Gérer identités et accès pour améliorer la sécurité mobile
Un système moderne de gestion des identités et des accès peut aider la DSI à garder le contrôle alors que les utilisateurs finaux accèdent aux systèmes internes depuis plus d’endroits et de terminaux qu’auparavant.
La sécurité est un domaine de l’IT où rien n’est jamais terminé. On peut installer de nouveaux points d’accès, mettre à jour des appliances d’administration, virtualiser des serveurs, migrer des applications dans le Cloud… mais de nouveaux défis de sécurité apparaissent chaque jour. Et les bases de la sécurité - règles, chiffrement, et authentification - se suffisent plus pour les besoins fondamentaux de sécurité actuels. Et la mobilité ainsi sur le BYOD ajoutent au problème…
La bonne nouvelle est que les domaines du contrôle d’accès au réseau et de l’authentification ont sensiblement progressé au cours des dernières années pour donner naissance aux systèmes de gestion des identités et des accès (IAM). De base, la gestion des identités permet de définir ce que les utilisateurs peuvent faire sur le réseau, avec quels terminaux, et dans quelles circonstances. De nombreux systèmes d’IAM insistent tout particulièrement sur la gestion des accès mobiles aux systèmes internes. Des équipementiers tels qu’Aruba, Cisco, Enterasys, Meru ou encore Xirrus, ont commencé à se concentrer sur la gestion des accès mobiles et réalisé de récents progrès en matière d’IAM.
Pour des raisons de sécurité, un outil d’IAM devrait fonctionner comme une application sur une appliance ou un serveur dédié, en local ou bien en mode cloud. La gestion de règles est au coeur d’un tel outil : elle permet de définir quels terminaux et quels utilisateurs sont autorisés sur le réseau, et ce qu’ils peuvent y faire, en fonction du type de terminal, du lieu, et d’autres facteurs. Tout cela dépend d’une console d’administration appropriée, permettant de définir les règles, de produire des rapports, mais aussi de consulter alertes, alarmes, et enfin de supporter toutes les opérations d’administration courantes. Par exemple, une alarme peut être déclenchée lorsqu’un utilisateur essaie d’accéder à une ressource qu’il n’a pas le droit de consulter. Toutes ces fonctionnalités sont très communes et l’un points clés consiste aux capacités d’intégration.
Les systèmes de sécurité IT ont historiquement été complexes, et nécessité des professionnels de la sécurité qu’ils soient leurs propres intégrateurs de systèmes dans de nombreux cas. D’importants efforts sont nécessaires dans la construction d’une implémentation et dans la vérification des résultats. Mais les produits d’IAM ont été conçus pour unifier de nombreux composants de sécurité. Leur déploiement s’avère ainsi beaucoup simple. Et le risque d’erreurs en est réduit.
De nombreux systèmes d’IAM supportent l’intégration avec l’annuaire interne, les utilisateurs des réseaux sans fil et filaire, et offrent la flexibilité nécessaire à la définition de la plupart des règles de sécurité imaginables. Et parce que le BYOD est devenu stratégique, des fonctionnalités telles que l’enrôlement et le provisionnement automatisés de terminaux, le support de multiples systèmes d’exploitation mobiles, et la vérification automatique de l’état du terminal mobile deviennent de plus en plus courantes. Par définition, toute forme d’automatisation permet de gagner du temps, et BYOD, sans elle, pourrait s’avérer très coûteux. Il est raisonnable de chercher des produits qui supportent largement 802.1X et les accès invités : ces deux capacités sont régulièrement demandées et il serait difficile de construire une solution complète sans elles.
Par Craig J. Mathias, associé au Farpoint Group. Adapté de l’anglais par la rédaction.