Cet article a pour objectif de partager un aperçu du domaine de la gestion et l’administration des identités (Identity Governance and Administration - IGA), une branche de la gestion des identités et des accès (Identity and Access Management - IAM). Je suis consultante en cybersécurité depuis 4 ans : j’ai travaillé deux ans dans le domaine de l’intégration de solutions d’IGA (plus particulièrement la solution Identity IQ, de SailPoint) et je travaille depuis deux ans au développement d’une solution de rapports et de tableaux de bords pour les outils d’IAM
L'IAM, c'est quoi ?
L’IAM est un domaine de la cybersécurité qui regroupe les problématiques de gestion des identités, des habilitations (ou droits d’accès) et des accès. L’idée générale est de donner le bon accès à la bonne ressource à la bonne personne au bon moment pour la bonne raison.
Les actions principales de l'IAM
Les enjeux
L’IAM est un domaine vaste et peu connu du grand public qui est rendu indispensable par la récente multiplication des appareils connectés, des accès et des utilisateurs des SI. Cette croissance exponentielle rend nécessaire une gestion professionnelle et organisée des identités et des accès.
L’enjeu financier
La mise en place d’une solution d’IGA est un investissement financier qui permet à terme de réduire les coûts à de multiples endroits.
Une meilleure gestion des licences payantes est permise par la gestion des accès : on ne paie plus pour des licences inutilisées sans le savoir. L’automatisation des tâches répétitives permet une diminution du travail humain sur le SI : la solution gère le travail pour lequel la définition d’un processus ou d’une politique suffit.
Les coûts en termes de productivité sont diminués. Les nouveaux arrivants ont les bons accès, les processus sont plus rapides et fluides, les informations sont centralisées, la réponse en cas d’incident est plus rapide : autant de points qui diminuent les entraves à la productivité des collaborateurs. La sécurisation du SI est un enjeu financier à part entière : diminuer les risques revient à diminuer les risques financiers associés.
L’enjeu sécuritaire
L’IAM permet de prévenir les intrusions, de sécuriser les accès, de tracer les modifications des informations et toutes les actions effectuées dans le SI. En plus de limiter les dysfonctionnements, on améliore la réponse du SI face à une attaque ou un incident.
Un système IAM performant permet de prévenir les cyberattaques et minimiser leurs impacts en facilitant une vision globale des accès et la révocation d’accès compromis ou inadéquats.
Tout cela sans pour autant compliquer l’accès aux ressources pour ceux qui en ont un besoin légitime. Les solutions d’IAM permettent de trouver un bon compromis entre la sécurité des données, inaccessibles au plus grand nombre, et la fluidité de l’expérience pour le collaborateur nécessitant légitimement un accès aux dites données.
Les politiques d’accès sont automatisées et claires : cela permet de diminuer drastiquement les erreurs et d’accélérer leur remédiation le cas échéant.
La fluidification de l’expérience des collaborateurs
Déjà évoquée précédemment, l’expérience d’un collaborateur est grandement fluidifiée grâce aux solutions d’IAM.
Les informations sont centralisées dans un référentiel unique qui rend plus facile toute recherche liée aux identités et aux habilitations.
Les collaborateurs reçoivent les habilitations nécessaires à leur emploi et se voit retirées les habilitations lors- qu’elles ne sont plus nécessaires : l’automatisation des processus diminue amplement la charge de recherche de droits, le risque d’obtenir des droits superflus et l’attente d’approbation pour des droits d’accès indispensables à la mission.
Les solutions de gestion des accès permettent une navigation plus fluide et sécurisée dans les applications du SI : on pense par exemple au Single Sign-On qui permet d’accéder à toutes les applications en étant connecté à une seule d’entre elles. Cela tout en permettant le respect des politiques de sécurité de manière automatique : les politiques et rotations de mots de passe obligent les utilisateurs à avoir un mot de passe conforme aux exigences du SI et mis à jour régulièrement.
Les différentes branches de l’IAM
IGA : Gestion et administration des identités
L’IGA est la gestion et l’administration des identités et de leurs habilitations (ou droits d’accès). Le but est d’assurer que les utilisateurs du SI aient les bonnes habilitations sur les bonnes ressources au bon moment en accord avec leur emploi, leurs besoins et les politiques de l’entreprise.
Les grandes questions de l’IGA et les moyens d’y répondre
L’IGA permet de gérer les étapes du cycle de vie de l’identité, d’offrir de la visibilité sur les identités présentes dans le SI et de garder une trace des évènements passés.
L’IGA permet également la gestion des habilitations et la mise en place des politiques d’attribution et de retrait des habilitations.
L’IGA représente un gain en visibilité sur le SI : les informations sont centralisées, les processus sont automatisés et des rapports et tableaux de bords permettent de suivre l’évolution du SI.
Les outils d’IGA sont mis en place pour gérer de manière automatique les processus de gestions des identités et des habilitations avec un risque d’erreurs humaines moindre, une efficacité supérieure et un contrôle constant.
