IAM : l’importance du provisionnement et du déprovisionnement des utilisateurs

Scénarios et étapes de l’approvisionnement des utilisateurs

Le cycle de vie du provisionnement et du déprovisionnement comprend généralement plusieurs étapes, chacune comportant des actions spécifiques visant à garantir que les travailleurs disposent de l’accès nécessaire pour effectuer leur travail, tout en maintenant l’organisation en phase avec les exigences en matière de sécurité et de conformité. Pour l’intégration des utilisateurs et le provisionnement des comptes avec les privilèges nécessaires, les étapes suivantes sont courantes :

1. Demande d’utilisateur et création d’identité
• Création d’utilisateurs. Lorsqu’un nouvel employé ou un nouveau contractant rejoint l’entreprise, son identité est créée dans le système IAM de l’organisation, généralement à partir d’un enregistrement dans une plateforme de ressources humaines qui initie automatiquement la demande.
• Attribution d’un identifiant unique. L’utilisateur se voit attribuer un identifiant unique, généralement un nom d’utilisateur, qui est cohérent dans tous les systèmes et applications de l’organisation.
• Définition des rôles et des attributs. Le rôle de l’utilisateur, son département, sa localisation et d’autres attributs sont codifiés dans le dossier RH. Ces informations déterminent le niveau d’accès de l’utilisateur et les autorisations qui lui sont associées.
2. Droits d’accès et attribution de rôles
• Le contrôle d’accès basé sur les rôles (RBAC). Lorsqu’une organisation adopte le RBAC, elle accorde des droits d’accès selon le principe du moindre privilège. Ces contrôles garantissent que l’utilisateur ne dispose que de l’accès nécessaire à l’exercice de ses fonctions.
• Contrôle d’accès basé sur des règles (PBAC). Une entreprise peut également choisir d’appliquer des contrôles d’accès supplémentaires basés sur des politiques. Cette approche impose des restrictions basées sur le lieu, l’heure ou d’autres paramètres, suivant les accords de travail à distance et les concepts de confiance zéro.
• Droits et autorisations. Des autorisations spécifiques pour les applications, les systèmes ou les ressources de données sont attribuées sur la base de droits prédéfinis liés au rôle et à la fonction de l’utilisateur, qui sortent souvent du cadre des autorisations standard d’un modèle d’affectation de groupe.
3. Approvisionnement dans les systèmes
• Création de comptes. Dans la plupart des cas, le système IAM provisionne les comptes dans un répertoire d’utilisateurs, ce qui facilite ensuite l’accès aux applications et systèmes requis. Ce processus peut être automatisé ou manuel, selon le système, mais l’automatisation est aujourd’hui beaucoup plus courante dans le provisionnement des comptes.
• L’attribution d’identifiants. L’utilisateur reçoit des informations d’identification telles que des mots de passe ou des jetons MFA, ainsi que des instructions sur la manière de se connecter en toute sécurité.

Ajustements du provisionnement

La deuxième phase du cycle de vie du provisionnement et du déprovisionnement est moins précise en matière de calendrier, car elle a tendance à survenir périodiquement. Cette phase se concentre sur le cycle de vie de l’utilisateur, à mesure que les personnes changent de fonction ou que d’autres changements organisationnels interviennent. Au cours de cette phase de gestion du changement, ou de gestion à mi-parcours, les activités suivantes sont typiques :

1. Adaptations de l’accès et changements de rôle
• Modification du rôle. Lorsqu’un utilisateur change de rôle ou de service, son accès est réévalué et mis à jour pour refléter ses nouvelles responsabilités. Les systèmes IAM doivent automatiser ce processus en fonction des modifications apportées au système de ressources humaines, généralement par le biais de modifications apportées à des étiquettes de rôle ou de groupe prédéfinies.
• Ajustements basés sur les attributs. Les mises à jour basées sur les attributs de l’utilisateur, tels que la localisation ou le statut professionnel, peuvent modifier automatiquement l’accès afin de respecter les politiques de sécurité.
2. Demandes d’accès temporaire
• Accès à la demande. Les utilisateurs peuvent demander un accès temporaire à des ressources supplémentaires en dehors de leur rôle habituel. Cet accès devrait suivre un workflow recouvrant demandes et approbations de la part des chefs d’équipe ou des responsables – l’accès étant accordé pour une durée limitée et géré automatiquement par les systèmes IAM.
• Journalisation et audit. Les demandes d’accès temporaire doivent être enregistrées et un registre de toutes les demandes approuvées et refusées doit être conservé à des fins de conformité et d’audit.
3. Accéder aux examens et aux certifications
• Examen périodique de l’accès. Les équipes chargées de la sécurité et de la gestion des accès doivent procéder à des révisions régulières des droits d’accès. Les responsables et les propriétaires de systèmes doivent s’assurer que les utilisateurs ont toujours besoin de l’accès qui leur a été accordé.
• Révoquer les accès inutiles. L’accès qui n’est plus nécessaire est révoqué pour maintenir le principe du moindre privilège. Les systèmes IAM peuvent automatiser les notifications aux responsables pour l’examen et la révocation des autorisations redondantes.

