Les outils d’IAM (Identity Access Management) s’intègrent aujourd’hui mieux avec les autres solutions de sécurité et concernent aussi bien les clients de l’entreprise que les objets connectés. La gestion des identités doit d’ores et déjà passer dans le Cloud, avant une décentralisation plus radicale, explique Rafik Mezil, Architecte IAM, IBM Security.
L’IAM visait à centraliser les identités pour en assurer une meilleure gestion. Du moins à l’origine. Elle a connu depuis de nombreuses évolutions, au gré des besoins utilisateurs, du renforcement nécessaire de la sécurité face à la multiplication des points d’entrée du système d’information (SI) et des législations successives.
Auparavant initiés par les responsables de la sécurité du SI, les projets d’IAM sont aujourd’hui de plus en plus sponsorisés par des acteurs métiers, qui ne sont pas issus du milieu technique, mais qui ont une vue d’ensemble du business. Ils veulent des solutions ergonomiques, intuitives et surtout des rapports compréhensibles, afin de répondre facilement aux questions posées lors d’un audit. Sont alors apparues des solutions de gouvernance d’identités, l’idée étant de gérer et de suivre les risques en fonction des impacts métiers et plus seulement en fonction d’informations techniques. Par exemple, un manager doit avoir une vue synthétique globale des habilitations de ses collaborateurs afin de pouvoir recertifier leurs droits et un utilisateur ne doit pas être à la fois juge et partie (Segregation of Duties, ou droits conflictuels).
Face aux attaques les plus sophistiquées comme les APT, à eux seuls, les firewalls, les systèmes de détection d’intrusions (IDS), de prévention d’intrusions (IPS) ou SIEM (Security and Event Management) ne suffisent plus. Ils doivent mieux s’intégrer au système d’information et s’enrichir des données issues des solutions d’IAM notamment. Celles-ci disposent de données concernant un utilisateur comme son identifiant et son email, des événements s’y rattachant (tentatives d’authentification, géolocalisation, etc.), ce qui permettra d’établir un indice de risque au niveau d’un SIEM pour cet utilisateur, grâce à des algorithmes de machine learning. L’IAM peut s’interfacer également avec des solutions de protection de données à des fins réglementaires pour respecter le RGPD (Règlement Général sur la Protection des Données) ou avec des solutions de gestion de périphériques mobiles, pour autoriser un utilisateur à se connecter depuis un appareil à risque (un iPhone jailbreaké, par exemple, normalement interdit de connexion), en lui proposant une authentification plus forte de type MFA (Multi-Factor Authentication).
Gérer l’identité du client
Si l’IAM a concerné en premier les collaborateurs de l’entreprise et ses partenaires, elle concerne maintenant les clients de l’entreprise, d’autant que la numérisation de l’économie aidant, ceux- ci occupent une place de plus en plus centrale dans le business de l’entreprise, l’expérience client jouant un rôle essentiel.
L’objectif du CIAM (Customer IAM) est donc de tirer parti des informations qu’accepte de donner un client (en se connectant avec son login Facebook ou Twitter, par exemple), de façon progressive tout en étant le moins intrusif possible. Et évidement en recueillant son consentement explicite : le consommateur maîtrise les informations qu’il accepte de partager et avec qui.
Le CIAM peut alors s’interfacer avec des outils de business intelligence et à des CRM à des fins marketing et analytiques. Le CIAM peut également servir à détecter une utilisation frauduleuse du compte client, et imposer une authentification plus forte qu’un simple mot de passe qui peut se matérialiser par un facteur d’authentification biométrique ou s’appuyer sur son comportement (sa façon de taper sur le clavier, ses habitudes, ses préférences de navigation, etc.). Des standards apparaissent pour encadrer la mise en œuvre du CIAM, prouvant le succès grandissant de ce type de solution.
Les objets ont droit à des identités
La population adressée par le CIAM se chiffre en centaines de millions de personnes voire milliards. Tout comme une autre population désormais concernée par l’IAM, celle des objets connectés. Comme les êtres humains, les objets connectés interagissent de plus en plus avec le système d’information de l’entreprise, notamment dans l’industrie, et cumulent de fait de plus en plus de droits. C’est donc le rôle de l’IDoT (Identity of Things) de les gérer comme n’importe quelle autre identité, avec contrôle des droits et authentification associée, et surtout un bon niveau de traçabilité afin de repérer si un pirate ne tente pas de détourner la fonction de l’objet ou d’en prendre le contrôle.
Le nombre d’objets connectés est amené à croître exponentiellement, rendant impossible la gestion de leur identité on-premise, tant l’infrastructure requise est énorme et le coût de déploiement onéreux. Le Cloud, de manière générale, constitue une réponse à cette problématique, et en particulier l’IDaaS (IDentity as a Service). Outre leur efficacité dans un écosystème Cloud, leur simplicité et leur ergonomie, les solutions de gestion des identités dans le Cloud permettent au client de ne plus se soucier de l’infrastructure et de se concentrer sur son business. Une simplicité dont le revers de la médaille peut être le manque d’intégration avec les applications legacy rendant une approche hybride on-premise/Cloud plus judicieuse. La masse d’informations générée par ces milliards d’identités implique l’utilisation de nouvelles technologies dans le futur telles que le machine learning et l’IA, pour une meilleure analyse et pour aider les acteurs de l’IAM à prendre des décisions en s’appuyant sur des scores de recommandation, voire pour automatiser certaines actions répétitives en utilisant des robots et solliciter l’humain sur les tâches à forte valeur ajoutée. On parle alors de RPA (Robotic Process Automation).
La blockchain, une technologie envisageable pour le futur de l’IAM
Aujourd’hui, les utilisateurs peuvent s’identifier avec leur login Facebook ou Twitter sur de nombreux services. Ni les individus ni les organisations n’ont le contrôle sur leur propre identité. Cette dernière est propagée partout, dans les réseaux sociaux, les sites de e-commerce, etc. Autant de données personnelles exploitables par des pirates. Une solution commune que pourraient mettre en œuvre les organismes de standardisation et les géants de l’IT afin d’encadrer l’utilisation de l’identité et sa sécurité pourrait se baser sur la blockchain, une base de données distribuée, infalsifiable et une chaîne de confiance permettant de propager le moins possible les données personnelles des utilisateurs. Par exemple, un étudiant pourrait s’enrôler auprès de son organisme d’enseignement supérieur en utilisant sa carte d’étudiant voire même son permis de conduire. Il se verra ainsi attribuer une clé cryptographique lui permettant de prouver son identité auprès des autres maillons de la chaîne grâce au consensus. Il pourra alors accéder aux différents services des organismes de la blockchain, comme sa banque ou son assurance sans devoir communiquer de nouveau ses données personnelles ou un mot de passe.
Et si finalement le futur de l’IAM était de décentraliser les identités pour assurer une meilleure sécurité, confidentialité et gouvernance – contrairement au besoin initial ?