Les solutions d’IGA
Les solutions d’IGA utilisées sont des solutions éditeurs.
Ce sont des squelettes très riches qui permettent d’implémenter les fonctionnalités désirées par le client au moyen de leur interface graphique et de scripts.
Les solutions d’IGA sont nombreuses et les éditeurs proposent différentes possibilités : certaines solutions, moins coûteuses, sont peu personnalisables aux besoins du client mais rapides à mettre en place tandis que d’autres sont plus chères et proposent un large choix de fonctionnalités et de paramétrages différents, jusqu’à une personnalisation infinie grâce à des fonctionnalités à développer et à intégrer au squelette.
Ces solutions peuvent être on-premise ou disponibles dans le Cloud, tout dépend de l’éditeur et de l’environnement du client.
Une interface utilisateur est disponible et personnalisable, permettant aux différents acteurs (utilisateurs, managers, administrateurs ,…) de suivre et gérer l’état du SI en accord avec les droits de lecture qu’ils possèdent sur la solution d’IGA.
Les grands axes de l’IGA
La gestion des identités
L’IGA comprend la gestion des identités et de leur cycle de vie au sein de l’organisation du client. La construction d’un référentiel unique et centralisé des identités permet une gestion simplifiée ainsi qu’une détection des anomalies plus performante.
Les évènements de la vie de l’identité sont détectables et déclenchables au sein de la solution : on pense notamment aux embauches, aux mutations, aux arrêts maladies, aux départs etc. La détection d’un évènement déclenche un processus associé en accord avec les politiques du SI (retrait ou ajout de droits, calcul d’informations, notifications, …).
L’objectif premier de cet axe est le stockage et le maintien à jour des informations importantes relatives à l’identité sous forme de fiche (nom, prénom, métier, date de début et de fin de contrat, manager, …). Ces informations sont lues ou calculées et stockées sur l’identité.
Ces attributs peuvent également être écrits, modifiés ou supprimés des applications par la fonctionnalité d’écriture sur les applications. Cela permet une synchronisation automatique des informations concernant l’identité entre la solution d’IGA et les applications du SI.
La gestion des habilitations
La gestion des habilitations passe par la lecture, l’analyse et l’écriture des comptes applicatifs des identités dans le SI du client au moyen d’un connecteur entre la solution d’IGA et l’application. Le connecteur permet la lecture des comptes applicatifs et leur corrélation avec les identités existantes : chaque compte est attribué à l’identité à laquelle il correspond. Les objets lus sur l’application (comptes, groupes, droits etc.) sont stockés dans la solution d’IGA : cela constitue le catalogue applicatif.
Les connecteurs permettent la lecture et l’écriture dans les applications. La solution d’IGA peut gérer la mise à jour des données d’une application, en écrivant directement dans celle-ci. L’écriture peut être automatique, grâce à des processus développés pour être déclenchés par des évènements ou manuel, auquel cas les individus concernés seront notifiés par mail des tâches à accomplir pour que l’application en question soit à jour et la solution gardera en mémoire que l’action doit être faite jusqu’à ce qu’une lecture de l’application confirme que c’est le cas.
L’IGA comprend la gestion des habilitations accordées au sein de l’entreprise. Des politiques de conformités sont définies en ce sens.
La définition de rôles - des ensembles de caractéristiques réunissant des identités et donnant droit à des habilitations - permet la simplification de l’attribution des droits d’accès et de leur relecture par la suite.
Les mécanismes comme la SoD (Séparation des tâches) permettent de vérifier automatiquement la cohérence des habilitations en vigueur et de signaler les anomalies. La SoD repose sur des associations de droits d’accès qui sont interdites. La solution détecte les associations interdites et les signale ou les corrige, en fonction de ce qui a été décidé.
Ces politiques permettent l’attribution et le retrait automatique d’habilitations ainsi que le déclenchement d’alertes en cas de non-respect.
L’intelligence d’analyse
La partie intelligence d’analyse repose sur plusieurs nécessités :
Les besoins d’analyse en IGA
Des fonctionnalités d’analyse des données existent entre autres sous forme de rapports et de recherches. Les rapports et tableaux de bords permettent de retracer des actions ou comptabiliser des objets par exemple. Ils peuvent être longs et complets, donc destinés à l’étude des chiffres ; ou courts et concis et destinés à la traçabilité et l’information.
Les recherches sont paramétrées directement depuis l’interface graphique par le client et permettent d’avoir une vue d’ensemble rapide des identités, des accès et des habilitations présents dans la solution.
Un axe primordial de l’IGA est le contrôle du modèle d’habilitation effectif. Les campagnes de certification permettent la revue, la révocation ou la confirmation des accès possédés par les identités. Les campagnes sont paramétrables de manière très fine, permettant ainsi un suivi au plus près des besoins du client.