Scénarios et étapes de déprovisionnement des utilisateurs

La dernière grande phase du provisionnement est la révocation des comptes d’utilisateurs et des autorisations attribuées par le biais du déprovisionnement. Cette phase est essentielle pour la sécurité. Les comptes orphelins encore actifs peuvent jouer un rôle dans de nombreux types d’incidents et de violations. Les activités et éléments courants de cette phase sont les suivants :

1. Déclenchement du déprovisionnement
• Notification de cessation d’emploi. Lorsqu’un utilisateur quitte l’organisation, les applications RH envoient une notification aux systèmes IAM pour lancer le déprovisionnement.
• Suspension immédiate facultative. Les comptes d’utilisateurs peuvent être immédiatement désactivés pour empêcher tout accès ultérieur, en particulier en cas de cessation involontaire de l’activité de l’utilisateur.
2. Suppression de l’accès et nettoyage du compte
• Désactivation des comptes. Les comptes de toutes les applications et systèmes connectés sont désactivés, soit instantanément, soit dans un délai déterminé.
• Révocation de l’accès aux données. L’accès à toutes les ressources de données est supprimé, généralement de manière automatique. En fonction de la politique de l’organisation, les données appartenant à l’utilisateur peuvent être archivées ou réaffectées à un autre utilisateur.
• Suppression des informations d’identification. Les données d’identification associées au compte de l’utilisateur, telles que les mots de passe, les jetons MFA et les clés d’accès, sont supprimées afin d’empêcher tout accès ultérieur non autorisé.
3. Suppression du compte final et audit
• Suppression permanente du compte. Après une période de rétention spécifiée à des fins d’audit, les comptes de l’utilisateur sont définitivement supprimés de tous les systèmes.
• Audit et vérification de la conformité. Une trace d’audit du processus de déprovisionnement est examinée pour garantir la conformité avec les politiques de l’organisation et les exigences réglementaires. Ce processus permet de s’assurer que la suppression de l’accès a été effectuée et documentée de manière appropriée.

Les politiques IAM doivent également être gérées

Une gouvernance et une conformité permanentes sont essentielles. Les politiques et processus IAM, y compris le cycle de vie du provisionnement et du déprovisionnement, doivent être révisés régulièrement pour tenir compte des nouveaux risques, des exigences de conformité ou des changements organisationnels.

En outre, il convient de mettre en place un système automatisé de journalisation et de surveillance des activités IAM. Ils fournissent une trace d’audit et aident à détecter les tentatives d’accès non autorisé.

Cas d’utilisation du provisionnement et du déprovisionnement

Examinons quelques exemples de scénarios de provisionnement des utilisateurs et les étapes à suivre pour les traiter correctement :

• Un nouvel employé rejoint un département établi et bien défini, tel que l’équipe financière ou juridique. Le nouvel employé a des besoins professionnels très spécifiques qui nécessitent l’accès à des applications particulières sur site et en SaaS. Le dossier de l’utilisateur est créé dans une application RH, telle que Workday, qui initie ensuite la création d’un nouvel utilisateur dans Active Directory avec une appartenance prédéterminée à un groupe. Cet utilisateur est ensuite fédéré à un système d’authentification unique (SSO) en cloud, tel que Okta, qui propose des applications préprovisionnées disponibles dans un portail lorsque l’utilisateur se connecte.
• Un contractant est engagé pour travailler en interne sur la mise en œuvre d’un nouveau produit spécifique. Un enregistrement RH est créé avec une étiquette de contractant, qui inclut une durée de contrat spécifique, par exemple six ou douze mois. Un nouveau compte est ainsi créé dans un groupe de contractants. Un gestionnaire note dans le profil RH l’accès particulier RBAC et PBAC aux entrepôts de données, aux applications et aux autres ressources. Le compte expire automatiquement à la fin de la durée du contrat, des notifications automatiques étant envoyées deux semaines avant afin que le compte puisse être prolongé si nécessaire.
• Un ingénieur DevOps a besoin d’un compte de service cloud et des clés d’accès appropriées pour construire et déployer des ressources dans l’environnement cloud. Par le biais d’un portail de demande d’accès, une demande automatisée basée sur l’API dans l’environnement cloud déclenche la création d’un compte IAM Cloud, le provisionnement des clés d’accès et toutes les informations d’identification ou jetons MFA et/ou de gestion des accès privilégiés (PAM) qui y sont associés.

