Catégories
Derrière cette longue expression figée se trouve une problématique bien connue des équipes informatiques : la gestion quotidienne des accès utilisateurs de la flotte logicielle de l’entreprise. Revenons sur cette pratique essentielle à mettre en place en interne.
Dans les années 1990 et 2000, les systèmes d’information utilisés par les entreprises se sont considérablement développés. Avec eux, la gestion manuelle des droits d’accès a pris une toute autre ampleur. Jusqu’alors, il était facile de gérer et suivre les utilisateurs liés à différents outils. Les administrateurs de l’équipe informatique autorisaient l'accès aux nouveaux salariés intégrant l’entreprise. Il s'agissait d'un protocole standard et ponctuel de préservation de la donnée interne. L’attribution de droits au cas par cas permettait non seulement de sécuriser des données, mais aussi d’utiliser convenablement les ressources limitées des systèmes.
Toutefois, lorsque le rythme d’équipement en logiciel s’est accru et que les entreprises atteignirent un certain effectif, le protocole manuel ne suivit plus. Impossible de s’assurer correctement des attributions et suppressions d’accès pour chaque outil.
Ce besoin n’était pas propre aux grandes entreprises mais un phénomène commun à de nombreuses organisations. Conscientes d'avoir flairer un marché émergeant, différentes entreprises se sont emparées de cette problématique pour apporter leur solution concrète et durable aux équipes informatiques.
C’est ainsi que s’est développée la branche IAM de la cybersécurité. IAM, c’est le sigle anglo-saxon de la gestion des identités et des accès : Identity and Access Management.
Aujourd’hui, et grâce à la place du cloud dans l'écosystème du logiciel, la gestion des identités et des accès s’est démocratisée et adresse les cas d'usages de toute typologie d’entreprise.
Sur le papier, rien de sorcier à ajouter ou retirer quelques utilisateurs d’un logiciel. Pourtant, cela mobilise deux ressources de travail précieuses et limitées : du temps et de la rigueur.
• Du temps, indissoluble puisque ces manipulations devaient être effectuées à la main, une par une, pour chaque utilisateur et chaque logiciel concerné,
• de la rigueur, puisque l’on doit s’assurer que les utilisateurs disposant d’accès sont toujours des collaborateurs en poste dans l’entreprise, et que leurs privilèges correspondent à leurs fonctions.
La gestion des identités et des accès, c’est en pratique un peu plus compliqué que le simple octroi ou retrait d'accès logiciels. Au fil du temps, cette sous-discipline de la cybersécurité s’est organisée en 5 étapes majeures, à savoir :
- l’identification,
- l’authentification,
- l’autorisation,
- la gestion ou modération,
- la vision globale sur les utilisateurs.
C’est l’étape 0 de la GIA (Gestion des Identités et des Accès) : la création d’un profil utilisateur, souvent appelé compte utilisateur. Une fois le compte créé dans le système, un utilisateur peut être géré.
Ce compte doit être créé pour un but précis, une utilité. Inutile de créer un compte pour une personne qui n’utilisera pas de logiciel : cela peut nuire au suivi des utilisateurs actifs.
C’est l’étape de la connexion au logiciel après la saisie des identifiants utilisateur. La plupart du temps, les identifiants utilisateur comprennent un nom d'utilisateur et un mot de passe.
L’identifiant peut prendre la forme d’un prénom et d’un nom, d’une adresse e-mail ou encore d’un pseudonyme. Une fois l’utilisateur connecté, il accède aux services et aux paramètres de la plateforme logicielle, dans la limite des autorisations associées à son statut.
Parfois appelée gestion des privilèges, cette étape définit les possibilités d’action dont un utilisateur dispose au sein d’un système.
Prenons l’exemple d’un logiciel de création de contenu, l'utilisateur peut disposer de droits de lecture seule, de commentaire ou d’édition d’un document.
Une notion complémentaire des privilèges est celle des statuts d'utilisateur. En effet, le statut peut être lecteur, modérateur ou administrateur. En général, le statut administrateur comprend le plus haut niveau de privilèges, dont la gestion d'autres comptes utilisateurs.
Ce statut, ou de niveau de privilèges, s’effectue lors de la création du compte utilisateur. Il n’est pas figé et peut être modifié selon les besoins.
Cette étape concerne la modération des utilisateurs tout au long de l'existence de leur compte dans le système. Il peut s’agir d'étendre ou de restreindre les privilèges d’un utilisateur selon ses besoins.
La gestion prend fin dès lors que l'utilisateur est supprimé du système. Dans certains cas, le retrait complet de droits d’accès entraîne automatiquement une suppression du compte. Dans d'autres cas, elles peuvent constituer deux actions distinctes.
La dernière étape est la vision centralisée des utilisateurs. Elle est utile aux administrateurs pour visualiser l’ensemble des utilisateurs enregistrés dans un logiciel.
Grâce à cette fonctionnalité, ils peuvent identifier d'un coup d'œil la présence d'un utilisateur dormant ou orphelin dans le système et vérifier qu'aucun collaborateur actif ne manque à la liste de l’équipe.
C'est souvent l'enjeu de sécurité qui ressort en premier lorsqu'on aborde le sujet de la gestion des identités et des accès. Nous l'avons vu, c'est la cybersécurité qui a vu naître la GIA (ou plutôt l'IAM, aux Etats-Unis). Pourtant, ses retombées couvrent d'autres aspects que la sécurité.
Elle permet de bâtir les fondations d'une bonne conformité de la donnée. Par exemple, grâce à la simplification du contrôle d'accès aux ressources sensibles comme l'oblige la RGPD en Europe. Par l'automatisation de tâche, elle assure une certaine homogénéité dans les opérations de gestion tout en réduisant les erreurs de manipulations humaines.
La gestion des identités et des accès utilisateurs est une composante essentielle pour protéger les données et améliorer l'efficacité des systèmes.
Tous ces bénéfices contribuent à un dernier avantage : le gain. Les récompenses sont plurielles : le temps, les coûts, les efforts.
Bien que le sujet puisse sembler technique, des solutions simples comme l'authentification multifacteur ou les gestionnaires de mots de passe permettent à tous, même aux débutants, de renforcer leur sécurité.
S’équiper d’un système de GIA est une décision capitale en faveur d'un environnement numérique plus sûr et mieux contrôlé. Aujourd'hui, l'IAM est un pilier fondamental pour garantir la sécurité des systèmes d'information et optimiser les processus internes des organisations.
L'offre de solutions sur le marché s'est diversifiée pour s'adapter à un large panel d'entreprises. Déterminez dès aujourd'hui les besoins de votre entreprise avec l'aide de professionnels du secteur.