En cas d’écart avéré entre la théorie et la solution effective, il est possible de réconcilier les comptes, les identités et les habilitations à la main puis de faire évoluer la solution en créant des règles prenant en comptes les cas particuliers observés.
Ces outils, additionnés à la centralisation des identités en un référentiel unique, permettent une vision complète et instantanée du jeu de données de l’entreprise.
Les métiers de l’IGA
Un projet d’IGA peut consister en la création d’une solution, mais également en la montée de version, en la maintenance ou en l’évolution d’une solution existante déjà intégrée.
L’IGA donne lieu à des projet assez longs : de quelques mois à plus d’un an peuvent être nécessaires pour intégrer une solution d’IGA à un SI. Il faut comprendre le SI dans son intégralité, personnaliser la solution en fonction des besoins et des politiques de l’entreprise, connecter le parc applicatif à la nouvelle solution. Tout est dépendant de l’entreprise ciblée : besoin de sécurisation moyen ou élevé, nombre d’utilisateurs et d’applications, réflexion préalable en termes d’IGA etc.
L’IGA est un domaine vaste et complexe : la diversité des clients, des SI et des fonctionnalités disponibles rend chaque projet diffèrent du précèdent et enrichissant.
La réflexion fonctionnelle
Les métiers de l’IGA ont d’une part un aspect fonctionnel : la discussion avec le client, le conseil, la compréhension technique des besoins qu’il exprime et la transmission de compétences une fois la solution implémentée pour qu’elle soit utilisée dans les meilleures conditions. La correction d’un fonctionnement organisationnel interne défaillant, l’ajout de bonnes pratiques et la réflexion fonctionnelle sont nécessaires à l’intégration d’une solution d’IGA sécurisée.
D’autre part, ces métiers ont un aspect technique : le développement, l’implémentation et l’intégration d’une solution correspondante aux spécifications établies.
L’aspect technique est inhérent aux métiers de la cybersécurité. Si tous les domaines de la cybersécurité nécessitent une réflexion fonctionnelle, l’IGA se démarque par la complexité et la diversité des fonctionnalités et des aspects à prendre en compte avant même de commencer une intégration ou une évolution.
La conduite du changement
L’IGA demande de trouver un compromis entre les besoins du client et les fonctionnalités disponibles dans la solution choisie. Un aspect de ce compromis réside dans la conduite du changement chez le client, c’est-à-dire le fait de demander au client une modification de son organisation et de ses pratiques pour le bien de la solution d’IGA proposée. Définir le changement indispensable, le défendre et le mettre en place est l’un des challenges des métiers de l’IGA (et de l’IAM plus largement).
Intégrer une solution d’IGA dans un SI qui n’en a jamais eu peut mener à quelques challenges : certains clients n’ont jamais réfléchi certaines fonctionnalités ou doivent entièrement revoir leurs fonctionnements pour se conformer aux bonnes pratiques.
Adapter les interfaces à ce qui se fait déjà dans le SI et créer des processus proches de ceux existants est une façon de simplifier la conduite du changement chez le client.
La culture de l’entreprise cliente est déterminante dans la mise en œuvre du changement dans un SI. Certaines entreprises fonctionnent par l’obligation : de nouvelles règles et processus sont développés, ils sont expliqués et défendus auprès des équipes, puis les équipes doivent s’y conformer sans autre option.
Certaines entreprises fonctionnent par la proposition : la solution d’IGA est intégrée dans une partie du parc applicatif seulement, les anciens processus continuent d’exister, la solution est expliquée et mise en avant au sein de l’entreprise, puis les équipes décident ou non de connecter leurs applications à la solution et d’utiliser les nouveaux processus. Ce dernier fonctionnement réside sur l’idée que si la solution apporte réellement un gain de temps, de sécurité et d’efficacité, les équipes s’y rallieront d’elles-mêmes. Il existe tout un spectre de cultures d’entreprises entre ces deux exemples.
Les formations éditeurs
Les solutions d’IGA sont toutes différentes même si l’aspect fonctionnel reste similaire. Cela nécessite de se former sur la solution éditeur utilisée quand on arrive sur un projet.
Les éditeurs proposent des formations pour prendre en main les solutions et monter en compétences rapide- ment. Certains éditeurs proposent également des certifications de différents niveaux. Cela représente un gain de temps important à l’arrivée sur un projet et un atout par la suite pour postuler à d’autres projets d’IGA. Pour les débutants, cela permet l’approfondissement des enjeux de l’IGA et des fonctionnalités de la solution. Pour un expert, cela permet la découverte des moyens de personnalisations de la solution et l’agencement des fonctionnalités entre elles.
Les plus gros éditeurs disposent également d’une communauté active et de forums permettant un transfert de compétences continu. C’est une mine d’or pour vérifier une hypothèse fonctionnelle, sortir d’une impasse technique et gagner du temps de développement.
Marianne Faure
Consultante Cybersécurité