Qu'est-ce que la gestion des identités et des accès (IAM) ?

Les systèmes de gestion des identités et des accès (IAM) vérifient les identités des utilisateurs et contrôlent les privilèges des utilisateurs.

Share facebook icon linkedin icon twitter icon email icon

IAM

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Apprendre ce que « identité » signifie dans un contexte informatique
  • Comprendre ce qu'est l'accès utilisateur
  • Découvrir pourquoi la gestion des identités et des accès est si importante pour le cloud

Qu'est-ce que la gestion des identités et des accès (IAM) ?

La gestion des identités et des accès (IAM ou IdAM pour faire court) est un moyen de dire qui est un utilisateur et ce qu'il est autorisé à faire. IAM est comme le videur à la porte d'une boîte de nuit avec une liste de ceux qui peuvent entrer, qui ne peuvent pas entrer et qui peuvent accéder à l'espace VIP. IAM est également appelé gestion des identités (IdM).

identity and access management iam

En termes plus techniques, l'IAM est un moyen de gérer un ensemble donné d'identités numériques des utilisateurs et les privilèges associés à chaque identité. Il s'agit d'un terme général qui couvre un certain nombre de produits différents qui remplissent tous la même fonction de base. Au sein d'une organisation, l'IAM peut être un produit unique ou une combinaison de processus, de produits logiciels, de services cloud et de matériel qui donne aux administrateurs une visibilité et un contrôle sur les données organisationnelles auxquelles les utilisateurs individuels peuvent accéder.

Qu'est-ce que l'identité dans le contexte de l'informatique ?

L'identité entière d'une personne ne peut pas être chargée et stockée dans un ordinateur, donc « identité » dans un contexte informatique signifie un certain ensemble de propriétés qui peuvent être facilement mesurées et enregistrées numériquement. Pensez à une carte d'identité ou à un passeport : toutes les informations concernant une personne ne sont pas enregistrées sur une carte d'identité, mais elle contient suffisamment de caractéristiques personnelles pour que l'identité d'une personne puisse être rapidement associée à la carte d'identité.

Pour vérifier l'identité, un système informatique évaluera un utilisateur par les caractéristiques qui lui sont propres. Si elles correspondent, l'identité de l'utilisateur est confirmée. Ces caractéristiques sont également appelées « facteurs d'authentification », car elles permettent de prouver qu'un utilisateur est ce qu'il prétend être.

Les trois facteurs d'authentification les plus utilisés sont :

  • Quelque chose que l'utilisateur sait
  • Quelque chose que l'utilisateur a
  • Quelque chose que l'utilisateur est

Ce que l'utilisateur sait : ce facteur est un élément de connaissance qu'un seul utilisateur devrait posséder, comme une combinaison nom d'utilisateur / mot de passe.

Imaginez que John veuille vérifier ses e-mails professionnels depuis son domicile. Pour ce faire, il devra d'abord se connecter à son compte de messagerie en établissant son identité, car si quelqu'un qui n'était pas John accédait à la messagerie de John, les données de l'entreprise seraient compromises.

John se connecte en entrant son adresse e-mail, john@company.com, et le mot de passe que lui seul connaît, par exemple, « 5jt*2)f12?y ». Vraisemblablement, personne d'autre que John ne connaît ce mot de passe, donc le système de messagerie reconnaît John et lui permet d'accéder à son compte de messagerie. Si quelqu'un d'autre tentait de se faire passer pour John en entrant son adresse e-mail comme « john@company.com », il ne réussirait pas sans savoir taper « 5jt*2)f12?y » comme mot de passe.

Quelque chose que possède l'utilisateur : ce facteur fait référence à la possession d'un jeton physique qui est délivré aux utilisateurs autorisés. L'exemple le plus élémentaire de ce facteur d'authentification est l'utilisation d'une clé physique pour entrer dans la maison. L'hypothèse est que seule une personne qui possède, loue ou autrement est autorisée à entrer dans la maison aura une clé.

