ktsdesign - Fotolia
Comment la gestion des identités renforce la posture de sécurité
La gestion des identités est un composant clé de la préparation à la cybersécurité. Mais elle recouvre de nombreuses choses et peut s’avérer très complexe.
Etre préparé à répondre aux incidents de sécurité est un état que chaque entreprise doit s'efforcer d'atteindre. Dans la première partie de cette série sur la préparation à la cybersécurité, un ensemble de sept objectifs fondamentaux a été détaillé. La seconde partie a été consacrée au premier élément de cette liste: le plan de cybersécurité. La troisième portait sur la construction d’une architecture de sécurité de l’information, et la quatrième sur le plan de gestion du risque.
La gestion des identités, parfois appelée gestion des identités et des accès (IAM), va bien au-delà de la seule fourniture aux utilisateurs de capacités d'ouverture de session sur un système. La gestion des identités est l'un des objectifs fondamentaux de la cybersécurité. Un système de gestion d'identités est également une fonction de sécurité de base qui vise à accroître la sécurité et la productivité tout en réduisant la redondance et les coûts. Alors que la gestion de l'identité peut donner l’impression d’être un concept simple, il existe un certain nombre de complexités à prendre en compte.
Identification et authentification
Les principaux composants de la gestion de l'identité incluent l'identification et l'authentification. L'identification est le processus par lequel un sujet revendique une identité. Une demande d'identification simple peut être formulée en produisant un nom d'utilisateur lors de la tentative d'accès à un réseau, par exemple. Une certaine représentation de confiance de l'identité doit pré-exister avant de l'utiliser pour l'identification. L'authentification survient lorsqu'un sujet prouve la légitimité de sa demande, par exemple en fournissant un mot de passe correspondant au nom d'utilisateur.
Les systèmes nom d'utilisateur/mot de passe constituent des systèmes de gestion d'identité de base. Un tel système est considéré comme un système d'authentification à facteur unique où le nom d'utilisateur et le mot de passe sont les deux facteurs qui représentent quelque chose de connu. De tels systèmes sont populaires car ils sont peu coûteux et fonctionnent de manière binaire : le nom d'utilisateur et le mot de passe correspondant sont connus, ou pas.
Mais ces systèmes simples ne prouvent rien à propos de celui qui utilise les références d'identité. Le mieux que l'on peut dire sur le fonctionnement de ce type de système d'identification et d'authentification est : « quelqu'un en possession des informations d'identification de John Smith vient de se connecter ». Il n'y a pas de vérification ou de validation de qui peut utiliser le binôme nom d’utilisateur/mot de passe.
Les politiques imposant un mot de passe complexe changé fréquemment rendent ces systèmes plus difficiles à utiliser, mais elles n’apportent pas d’amélioration significative quant à la confiance accordée à l’utilisateur qui les emploie.
Des systèmes d'authentification à facteurs multiples, plus complexes et généralement plus coûteux, sont nécessaires lorsque l’on souhaite une correspondance plus étroite entre l'identité réelle de l'utilisateur et les identifiants produits.
Authentification à facteurs multiples
Un système d'authentification fort doit idéalement permettre de vérifier une formulation d'identité tout en empêchant une personne de se réclamer de manière illégitime d’une identité qui n’est pas la sienne. Un schéma d'authentification fort requiert une forme d'authentification à facteurs multiples pour obtenir un niveau de confiance supérieur à celui obtenu à partir d'un simple système de nom d’utilisateur/mot de passe.
Les systèmes d’authentification à facteurs multiples s’appuient généralement sur quelque chose que l’on possède, complété par quelque chose que l’on sait (deux facteurs), quelque chose que l’on possède et quelque chose que l’on est (deux facteurs), ou encore quelque chose que l’on possède, assorti de quelque chose que l’on connaît, et de quelque chose que l’on est (trois facteurs).
Jetons
Un système à jetons utilise une identité liée à un objet physique que possède l’utilisateur, le jeton, ainsi qu'un numéro d'identification personnel (PIN) ou un mot de passe qu’il connaît. La sécurité d'un système basé sur les jetons dépend à la fois de la sécurité physique du jeton et de la connaissance du mot de passe ou du PIN. On peut ainsi citer l’exemple du mécanisme d’authentification d’un titulaire de compte bancaire, basé sur une carte à puce et un code personnel. Le jeton peut également être un dispositif de type défi/réponse qui génère un mot de passe unique en réponse à un défi du système.
Biométrie
Les systèmes de gestion d'identité qui utilisent la biométrie attachent une caractéristique physique unique, c'est-à-dire quelque chose que l’on est, à un titre d'identité. Il peut s’agit d’empreintes digitales, de reconnaissance faciale, de reconnaissance de l’iris ou de la rétine, de la main, ou encore de la voix.
Contrairement aux systèmes d'authentification basés sur un mot de passe, les systèmes biométriques peuvent souffrir à la fois de faux positifs (acceptation par erreur) comme de faux négatifs (rejet par erreur). Dès lors, les systèmes biométriques sont généralement utilisés comme un seul facteur dans un système d'authentification à facteurs multiples. Par exemple, la biométrie peut être utilisée lorsqu'une empreinte digitale est utilisée avec un jeton et un code PIN pour assurer une authentification à trois facteurs.
Il est important de noter que le fait de s'appuyer sur la biométrie entraîne des risques car l'information est statique, et une fois que les données biométriques sont exposées, elles ne doivent plus être utilisées pour l'authentification.
L'identification et l'authentification, comme indiqué précédemment, visent à accroître la sécurité. Les systèmes d'identification et d'authentification examinés ici fournissent la base sur laquelle de solides capacités d'autorisation et de responsabilisation sont créées. Le contrôle de l'accès aux réseaux et la compréhension de la façon dont les réseaux sont utilisés sont essentiels à la cybersécurité.