Voici quelques exemples de scénarios de déprovisionnement d’utilisateurs :

• Un employé du service informatique qui dispose d’un accès privilégié aux serveurs, aux applications, aux entrepôts de données et à de nombreux environnements de réseau décide de quitter l’entreprise. Son préavis de deux semaines déclenche une demande automatisée du système RH aux plateformes IAM en place pour notifier toutes les parties prenantes nécessaires responsables des systèmes et des applications, ainsi que pour programmer la désactivation des comptes standard et PAM le dernier jour de travail du salarié.
• Lorsqu’un employé du département financier est licencié pour un motif valable, le compte de l’utilisateur est signalé comme étant à haut risque dans l’application RH. Cela déclenche une désactivation immédiate du compte et de toutes les informations d’identification associées telles que les jetons MFA. La désactivation élimine également tout accès aux applications SaaS fédérées dans le portail SSO. Comme tout cela résulte d’une résiliation, une alerte automatisée est envoyée à l’équipe de sécurité, qui procède à une évaluation des droits d’accès et examine les journaux et les alertes liés au comportement de cet utilisateur.

Un large éventail d’outils supportent ces activités de provisionnement et de déprovisionnement, y compris les plateformes de SSO et de fédération telles que Ping, Okta et Microsoft Entra ID, ainsi que les plateformes PAM, telles que CyberArk et BeyondTrust.

Les fournisseurs bien connus de solutions d’administration de la gouvernance des identités (IGA), notamment SailPoint, IBM et Oracle, proposent des plateformes capables de gérer l’ensemble du cycle de vie du provisionnement et du déprovisionnement de l’IAM ; ces plateformes peuvent également s’intégrer à d’autres outils et applications, tels que les systèmes de GRH et de ticketing. En raison de leur complexité, la mise en œuvre et la maintenance de bon nombre de ces outils requièrent des efforts considérables.

Bonnes pratiques pour le cycle de vie du provisionnement IAM

Les bonnes pratiques de provisionnement IAM améliorent la sécurité, la conformité et l’efficacité opérationnelle. Les pratiques les plus répandues recommandent à une organisation de procéder comme suit :

• Mettre en œuvre le principe du moindre privilège. Veiller à ce que les utilisateurs disposent de l’accès minimal nécessaire à l’exercice de leurs fonctions. Cela réduit le risque d’accès non autorisé et de violation des données. Examinez régulièrement les autorisations et supprimez rapidement tout droit d’accès excessif ou obsolète.
• Automatiser le provisionnement et le déprovisionnement. Automatisez la création, la mise à jour et la suppression des comptes utilisateurs afin de réduire les erreurs et d’accélérer le traitement. L’intégration avec les systèmes de ressources humaines pour les mises à jour en temps réel garantit que le provisionnement reflète les changements de rôle, et gère le déprovisionnement au moment opportun lorsque les utilisateurs quittent l’organisation.
• Utiliser un contrôle d’accès basé sur les rôles et les attributs. Définissez des rôles qui reflètent les fonctions du poste et permettez aux utilisateurs d’hériter de droits d’accès prédéfinis en fonction de leur rôle. Le contrôle d’accès basé sur les attributs affine encore l’accès en incorporant des critères dynamiques, tels que le lieu, l’heure ou des attributs spécifiques de l’utilisateur.
• Effectuer des contrôles d’accès réguliers. Procéder à des examens périodiques des accès utilisateurs pour s’assurer que les autorisations restent pertinentes et appropriées. Les processus d’attestation, dans le cadre desquels les responsables examinent et ré-approuvent les autorisations, contribuent à maintenir la conformité et à faire en sorte que l’accès soit aligné sur les exigences actuelles de l’entreprise.
• Mettre en œuvre la MFA et le SSO. La MFA ajoute une couche de sécurité et le SSO facilite la gestion des accès. Grâce à l’authentification centralisée des utilisateurs, une entreprise peut rationaliser le provisionnement et le déprovisionnement. Il est ainsi plus facile d’appliquer des politiques d’accès sécurisées à de multiples applications.
• Appliquer des politiques d’authentification forte et de gestion des informations d’identification. Établir des politiques pour toutes les informations d’identification, y compris les mots de passe, les clés, les jetons et la MFA. Complétez cela par une gestion sécurisée des informations d’identification, telle que des coffres-forts pour les accès privilégiés, afin de protéger les informations d’identification et de minimiser le risque de compromission des comptes.

Ces pratiques créent un cycle de vie du provisionnement IAM efficace et sûr, qui s’adapte aux changements organisationnels, minimise les risques d’accès non autorisé et simplifie la gestion de la conformité.

Le cycle de vie du provisionnement et du déprovisionnement des utilisateurs dans l’IAM est essentiel pour maintenir la sécurité, la conformité et l’efficacité. En automatisant les étapes lorsque cela est possible, en utilisant des politiques cohérentes et en procédant à des examens réguliers des accès, les organisations peuvent protéger leurs données, leurs systèmes et leurs utilisateurs, tout en minimisant les risques associés aux accès privilégiés et aux comptes orphelins.