Les outils de gestion des identités et des accès jouent la carte de l'intelligence
Le fonctionnement en mode service et l’intelligence artificielle permettent de réduire la charge administrative. Mais l’adoption n’en est qu’à ses débuts et beaucoup s’interrogent sur ce que l’avenir réserve à l’IAM.
Les outils de gestion des identités et des accès deviennent de plus en plus automatisés. L’administration s’en trouve simplifiée et allégée, mais il n’est pas encore possible de laisser les outils fonctionner en roue libre.
La mobilité est à l’origine de nombreuses innovations dans le domaine de la gestion des identités et des accès (IAM), au cours des deux dernières années. Aujourd'hui, des technologies telles que l'apprentissage automatique, les microservices et le cloud font leur entrée dans les outils d’IAM, afin de les rendre plus transparents, accessibles et automatisés pour les utilisateurs finaux et les administrateurs.
Exécuté en mode cloud
De fait, la gestion d’identités en mode service est de plus en plus répandue. Mary Ruddy, vice-présidente de la recherche chez Gartner, souligne sans surprise l’élasticité de cette approche.
L’éditeur ThoughtWorks est passé d'un produit open source sur site à l'offre cloud d'Okta en 2013 pour gérer l'identité et les accès de ses employés. Depuis, Phil Ibarrola, directeur technique de ToughtWorks, souligne à quel point ce choix a permis de réduire la charge liée aux activités d’IAM : « de temps en temps, un utilisateur oublie son mot de passe ou son système d’authentification à facteurs multiples ne fonctionne plus correctement, et il faut procéder à des réinitialisations. Mais ces incidents sont rares ».
Phil Ibarrola ne regrette donc pas de perdre une certaine granularité dans la gestion des identités au profit d'un rôle plus informel : « au moment de faire cette transition pour le cloud, il y avait une certaine anxiété à l’idée d’abandonner le contrôle de certaines choses dans notre infrastructure. Mais avec le temps, on réalise que cela fait partie du transfert de risque et du fait de placer sa confiance dans un fournisseur de services ».
Néanmoins, tous les outils de gestion des identités et des accès n'ont pas besoin de passer au cloud. Produactivity, un éditeur guatémaltèque qui propose une application permettant aux entreprises de suivre l'utilisation des terminaux mobiles de leurs collaborateurs, utilise les outils d’IAM en mode cloud (ou IDaaS) d’Auth0. Mais son directeur technique, Mercedes Wyss conserve un certain niveau de contrôle sur les données – qui incluent des informations personnelles et géolocalisées – en les stockant dans sa propre base de données, en local, plutôt que dans celle d'Auth0.
Sur la voie de l’intelligence
Les menaces de sécurité étant toujours plus complexes, les fournisseurs doivent rendre leurs outils d’IAM plus intelligents et plus sophistiqués. Grâce à des analyses avancées qui s’appuient sur l'apprentissage automatique, ces outils peuvent surveiller le comportement des utilisateurs pour établir des prédictions et mieux détecter des anomalies. Pour Mary Ruddy, cette tendance n’est encore qu’émergente et les organisations n'en sont qu'aux premiers stades de l'adoption.
Microsoft propose ainsi Azure Active Directory (AD) Identity Protection, qui utilise l'apprentissage automatique pour détecter les comportements suspects des utilisateurs. Les administrateurs n'ont pas besoin de savoir comment mettre en œuvre des techniques d'apprentissage automatique pour bénéficier de la protection de l'identité et ils peuvent signaler à Microsoft tout faux positif que le système détecte pour participer à l’amélioration des algorithmes et des modèles qu’ils génèrent.
D'autres produits, comme Oracle Adaptive Access Manager et RSA Adaptive Authentication, permettent de modifier ces modèles – une souplesse qui plaît généralement aux grandes entreprises qui subissent déjà des cyberattaques spécifiques. Les administrateurs expérimentés peuvent ainsi ajuster les modèles établis par apprentissage automatique pour réduire les taux de faux positifs et obtenir un niveau de contrôle plus granulaire.
Les outils d’IAM peuvent également recourir à l’analytique pour déterminer avec plus de précision quand il est pertinent de demander des facteurs d’authentification supplémentaires afin d’éviter d’alourdir continuellement l’expérience utilisateur. Par exemple, le système d’IAM peut évaluer des attributs tels que l'emplacement de l'utilisateur, l'empreinte numérique de l'appareil et l'adresse IP pour accorder automatiquement l'accès si la combinaison est considérée comme à faible risque. Une compagnie d'assurance qui a déployé cette fonctionnalité a réduit de 90 % l'utilisation de l'authentification à facteurs multiples et des mots de passe par ses employés, indique ainsi Mary Ruddy.
Car tout à la fois, la mobilité complique et simplifie l'authentification à facteurs multiples. Les terminaux mobiles peuvent être utilisés comme support de vérification dans l'authentification à facteurs multiples, par jeton, authentification implicite, etc.
L'application mobile Produactivity permet aux managers de suivre l'activité de leurs collaborateurs sur les terminaux mobiles, et il n'est pas systématiquement nécessaire de saisir un mot de passe pour accéder à l'application : une fois qu'Auth0 reconnaît que l'utilisateur se sert d’un terminal propriété de l’entreprise, un simple lien envoyé par e-mail permet de finaliser le processus d’ouverture de session, une fois pour toutes.
Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)
-
Okta : les clients visés par une nouvelle vague d’attaques en ingénierie sociale
-
Authentification à facteurs multiples : des efforts croissants de contournement
-
Okta joue l’intégration pour étendre le périmètre de son offre
-
Rachat d’Auth0 : Okta sort le chéquier face à une pression concurrentielle accrue