Dans un contexte informatique, l'objet physique peut être un trousseau de clés, un périphérique USB ou même un smartphone. Supposons que l'organisation de John veuille être plus sûre que tous les utilisateurs sont bien ceux qu'ils prétendent être en vérifiant deux facteurs d'authentification au lieu d'un. Maintenant, au lieu de simplement entrer son mot de passe secret, le facteur « quelque chose que l'utilisateur sait », John doit montrer au système de messagerie qu'il possède un objet que personne d'autre n'a. John est la seule personne au monde à posséder son smartphone personnel, donc le système de messagerie lui envoie un code à usage unique, et John tape le code pour démontrer sa possession du téléphone.

Quelque chose que l'utilisateur est : il s'agit d'une propriété physique de son corps. Un exemple courant de ce facteur d'authentification en action est l'ID du visage, la fonctionnalité offerte par de nombreux smartphones modernes. La numérisation d'empreintes digitales est un autre exemple. Les méthodes moins courantes utilisées par certaines organisations de haute sécurité comprennent les analyses de la rétine et les tests sanguins.

Imaginez que l'organisation de John décide de renforcer encore plus la sécurité en obligeant les utilisateurs à vérifier trois facteurs au lieu de deux (ce qui est rare). Désormais, John doit entrer son mot de passe, vérifier la possession de son smartphone et scanner son empreinte digitale avant que le système de messagerie électronique ne confirme qu'il est vraiment John.

Pour résumer : dans le monde réel, son identité est un mélange complexe de caractéristiques personnelles, d'histoire, de localisation et d'autres facteurs. Dans le monde numérique, l'identité d'un utilisateur est constituée de tout ou partie des trois facteurs d'authentification, stockés numériquement dans une base de données d'identité. Pour empêcher les pirates d'usurper l'identité d'utilisateurs réels, les systèmes informatiques vérifieront l'identité d'un utilisateur par rapport à la base de données d'identité.

Qu'est-ce que la gestion des accès ?

« Access » fait référence aux données qu'un utilisateur peut voir et aux actions qu'il peut effectuer une fois connecté. Une fois que John se connecte à son courrier électronique, il peut voir tous les e-mails qu'il a envoyés et reçus. Toutefois, il ne devrait pas pouvoir voir les e-mails envoyés et reçus par Tracy, sa collègue.

En d'autres termes, juste parce que l'identité d'un utilisateur est vérifiée, cela ne signifie pas qu'il devrait pouvoir accéder à tout ce qu'il veut dans un système ou un réseau. Par exemple, un employé de bas niveau au sein d'une entreprise devrait pouvoir accéder à son compte de messagerie d'entreprise, mais il ne devrait pas avoir accès aux registres de paie ou aux informations RH confidentielles.

La gestion des accès est le processus de contrôle et de suivi des accès. Chaque utilisateur d'un système aura des privilèges différents au sein de ce système en fonction de ses besoins individuels. Un comptable a en effet besoin d'accéder et de modifier les registres de paie. Ainsi, une fois qu'il a vérifié son identité, il doit pouvoir consulter et mettre à jour ces dossiers ainsi qu'accéder à son compte de messagerie.

Pourquoi l'IAM est-il si important pour le cloud computing ?

In cloud computing, data is stored remotely and accessed over the Internet. Because users can connect to the Internet from almost any location and any device, most cloud services are device- and location-agnostic. Users no longer need to be in the office or on a company-owned device to access the cloud. And in fact, remote workforces are becoming more common.

En conséquence, l'identité devient l'élément le plus important en matière de contrôle d'accès, et non le périmètre du réseau.* L'identité de l'utilisateur, et non son appareil ou son emplacement, détermine les données cloud auxquelles il peut accéder et s'il peut y avoir accès du tout.

