ktsdesign - Fotolia
Comment la gestion des identités renforce la posture de sécurité
La gestion des identités est un composé clé de la préparation à la cybersécurité. Mais elle cache de nombreuses complexités. L’expert Peter Sullivan se penche sur les bases de l’IAM.
Etre préparé à répondre aux incidents de sécurité est un état que chaque entreprise doit s'efforcer d'atteindre. Dans la première partie de cette série sur la préparation à la cybersécurité, un ensemble de sept objectifs fondamentaux a été détaillé. La seconde partie a été consacrée au premier élément de cette liste : le plan de cybersécurité. La troisième portait sur la construction d’une architecture de sécurité de l’information, et la quatrième sur la gestion des risques.
La gestion des identités, souvent évoquée sous le terme d’IAM, pour gestion des identités et des accès, va au-delà de la seule fourniture aux utilisateurs de capacités d’ouverture de sessions sur un système ou un réseau. La gestion des identités est l’un des objectifs de cybersécurité fondamentaux. Un système de gestion des identités constitue également l’une des principales fonctions qui vient à renforcer sécurité et productivité, tout en réduisant redondances et coûts. Si le concept de gestion des identités peut paraître simple, il recouvre en fait de nombreuses couches et cache d’importantes complexités qui doivent être comprises.
Identification et authentification
Les principaux composants de la gestion des identités inclus l’identification et l’authentification. L’identification est le processus au travers duquel un individu clame une identité. Il peut s’agir de la simple fourniture d’un nom d’utilisateur lors d’une tentative d’accès à un réseau. Une forme de représentation de confiance de son identité doit exister avant son utilisation pour l’identification. L’authentification survient lorsque l’individu prouve l’identité dont il se réclame. Cette preuve peut être aussi simple que la fourniture du mot de passe correspondant à un nom d’utilisateur.
Les systèmes nom d’utilisateur/mot de passe font partie des systèmes de gestion des identités de base. De tels systèmes sont considérés comme à facteur unique car le nom d’utilisateur et le mot de passe représentent ensemble quelque chose que connaît l’individu. Ils sont populaires parce qu’ils ne sont pas coûteux et fonctionnent de manière binaire : soit l’on connaît le couple nom d’utilisateur/mot de passe, soit on ne le connaît pas.
Toutefois, ces systèmes simples ne prouvent rien quant à l’entité utilisant l’identifiant. Tout au plus peut-on dire que « quelqu’un en possession des identifiants de John Smith vient d’ouvrir une session ». Il n’y a pas, en soi, de vérification ou de validation de la personne utilisant effectivement des identifiants à facteur unique.
Les approches consistant à améliorer le niveau de confiance dans les systèmes reposant sur le couple nom d’utilisateur/mot de passe avec des mots de passe longs, complexes, changés périodiquement, ne font que rendre ces systèmes plus difficiles à utiliser. Elles ne constituent pas une amélioration significative. Pour cela, des systèmes plus complexes et généralement plus onéreux d’authentification à facteurs multiples sont nécessaires.
L’authentification à facteurs multiples
Un système d’authentification forte doit idéalement apporter une vérification de l’identité dont se réclame l’individu, tout en empêchant un tiers d’usurper une identité. Pour cela, il faut recourir à une forme d’authentification à facteurs multiples qui offre un niveau de confiance plus élevé.
Ces systèmes sont mis en œuvre de plusieurs manières différentes : combinaison de quelque chose que l’on possède avec quelque chose que l’on connaît (deux facteurs), de quelque chose que l’on possède avec quelque chose que l’on est (deux facteurs), ou quelque chose que l’on possède, avec quelque chose que l’on connaît et quelque chose que l’on est (trois facteurs).
Les systèmes de jetons renvoient à ce que l’on possède : ils associent l’identité avec un objet physique, le jeton, et code PIN ou mot de passe (quelque chose que l’on connaît). La sécurité des systèmes basés sur des jetons dépend tant de la sécurité physique du jeton que de la connaissance du mot de passe ou du code d’identification personnel. Le jeton peut prendre différentes formes, dont un équipement générant un mot de passe à usage unique.
Les systèmes biométriques utilisent quant à eux une caractéristique physique à l’unicité jugée suffisamment élevée pour déterminer quelque chose que l’on est. Il peut s’agir d’empreintes digitales, de reconnaissance faciale, d’analyse de la rétine ou de l’iris, de la géométrie de la main, ou encore de la reconnaissance vocale.
Les risques de faux positifs et de faux négatifs les cantonnent traditionnellement à l’authentification à facteurs multiples, où la biométrie vient compléter le processus de d’authentification. En outre, les données biométriques sont par construction statiques : une fois exposées, elles ne sont plus utilisables pour l’authentification.
Comme indiqué précédemment, identification et authentification sont conçus pour améliorer la sécurité. Les systèmes évoqués ici ne constituent qu’une base sur laquelle gestion des autorisations et des contrôles peuvent s’appuyer. Mais contrôler l’accès aux réseaux et comprendre comment ils sont utilisés est essentiel à la cybersécurité.
Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)
-
IAM : les entreprises ont un long et difficile chemin à parcourir pour s’améliorer
-
Administration cloud : comment sécuriser Azure Functions avec Entra ID
-
Julien Mousqueton : « la question n’est plus s’il faut mettre en œuvre la MFA, mais quelle MFA »
-
Authentification : Microsoft met en garde contre les attaques en détournement de jetons