La cybersécurité est indiscutablement un sujet central qui amène les entreprises et administrations à faire évoluer leurs dispositifs historiques qui sont souvent hétérogènes et non centralisés ce qui induit une charge inutile pour les gestionnaires, nuit à l’application d’une politique de sécurité commune et surtout génère des défauts de conformité et risques de violation de données importantes.  Dans un contexte réglementaire qui se durcit, soucieuses de leur mutation constante et de leur transformation, les entreprises de toute taille sont amenées à repenser leur manière de gérer les accès à leurs systèmes d’information et les modes d’authentification de leurs collaborateurs. Pour relever ces challenges, les technologies d’IAM, IAG (“Identity & Access Governance”), une brique au-dessus de l’IAM, nouveau fer de lance des éditeurs qui est principalement associé à l’implémentation de règles : séparation des pouvoirs, rôles métiers, moindre privilège, certification des droits) et de Fédération sont au centre des projets des DSI et des RSSI. Mais que représentent ces technologies et en quoi sont-elles complémentaires ?

 

La gestion des identités et des accès / IAM

 

Cette problématique est aujourd’hui un enjeu clé pour nombre de DSI qui investissent des sommes conséquentes dans le but de déployer largement des outils IAM (Identity & Access Management) dans leurs organisations. Concrètement, ces solutions logicielles à forte valeur ajoutée connectée aux référentiels des entreprises permettent de répondre efficacement aux problématiques de gestion des identités. Le système d’information étant de plus en plus ouvert sur le Cloud et accessible à différents collaborateurs et partenaires, il devient désormais crucial de maîtriser parfaitement les identités et les droits d’accès des personnes qui utilisent les données de l’entreprise.

 

Authentification / Fédération

 

Ces solutions sont également un levier stratégique car elles permettent de simplifier et de centraliser les processus d’authentification des collaborateurs. De l’authentification multi facteur (MFA) à l’authentification unique et unifiée SSO (Single Sign-On) en passant par la Fédération qui permet d’interconnecter les organisations et les fournisseurs de services dans le Cloud, ces technologies facilitent la connexion à de nombreuses applications (transverses et métiers) dans les meilleures conditions de sécurité et de conformité.

 

Gouvernance

 

Sur ce point, les entreprises doivent prendre de la hauteur et mettre en place une véritable stratégie de gouvernance qui permettra de gérer les risques de sécurité et de contrôle des accès : séparation des pouvoirs, règle de moindre privilège, certification et revue des droits. Cette gouvernance est également nécessaire pour les partenaires externes des entreprises. On comprend donc que pour mener à bien ce projet, un travail d’analyse du cycle de vie de l’identité au travers des “arrivée”, “départ”, “mutation” et de définition des rôles métier est nécessaire, mais pas suffisant. Il convient aussi de travailler avec les directions métiers pour définir les rôles métier et le modèle d’habilitation (ABAC / RBAC / OrgBAC) et de mettre en place les processus workflow de suivi et de validation pour couvrir le périmètre de gestion des habilitations.

 

Ces quelques points sont de véritables pré requis que les entreprises doivent prendre en compte dans leur politique de cybersécurité. Ce faisant, elles réduiront les risques majeurs d’usurpation d’identité et de vol, destruction ou falsification de données afin de garantir la conformité tout en simplifiant le travail de leurs collaborateurs.

 

Par Stéphane REYTAN, Directeur BU Digital et Cybersécurité ITS Group