Pour comprendre pourquoi l'identité est si importante, voici une illustration. Supposons qu'un cybercriminel souhaite accéder à des fichiers sensibles dans le datacenter d'une entreprise. Dans les jours précédant l'utilisation généralisée du cloud computing, le cybercriminel devait contourner le pare-feu de l'entreprise protégeant le réseau interne ou accéder physiquement au serveur en s'introduisant dans le bâtiment ou en soudoyant un employé interne. Le principal objectif du criminel serait de pénétrer dans le périmètre du réseau.

Cependant, avec le cloud computing, les fichiers sensibles sont stockés sur un serveur cloud distant. Parce que les employés de l'entreprise doivent accéder aux fichiers, ils le font en se connectant via un navigateur ou une application. Si un cybercriminel veut accéder aux fichiers, il lui suffit désormais de disposer des identifiants de connexion des employés (comme un nom d'utilisateur et un mot de passe) et d'une connexion Internet. Le criminel n'a de pénétrer dans le périmètre du réseau.

IAM helps prevent identity-based attacks and data breaches that come from privilege escalations (when an unauthorized user has too much access). Thus, IAM systems are essential for cloud computing, and for managing remote teams.

*Le périmètre du réseau se réfère aux extrémités d'un réseau interne ; c'est une frontière virtuelle qui sépare le réseau interne géré et sécurisé de l'Internet non sécurisé et non contrôlé. Tous les ordinateurs d'un bureau, ainsi que les périphériques connectés tels que les imprimantes de bureau, se trouvent dans ce périmètre, mais pas un serveur distant dans un datacenter à travers le monde.

Quelle place occupe l'IAM dans un paquet de déploiement cloud / une architecture cloud ?

L'IAM

est souvent un service cloud que les utilisateurs doivent traverser pour accéder au reste de l'infrastructure cloud d'une organisation. Il peut également être déployé dans les locaux d'une organisation sur un réseau interne. Enfin, certains fournisseurs de cloud public peuvent associer l'IAM à leurs autres services.

Les entreprises qui utilisent le multicloud ou le cloud hybride peuvent utiliser à la place un fournisseur distinct pour l'IAM. La dissociation de l'IAM de leurs autres services cloud publics ou privés leur offre plus de flexibilité : ils peuvent toujours conserver leur identité et accéder à leur base de données s'ils changent de fournisseur de cloud.

Qu'est-ce qu'un fournisseur d'identité (IdP)?

Un fournisseur d'identité (IdP) est un produit ou un service qui aide à gérer l'identité. Un IdP gère souvent le processus de connexion réel. Les fournisseurs d'authentification unique (SSO) entrent dans cette catégorie. Les IdP peuvent faire partie d'une infrastructure IAM, mais ils ne permettent généralement pas de gérer l'accès des utilisateurs.

Qu'est-ce que l'identité en tant que service (IDaaS) ?

L'identité en tant que service (IDaaS) est un service cloud qui vérifie l'identité. Il s'agit d'une offre SaaS d'un fournisseur de cloud, un moyen d'externaliser partiellement la gestion des identités. Dans certains cas, l'IDaaS et l'IdP sont essentiellement interchangeables, mais dans d'autres cas, le fournisseur IDaaS offre des capacités supplémentaires en plus de la vérification et de la gestion d'identité. Selon les capacités offertes par le fournisseur d'IDaaS, l'IDaaS peut faire partie d'une infrastructure IAM ou peut constituer l'ensemble du système IAM.

Comment Cloudflare aide-t-il à travers l'IAM et le cloud ?

Cloudflare Access is an IAM product that monitors user access to any domain, application, or path hosted on Cloudflare. It integrates with SSO providers and allows administrators to alter and customize user permissions. Cloudflare Access helps enforce security policies for both on-premises internal employees and remote workers.

Cloudflare peut être déployé devant n'importe quelle configuration d'infrastructure cloud, offrant une plus grande flexibilité aux entreprises disposant d'un déploiement multicloud ou cloud hybride qui inclut un fournisseur d'IAM.