Sergey Nivens - Fotolia

IAM : 8 outils leaders pour 2020

Les outils de gestion des identités et des accès aident les entreprises à s’assurer que seuls des utilisateurs disposant des autorisations appropriées peuvent accéder à des ressources du système d’information.

Les produits modernes de gestion des identités et des accès (IAM) aident à administrer de manière centralisée l’accès à toutes les ressources du système d’information pour les collaborateurs, les clients, les partenaires ou encore certains prestataires. Et cela vaut pour des ressources strictement internes au système d’information en local, comme pour d’autres, hébergées et produites en mode cloud. Au cœur de l’IAM, on trouve notamment deux processus clés :

  • Identifier qui tente d’accéder aux ressources en utilisant l’authentification.
  • Vérifier que l’utilisateur authentifié est effectivement autorisé à accéder à la ressource à laquelle il tente d’accéder.

Mais l’IAM ne se limite pas à cela. Voici quelques fonctionnalités que l’on trouve aujourd’hui couramment dans les plateformes d’IAM.

Provisionnement des utilisateurs. Ces fonctions rationalisent le processus de création de comptes utilisateurs et d’attribution d’autorisations qui définissent les ressources auxquelles les utilisateurs peuvent accéder.

Gestion centralisée des accès. Quel que soit le lieu de résidence des applications et des données, l’IAM centralise la gestion de ces ressources afin que les administrateurs puissent gérer uniformément le contrôle des accès et des droits dans toute l’infrastructure.

Synchronisation des mots de passe. Cette fonctionnalité permet aux applications de synchroniser le mot de passe d’un utilisateur entre plusieurs applications ou services – sans pour autant que ce soit le même pour chacun, comme il se doit.

SSO (Single Sign-On). Il permet aux utilisateurs de s’authentifier une fois par le biais d’un portail centralisé et d’avoir ensuite un accès complet aux ressources qu’ils sont autorisés à accéder, sans avoir à s’authentifier auprès de chacune d’entre elles.

Authentification à facteurs multiples (MFA). Il s’agit de l’utilisation de plus d’une méthode pour authentifier un utilisateur ou un appareil. La MFA permet notamment de protéger contre le détournement de comptes utilisateurs légitimes dont le mot de passe aurait par exemple été dérobé.

Contrôle de conformité. Cela permet d’identifier d’éventuelles dérives, voire risques, dans l’activité des utilisateurs suivant la sensibilité des ressources auxquelles ils accèdent, et cela potentiellement suivant des contraintes réglementaires.

Gouvernance des identités. Il s’agit d’une approche axée sur les politiques, prescrite par de nombreuses règles de conformité réglementaire, qui exige que la plateforme démontre qu’elle gère la gestion des identités et des accès de manière appropriée, en fonction d’exigences de conformité spécifiques, notamment en matière de séparation des rôles.

Service de portail d’accès. Pour les grandes organisations, un portail en libre-service peut permettre d’économiser beaucoup de temps. Les employés et les clients peuvent l’utiliser pour s’auto-enregistrer, réinitialiser un mot de passe, gérer leur profil, ou encore formuler des demandes d’accès exceptionnel.

Passerelle API. La plupart des plateformes d’IAM offrent des intégrations natives avec des centaines voire des milliers d’applications tierces. Mais certaines applications patrimoniales demandent un peu plus de travail. Dans ces cas, une API peut créer un frontal personnalisé pour permettre à l’application d’authentifier et de contrôler l’accès à l’aide de la plateforme d’IAM. La passerelle API se charge de faire l’interface entre les deux.

Analyse des risques. Certaines plateformes d’IAM suivent les comportements d’authentification et d’accès au fil du temps. L’apprentissage automatique se charge d’établir un profil de ce qui relève de la norme pour un utilisateur. De quoi repérer les anomalies qui peuvent trahir une activité malicieuse ou des attaques.

Le marché de l’IAM a ses leaders. Et ils méritent que l’on se penche sur leurs offres – même si, parfois, des tiers moins prestigieux peuvent offrir des solutions tout aussi adaptées aux besoins, à l’instar, par exemple, du Français Usercube.

Okta

Okta est considéré comme un pionnier sur le marché de l’IAM en mode SaaS, ou IDaaS. Sa plateforme peut fonctionner correctement, quels que soient les types de technologies d’infrastructure sous-jacentes utilisées. Et son offre est réputée aussi bien pour l’IAM appliqué aux collaborateurs des entreprises qu’à leurs clients (CIAM). Le référentiel universel des utilisateurs/groupes/terminaux d’Okta peut extraire des données de plusieurs sources d’annuaire et référentiels d’identité.

Enfin, Okta ThreatInsight propose des listes noires d’adresses IP malveillantes connues pour des tentatives de détournement de comptes, tout en limitant la fréquence des tentatives d’authentification d’autres sources pour limiter le risque d’attaques en déni de service.

Microsoft

L’Active Directory de Microsoft est quasiment incontournable dans les entreprises pour gérer l’authentification et le contrôle d’accès dans les domaines Windows. Azure IAM supporte des milliers d’intégrations d’applications tierces prêtes à l’emploi qui couvrent une large gamme de services aux entreprises, dont :

  • Stockage en mode cloud
  • Les outils de gestion
  • Collaboration
  • CRM
  • Commerce électronique
  • ERP

Le produit est également connu pour son API standard ouverte, pour l’intégration d’applications et de services personnalisés. Azure IAM fait partie de la suite d’outils Azure Security Center. Ainsi, pour les organisations qui utilisent Microsoft Azure AD – et principalement pour les acteurs du commerce électronique qui ont déjà adopté Azure – c’est une option alléchante.

