Vers une gestion unifiée de l’identité
Dès les premières lignes de ce dossier, nous l’avons évoqué : la gestion des contrôles et des accès est composée de multiples briques, à l’instar de L’IGA, de l’authentification, du contrôle des accès, etc. En parallèle, « l’identité n’est pas propre à un applicatif » , rappelle Claire Loffler, Ingénieure avant- vente chez Vectra, « sa sécurisation exige une vue à 360° » . Ce qui a conduit Vectra à s’offrir Siriux récemment. « Si je devais résumer très grossièrement, Vectra fournit l’analyse comportementale et Siriux les rapports et les audits de risque » ajoute l’ingénieure avant- vente. Dans le milieu de L’IAM, on a assisté ces derniers mois à un mouvement de concentration, à grands coups de rachats, mais aussi d’intégrations des solutions les unes avec les autres, voire au- dessus de plateformes largement utilisées.
C’est le cas par exemple de Clear Skye, qui a intégré ses services de gestion de l’identité directement dans Service Now. Cyril Patou, directeur régional France et Europe du Sud de cette entreprise née en 2017, nous explique qu’il s’agissait de répondre à une demande des clients de garder une expérience utilisateur unique. On retrouve là encore l’idée d’un équilibre à trouver entre sécurité et confort. « Dans un contexte de plateformisation de L’IT, les entreprises ont pour volonté de centraliser un certain nombre de process au sein d’une seule et même plateforme » indique Cyril Patou. Et donc de réunir les différentes briques qui composent L’IAM sur cette plateforme.
Olivier Detilleux, Ingénieur avant- vente chez Sailpoint, ne dit pas le contraire lorsqu’il énonce que, « aujourd’hui, l’interfaçage est primordial : il ne faut pas que la brique de gouvernance soit un truc qui tourne seul dans son coin » . Ainsi, la brique authentification confirme que la personne demandant un accès est bien celle qu’elle prétend être, avant que la gouvernance de l’identité vérifie ses droits et que les contrôles d’accès… eh bien lui, donne lesdits accès. L’intégration est, comme partout, le nerf de la guerre. Or, les RH ne sont plus la seule source de modèle d’identité dans l’entreprise, il faut aussi compter sur les machines et les tiers, ainsi que sur les outils choisis par les métiers qui nécessiteront de l’employé qu’il crée un compte. Soit autant de source d’autorité qui débouche sur autant d’annuaires hébergeant ces identités. Avec le risque évident d’une gestion fragmentée, en silo, de l’identité qui ouvrirait autant de brèche de sécurité. « L’approche de toute bonne solution de gouvernance des identités consiste à centraliser les annuaires, représenter l’ensemble des identités au sein de la même base de données » assure Hicham Bouali, Directeur avantvente EMEA de One Identity.
Composante primordiale du Zero Trust
Évidemment, dès que l’on parle d’annuaire, on pensera immédiatement à l’active Directory. Et certains se diront qu’ils n’ont pas besoin de centraliser, puisqu’ils ont déjà L’AD. Mais, pour Hicham Bouali, « une identité ne peut pas être représentée par un compte dans L’AD, car elle peut ne pas s’y limiter » . « L’active Directory est très majoritairement déployé dans l’entreprise, mais ce n’est pas le seul répertoire : de nombreuses applications ont leur propre répertoire avec les droits d’accès, il faut centraliser tout ça avec un Identity Warehouse » renchérit Cyril Patou. Par identity warehouse, il faut surtout entendre un modèle de corrélation qui permet de lier l’ensemble des comptes, des accès et des données à une seule identité, ce qui a pour effet de supprimer les frictions héritées de la gestion des silos, tout en permet une meilleure orchestration et automatisation, donc une meilleure visibilité.
Hicham Bouali résume l’adoption de ces systèmes unifiés en quatre principes : « D’abord prioriser cette approche centralisatrice, pour mieux assurer la gouvernance. Ensuite mettre en oeuvre une orchestration automatisée, puis un modèle d’analytique robuste pour anticiper et détecter. Enfin, une vérification continue : je dois vérifier tout avant de donner l’accès, pendant tout le cycle de vie de l’application ou de l’identité » . Une description de L’IAM actuel qui n’est pas sans rappeler d’autres grands principes : ceux de l’architecture Zero Trust. Car c’est vers ce modèle que la gestion des identités et des accès doit tendre de sorte à réduire la fenêtre d’exposition aux risques. ☐
Cyril Patou,
Directeur régional France et Europe du Sud de Clear Skye. « Dans un contexte de plateformisation de L’IT, les entreprises ont pour volonté de centraliser un certain nombre de process au sein d’une seule et même plateforme. »