Ce qui différencie la gouvernance des identités de la gestion des accès
De nombreux acteurs sont présents sur les deux domaines et l’ensemble a longtemps été appréhendé au travers de la notion générique d’IAM. Mais les différences sont marquées et appellent à une dissociation des concepts.
La gouvernance des identités (IGA) et la gestion des accès (AM) servent un même objectif : garantir qu’un utilisateur peut accéder à des ressources du système d’information – systèmes, applications, données – avec des droits appropriés à sa fonction dans l’entreprise et ses besoins métiers, sans plus ni moins. Mais IGA et AM s’avèrent complémentaires et apportent chacun une partie de la réponse au problème : le premier recouvre l’établissement des droits, tandis que le second s’applique à en assurer le respect.
Ainsi, les systèmes de gouvernance des identités doivent tout d’abord permettre de gérer le cycle de vie de ces identités numériques, depuis leur création jusqu’à leur suppression – ou leur archivage à des fins de traçabilité. Par exemple, un système d’IGA doit permettre de fermer rapidement et aisément tous les accès d’un utilisateur au moment où il quitte l’organisation.
Vient ensuite la gestion des droits, établis sur la base d’un éventail de rôles, de groupes, déterminés eux-mêmes en lien étroit avec les métiers. L’adhérence est là particulièrement forte avec les processus et l’organisation interne de l’entreprise puisqu’il s’agit de produire un référentiel permettant de traduire en termes techniques des autorisations qui relèvent de l’organisationnel. Et des politiques peuvent également venir définir des ajustements contextualisés des droits en fonction des circonstances entourant les tentatives d’accès, du comportement connu du demandeur, et de la criticité de la ressource.
Qu’il s’agisse de la création d’une nouvelle identité à l’occasion d’un recrutement, par exemple, ou de l’octroi temporaire de droits exceptionnels, ou d’une délégation pour un remplacement, le système doit pouvoir supporter la gestion de nombreuses situations d’exception. Pour cela, un outil de gestion de workflows doit permettre de soumettre des requêtes, d’un côté, et de les accepter ou rejeter, de l’autre.
Surtout, un système d’IGA vise à industrialiser le contrôle de l’adéquation des droits accordés aux utilisateurs avec leurs missions dans l’entreprise, dans le cadre des processus de revue de droits internes. De quoi valider en continu la conformité de ceux-ci avec les politiques de l’entreprise ou encore ses impératifs réglementaires, mais également répondre à des demandes d’audit, interne comme externes.
Les systèmes de gestion des accès sont quant à eux là pour contrôler l’accès aux ressources du système d’information, en lien avec les droits gérés dans le système d’IGA. Il s’agit donc tout d’abord d’offrir une couche globale d’authentification – aussi consolidée (SSO) que possible en fonction des capacités d’intégration offertes par les différentes ressources du système d’information visées –, et de gestion des sessions. A cela peuvent s’ajouter des fonctions de base de gestion de l’identité, comme l’enrôlement et la gestion de mot de passe en self-service, ou encore l’ajustement adaptatif des conditions d’authentification en fonction du contexte de la requête.
Le contrôle d’accès et la gouvernance des identités ne s’appliquent pas uniquement aux collaborateurs des entreprises, ou à leurs partenaires. Ils peuvent également être utilisés pour leur clients consommateurs, ou pour des entités sans la moindre composante humaine, comme des ressources du SI (ou de celui d’une organisation tierce) nécessitant un accès à d’autres ressources du système d’information.