Ping Identity

Ping Identity est un autre « pure player » de l’IAM, et un pionnier en matière de SSO et de MFA. En fait, Ping est le seul éditeur sur lequel Microsoft s’est appuyé pour proposer l’utilisation de services d’identité dans le cadre de l’offre Microsoft Azure AD Premium. Ping Identity propose plusieurs offres packagées, selon que les entreprises ont besoin de services IAM pour leurs employés internes, leurs clients externes ou une combinaison des deux.

Ping propose également plusieurs intégrations clés en main pour les entreprises aux besoins spécifiques en matière d’IAM. Il faut ainsi compter avec IAM for Microsoft AD Federation Services, AWS, Google Cloud, Zscaler Internet Access et Zoom.

Oracle

Les clients d’Oracle vont probablement se tourner vers la plateforme Identity Cloud Service d’Oracle pour leurs besoins d’IAM. L’Identity Cloud Service est idéal pour les architectures cloud hybrides et particulièrement utile pour gérer l’identité et l’accès dans des scénarios multitenant. Le portail utilisateur personnalisable de la plateforme est adapté aux entreprises qui souhaitent décharger leurs équipes techniques de tâches simples par le biais d’un site web en libre-service facile à utiliser.

Oracle Identity Cloud Service propose également une API très complète permettant d’intégrer des applications personnalisées, en l’absence d’intégrations prédéfinies.

Enfin, Oracle continue à travailler sur les performances globales de la plateforme, ce qui en fait l’une des plus fiables et des plus rapides du marché.

IBM

IBM est passé par une longue mue, d’équipementier à spécialiste du Cloud Computing, de l’IA et de l’analytique avancée. Sa plateforme Cloud IAM est un produit SaaS qui fonctionne pour les architectures sur site, en cloud et hybrides. Cloud IAM est une offre complète qui comprend des fonctionnalités telles que MFA, SSO, gestion des comptes à privilèges, et même gouvernance des identités.

Le produit fonctionne aussi bien pour les applications destinées à un public interne qu’externe. Comme IBM connaît bien l’IA, le Big Data et l’analytique, Cloud IAM intègre ces fonctionnalités avancées dans le produit, ce qui permet d’automatiser la modification des contrôles et des limites d’accès des utilisateurs, ainsi que d’identifier les niveaux de droits anormaux ou à risque.

Idaptive

Début 2019, Centrify a filialisé son activité IAM pour former une nouvelle société appelée Idaptive, tout récemment rachetée par CyberArk. Cet éditeur propose une plateforme IAM en mode SaaS basée sur une approche sans confiance – ou zero trust. La plateforme est disponible pour des applications et des services en mode cloud, en local, et sur mobile.

Le produit d’Idaptive s’intègre bien aux référentiels d’identité existants que de nombreuses petites et grandes organisations peuvent déjà posséder, dont bien sûr Microsoft Active Directory (AD), les environnements LDAP, et la G Suite de Google. En outre, la plateforme dispose d’une fonction distincte de fédération d’applications qui permet d’utiliser le SSO sans mot de passe. Au lieu de cela, l’authentification se fait à l’aide de jetons temporaires qui identifient les utilisateurs.

Enfin, Idaptive est connue pour son tableau de bord bien conçu, où les administrateurs peuvent rapidement identifier des éléments tels que les échecs d’intégration, les menaces potentielles et d’autres problèmes que les administrateurs devraient résoudre.

RSA

Qu’il s’agisse d’un environnement sur site, en cloud hybride, ou d’un système SaaS, RSA SecurID Suite est un bon choix universel, car la plateforme offre des options de déploiement flexibles. C’est particulièrement vrai si une MFA flexible est nécessaire. Ce produit propose en outre toutes les fonctionnalités nécessaires pour les grandes organisations : SSO, gestion de l’identité et du cycle de vie, gouvernance des identités.

Le programme RSA Ready permet aux fournisseurs de logiciels tiers de proposer des intégrations de leurs produits avec la suite SecurID. Actuellement, le programme compte plus de 500 partenaires logiciels avec plus de 1 000 intégrations certifiées RSA.

RSA a quitté le giron de Dell EMC en début d’année, suite à son rachat par le fonds d’investissement Symphony Technology Group.

SailPoint

Sailpoint est un autre fournisseur de services IAM. C’est également l’une des plus petites entreprises de cette liste. Pourtant, ce qui lui manque en termes de taille, elle le compense par des fonctionnalités – tout particulièrement pour la gouvernance des identités – ainsi qu’une flexibilité globale lui permettant de fonctionner dans n’importe quelle architecture d’entreprise. Okta et Ping Identity l’ont d’ailleurs retenu comme partenaire dans ce domaine. Et Gartner le positionne plutôt bien.

SailPoint affirme que sa plateforme IdentityIQ permet aux entreprises de connecter, en moyenne, jusqu’à 99 % des applications et données actuelles en utilisant des assistants d’intégration simplifiés et des flux de travail préconfigurés.

Les clients peuvent en outre séparer les fonctionnalités d’IAM de base de leurs composants analytiques plus avancés, basés sur l’IA. La partie AI du produit est connue sous le nom de Predictive Identity. Les clients peuvent choisir d’acheter Predictive Identity et de l’intégrer immédiatement aux autres parties d’IdentityIQ, ou d’ajouter cette fonctionnalité plus tard, ou pas du tout.

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)