Gestion des identités et des accès, des droit d’accès aux données et des comptes à privilèges : cet avis d’expert de Bastien Meaux, Manager Marketing de Beta Systems, précise le cadre d’utilisation de ces produits basés sur l’identité des utilisateurs, et donne les grandes lignes d’une architecture intégrée répondant de manière durable aux besoins de sécurité informatique.
Entre 2009 et 2014, le nombre d’attaques informatiques réussies a augmenté à un rythme annuel moyen de 66%. Sachant que les deux tiers sont attribuées à des personnes internes à l’entreprise, gérer les droits d’accès de ces utilisateurs est devenu une problématique cruciale prise très au sérieux par les Directions Générales.
Un grand nombre de solutions de sécurité sont aujourd’hui disponibles, avec des propositions de valeur distinctes. Les solutions de gestion des identités et des accès (IAM), de gouvernance des accès aux données non structurées (DAG), et de gestion des comptes à privilèges (PAM) contribuent chacune au contrôle des droits d’accès, à différents niveaux. En tant que dénominateur commun, l’identité de l’utilisateur permet de décloisonner ces solutions pour aboutir à un concept intégré de sécurité.
1. La gestion des identités et des accès (IAM)
Autrefois limitée à la simple administration informatique de comptes utilisateurs, la gestion des identités des utilisateurs et de leurs droits d’accès aux applications est devenue au fil des années un outil de gestion central.
Utilisé tout autant par les directions métiers et IT, l’outil IAM permet la mise en œuvre de règles de sécurité communes et structurantes à l’échelle de l’entreprise, avec pour objectif le contrôle des habilitations des utilisateurs et la réduction des risques.
Plus précisément, une solution IAM centralise et maintient en cohérence les données provenant des RH, des annuaires et des systèmes cibles. En définissant des rôles pour les utilisateurs, représentatifs de leurs fonctions dans l’entreprise, on contrôle leurs droits d’accès selon le principe de moindres privilèges, en s’assurant qu’aucune combinaison de rôles ne donne lieu à un risque élevé. Des règles de gouvernance et des workflows automatisent la gestion du cycle de vie des utilisateurs. L’outil IAM permet aussi des analyses approfondies à des fins d’audits et d’investigations forensiques. Enfin, la recertification des droits d’accès des utilisateurs garantit leur conformité à tout instant.
2. La gouvernance des droits d’accès aux données (DAG)
On estime que près de 80% des données de l’entreprise sont dites non structurées, c’est-à-dire sans format prédéfini (serveurs de fichiers, emails, ressources SharePoint…). Gérer et sécuriser les droits d’accès à ces serveurs de fichiers est primordial pour toute entreprise cherchant à contrôler les risques de fuite de données.
C’est ce que proposent les solutions de gouvernance des droits d’accès aux données (Data Access Governance – DAG), grâce auxquelles l’entreprise administre les structures d’autorisations, délègue le contrôle des droits aux propriétaires de ressources et automatise les processus d’attribution/révocation de permissions par des workflows. Ainsi, un utilisateur pourra transmettre une demande de permissions au propriétaire. Ce dernier quant à lui est responsable des accès à ses données : il définit et contrôle en toute autonomie « qui a la permission de faire quoi et sur quoi ». L’outil DAG est également très utile lorsqu’il s’agit de fournir des analyses et des rapports nécessaires aux audits, permettant de répondre aux questions « qui a approuvé tel accès et quand » ou encore « qui est propriétaire de telle ressource ».
Par contre, les rôles et les autres droits d’accès aux applications de l’utilisateur ne sont pas pris en considération par la solution DAG en tant que telle. La sécurité est alors menacée par la multiplicité des comptes utilisateurs, ou encore l’accumulation de permissions.
Il s’agit alors de combiner les systèmes IAM et DAG ; l’identité de l’utilisateur étant naturellement le dénominateur commun. Cette approche permettra de corréler toutes les informations nécessaires sur l’utilisateur pour une prise de décision éclairée et une gestion « de bout en bout » de ses droits d’accès.
3. La gestion des comptes à privilèges (PAM)
Il est nécessaire de distinguer les droits d’accès issus de besoins métiers, par exemple pour effectuer une transaction financière, de ceux issus de besoins techniques, dédiés notamment à l’administration des applications. Les comptes utilisateurs disposant de ces droits d’accès techniques possèdent alors des privilèges élevés, et représentent un risque important pour l’entreprise. Or la majorité des comptes à privilèges ne sont pas définitivement assignés à une personne. Les comptes « root », « admin » ou « système » sont fréquemment partagés entre les administrateurs informatiques. Le contrôle et la traçabilité des tâches effectuées à partir de ces comptes deviennent alors difficiles, voire impossibles.
C’est ici qu’interviennent les solutions de gestion des comptes à privilèges (Privileged Account Management – PAM). Grâce à la définition de règles de gouvernance, l’outil permet d’administrer les groupes qui bénéficient de droits d’accès à ces comptes spécifiques, puis d’attribuer et de contrôler des droits d’accès temporaires. Enfin, l’enregistrement des sessions permet de connaître exactement les actions effectuées, facilitant ainsi la compréhension de tout évènement anormal.
Cependant, l’outil PAM, lorsqu’il fonctionne en silo, ne donne aucune visibilité sur les autres droits d’accès de l’utilisateur bénéficiant de ces privilèges. Comment réduire ses habilitations au strict minimum si l’on ne dispose pas d’une vue d’ensemble ? On imagine aisément le risque que représente un utilisateur ayant un accès temporaire au compte « admin » d’une application métier, pour laquelle il possède parallèlement un compte utilisateur et un certain nombre de prérogatives. De même, qu’en est-il des autres comptes partagés qui restent en dehors du périmètre de l’outil PAM ?
Pour remédier à cette problématique, il faut une fois de plus se tourner vers la notion d’identité afin de rassembler toutes les informations relatives à l’utilisateur (groupes, rôles, comptes…). C’est en associant ses systèmes PAM et IAM que l’entreprise sera en mesure de contrôler les droits d’accès à la fois métiers et techniques de ses utilisateurs, en s’appuyant sur un référentiel commun de règles de gouvernance.
4. Quelle architecture pour répondre aux besoins de sécurité ?
Afin de réduire les risques de fraude que représentent les utilisateurs internes, il est nécessaire de couvrir tous les aspects de sécurité liés à leurs droits d’accès. Il s’agit de contrôler les privilèges des comptes utilisateurs métiers ou techniques, les comptes partagés ou non, les droits d’accès aux applications et aux serveurs de fichiers… tout en s’assurant qu’à chaque instant les règles de séparation des droits soient appliquées.
Il apparait évident qu’une architecture s’appuyant sur des outils de sécurité fonctionnant de manière cloisonnée chacun dans leur silo, donne lieu à des brèches de sécurité, dans lesquelles les utilisateurs internes malveillants n’auront aucune difficulté à s’engouffrer pour commettre leurs attaques.
Au contraire, une architecture intégrée qui unifie les outils de sécurité DAG et PAM sous une solution IAM centrale donne à l’entreprise une vision d’ensemble, à 360 degrés, de ses utilisateurs, de leurs droits d’accès et des risques associés. L’identité de l’utilisateur, en tant que dénominateur commun, permet la consolidation des informations et des tâches d’administration des droits d’accès.