logo seela

Identity Access Management

Découvrez les enjeux de l’Identity Access Management dans la mise en place de niveaux de sécurité des accès aux infrastructures.

Introduction à l’IAM

2 Leçons – 200 min

La GIA ou Gestion des Identités et des Accès (IAM : Identity Access Management) permet de définir les catégories d’utilisateurs et leurs privilèges.

L’IAM gère et administre un ensemble donné d’identités numériques des utilisateurs, et les privilèges associés à chaque identité. L’IAM peut être un produit unique ou une combinaison de processus, de produits logiciels, de services Cloud et de matériel qui donnent aux administrateurs une visibilité et un contrôle sur les données organisationnelles auxquelles les utilisateurs individuels peuvent accéder.

01. Introduction à l’IAM

180 min

Incon introduction à la cybersécurité

Définition de l’IAM

L’Identity and Access Management est l’ensemble des composants, concepts et processus qui ont pour objectifs de considérer l’identité et ses éléments comme des critères de sécurité permettant de définir la légitimité d’une interaction avec un système d’information.

L’IAM embarque ainsi tous les éléments nécessaires à :

  • La définition, la modélisation et l’affection des habilitations des acteurs ;
  • L’évaluation des habilitations lors d’un accès ;
  • La gouvernance à un moment et dans le temps des habilitations et des risques associés.

En résumé, l’IAM va mettre à disposition les processus nécessaires à :

  • Habiliter les utilisateurs ;
  • Permettre l’accès au système d’information ;
  • Prémunir le système contre un accès et un usage illégitime ;
  • Définir, identifier et empêcher les risques liés à l’identité.

Par extension, les domaines suivants sont associés aux sujets de l’IAM :

  • Privilege Access Management (PAM) : Ce sont les processus de gestion de l’identité qui sont destinés à des utilisateurs dit privilégiés du fait de leur impact sur le système d’information (arrêt d’un serveur, purge d’un log, etc.) ;
  • Customer (ou Consumer) Identity and Access Management (CIAM) : Ce sont les processus associés à la gestion des clients, permettant d’enrichir leur expérience tout en collectant la donnée nécessaire à la bonne conduite des affaires.
     

Les bénéfices attendus de l’IAM

Différents bénéfices sont attendus de l’IAM :

  • La protection du système d’information : il s’agit ici de limiter l’accès au système d’information aux utilisateurs légitimes et pour un usage légitime ;
  • Faciliter la vie des acteurs du système d’information en leur mettant à disposition, au bon moment, les bonnes habilitations ;
  • Participer à l’image de l’organisation en adoptant les bons processus d’habilitation ou d’authentification en relation avec les besoins des acteurs.

Les bénéfices sont directement mesurables par la gestion des risques associés à l’identité et la méthodologie choisie.

Principes applicables à l’IAM

Le principe de moindre privilège

Ce principe stipule que l’utilisateur ne doit disposer pour une tâche que des habilitations strictement nécessaires à celle-ci. Cela définit ainsi une limite à la quantité des habilitations détenues par un utilisateur. Mais aussi à l’évolution dans le temps de celles-ci. L’utilisateur acquière et perd les habilitations en fonction des besoins associés à l’évolution de ses tâches.

Patterns applicables à l’IAM

Zero Trust

Zero Trust est un framework de sécurité qui prend pour principe :

  • Qu’il ne faut pas faire confiance à l’infrastructure du réseau comme principal périmètre de défense du système d’information. C’est un changement de paradigme par rapport aux approches historiques de la sécurité, du fait de la transformation du système d’information, en particulier avec l’adoption du cloud et les nouveaux usages de consommation;
  • Qu’il faut prendre l’Identité comme premier périmètre de défense. Il convient aussi de comprendre cette identité dans toute sa richesse, allant au-delà des seuls attributs statiques de la fiche personne de l’annuaire, et de contextualiser cette compréhension, si possible, à la session ou transaction. Le framework rappelle ici le rôle primordial du principe de moindre privilège et l’importance de l’authentification forte ;
  • Qu’il faut assumer le fait qu’une attaque percera les défenses et qu’ils faut adopter une défense en profondeur et être prêt à gérer la situation ;
  • Qu’il faut enrichir le modèle d’audit et d’analyse de risque pour prendre en compte le rôle de l’identité et les nouveaux usages du système d’information.

Ce framework s’illustre souvent au travers de l’opposition des images du château fort (défense périmétrique au niveau du pont levis) et de l’aéroport (contrôles multiples et dans la profondeur renforçant les exigences d’authentification et d’autorisation). 

QUIZ. Introduction IAM

20 min

Incon introduction à la cybersécurité

03. Introduction du cours

Incon introduction à la cybersécurité

Mail

information@seela.io