflows et les processus automatisés pour l'intégration des utilisateurs et pour leur accorder des accès. Encore une fois, si elle est bien faite, l'IAM peut augmenter l'opérationnalité des organisations en optimisant les processus d'intégration et de modification, mais également en s'assurant que les droits sont révoqués et que les comptes sont supprimés ou désactivés une fois qu'ils ne sont plus nécessaires.
Dans le cadre général de l'IAM, il est possible de faire la différence entre « l'IAM clé » ou - comme on l'appelle fréquemment aujourd'hui - l'IGA (Identity Governance and Administration), et une définition plus large de l'IAM qui inclut des fonctionnalités supplémentaires telles que la gestion des privilèges, la gestion des accès web, la fédération d'identités, et d'autres. Le terme d'IGA, est en réalité un terme générique désignant les deux éléments-clés de l'IAM, à savoir le provisioning d'identités et la gouvernance des accès. Le provisioning d'identités prend en charge l'automatisation des processus de création et de gestion des comptes d'utilisateurs et de leurs droits généraux à travers une variété de systèmes et d'applications utilisés, tandis que la gouvernance d'accès ajoute un élément de gestion pour analyser les droits, effectuer des examens réguliers, gérer les processus de recertification, ainsi qu'améliorer l'efficacité des workflows de demande d'accès .
Ces fonctionnalités de base du provisioning d'identités et de la gouvernance d'accès sont fréquemment disponibles dans des produits combinés ou dans des suites avec un bon niveau d'intégration entre les différents composants techniques, et deviennent de plus en plus disponibles en sous forme de solutions SaaS. La Gouvernance des accès, est une articulation essentielle entre l’informatique et le cœur d’activité de l’entreprise. Les accès appropriés sont sollicités et approuvés par l'entreprise, et doivent être mappés sur les droits techniques. Bien créer cette interface, allant de la définition à la gestion et à l'examen continu des droits, est souvent un défi. Par ailleurs, les outils doivent prendre en charge des exigences règlementaires ou de sécurité, telles que les contrôles de séparation des tâches et également identifier les combinaisons de droits à haut risque.
La mise en place d'une infrastructure pour le provisioning d'identités et la gouvernance des accès est la pierre angulaire d'une gestion réussie des identités, de leurs comptes et de leurs droits dans l'infrastructure informatique hétérogène et de plus en plus hybride des organisations. L’IGA est une des fondations pour une transformation digitale sécurisée.
Malheureusement, l'IGA comporte également divers défis organisationnels et méthodologiques. L'identification des droits d'accès appropriés peut devenir complexe, avec bien souvent des dizaines de milliers de droits granulaires parmi lesquels choisir. La constitution des droits, par exemple sur la base de rôles, nécessite une approche structurée, de la discipline et implique beaucoup de travail. L’identification et l’évaluation des risques pour un examen efficace des accès peut aussi être une tâche ardue. C’est pourquoi nous commençons à voir apparaître des solutions utilisant une forme d'IA (intelligence artificielle) ou, du moins, des méthodes statistiques avancées pour soutenir les processus d'IGA, et aider à résoudre ces difficultés ,. Il s'agit encore d'un domaine émergent, mais qui présente un intérêt particulier pour améliorer l'expérience utilisateur (UX) dans l'utilisation quodidienne de l'IGA.
L'un des principaux fournisseurs et pionnier de l'application de l'IA à l'IGA est SailPoint, qui a lancé une série de modules utilisant l'IA pour améliorer l'expérience utilisateur de l'IGA. C'est un élément-clé de la vision de SailPoint Predictive Identity.