Article
Liste de contrôle de sécurité de la gestion des identités et des accès (IAM)
Si les systèmes de gestion des identités et des accès (IAM) sont d'emblée dotés de nombreux composants permettant de rationaliser les processus, il est tout de même recommandé d'y ajouter quelques éléments pour mettre votre entreprise à l'abri des vulnérabilités. Cette liste de contrôle vous permettra d'être totalement prêt lorsqu'il s'agit de créer des flux de travail efficaces, de bien équiper les membres de votre équipe et de pérenniser la sécurité de vos ressources essentielles.
Publier une politique IAM.
Tout d'abord, assurez-vous de disposer d'une politique de gestion des accès et des identités (IAM) publiée et actualisée. La politique correspond à un ensemble défini d'actions et de règles destinées à aider les personnes de votre entreprise à rationaliser les opérations. Avoir une telle politique à portée de main facilite la prise de décision des membres de l'équipe, qui pourront y faire référence en cas de besoin.
Créer des contrôles d'accès basés sur les rôles (RBAC).
L'accès basé sur les rôles permet aux administrateurs d'attribuer des autorisations aux utilisateurs en fonction de leurs droits précis. Ce processus ne détermine pas si les utilisateurs peuvent accéder à une application donnée, mais plutôt ce qu'ils peuvent faire dans celle-ci. Souvent sans rapport avec le poste occupé, un rôle accorde le même ensemble d'autorisations à tous les utilisateurs qui l'endossent. Un administrateur (quel que soit le service auquel il est rattaché) peut par exemple consulter l'activité et les analyses, mais il n'aura pas l'autorisation ou la possibilité de modifier ou d'effectuer des tâches. Si les utilisateurs peuvent changer, il n'en est pas de même pour le rôle, et les autorisations attribuées à ce dernier. Vous pouvez bien entendu toujours définir, modifier ou supprimer des rôles selon vos besoins, et ce à grande échelle.
Automatiser le cycle de vie des accès.
À ce stade de l'innovation technologique, l'automatisation est pour ainsi dire synonyme d'efficacité. Automatiser le cycle de vie des accès au moyen de processus de provisioning et de deprovisioning (à savoir d'attribution et de suppression d'autorisations) permet d'éliminer les processus manuels les plus chronophages en matière d'autorisation d'accès, tout en réduisant considérablement les erreurs. Cette approche de la gestion du cycle de vie permet de rationaliser l'intégration des utilisateurs - en veillant à ce qu'ils aient immédiatement accès aux outils dont ils ont besoin pour s'acquitter de leurs tâches - et de prendre en charge à la fois les processus de départ et les efforts continus, en désactivant les informations d'identification de ceux qui n'ont plus d'approbation d'accès. De ce fait, l'automatisation est à la fois efficace et sûre.
Permettre un accès sécurisé aux applications.
La mise en place d'un accès sécurisé des utilisateurs aux applications fait partie intégrante d'un système IAM efficace et de la sécurité globale de l'entreprise. Parmi les moyens les plus fréquemment utilisés pour y parvenir, citons l'authentification à deux facteurs (2FA), l'authentification unique (SSO) et l'authentification multifactorielle (MFA).
Chacune de ces méthodes est considérée comme une bonne pratique sur le plan de l'authentification, car elles renforcent les efforts de sécurité tout en créant une expérience conviviale. Dans le cadre des authentifications 2FA et MFA, les utilisateurs doivent fournir au moins deux facteurs d'authentification pour bénéficier de l'accès (par exemple, un mot de passe, une application d'authentification, une empreinte digitale numérisée, etc.) En revanche, avec l'authentification SSO, les utilisateurs ne doivent saisir qu'un seul ensemble d'informations d'identification pour accéder à plusieurs applications associées à un domaine. Étant donné qu'elles diffèrent sur le plan de leur fonction et de leur mise en œuvre, l'une de ces méthodes peut être considérée comme plus pratique selon les préférences ou les besoins organisationnels.
Séparation des tâches.
Fondamentale pour toute solution IAM, la mise en œuvre de la séparation des tâches (SoD) permet de s'assurer qu'aucun utilisateur ne s'approprie le contrôle de plus d'une opération commerciale dans un processus donné. Opérant dans le cadre de l'accès basé sur les rôles, la séparation des tâches garantit une conformité intrinsèque, en ce qu'elle élimine la possibilité d'un contrôle de type « par source unique » des ressources numériques par un seul utilisateur ou un seul compte (par exemple, comptabilité, gestion, etc.). Grâce à l'obligation de rendre compte et aux autorisations intégrées, les entreprises amenuisent le risque de dommages souvent irréparables engendrés par les utilisateurs.
Auditer les comptes et les utilisateurs.
Pour une meilleure conformité, effectuez un audit fréquent des comptes et des utilisateurs du système. Les audits commencent par la réalisation d'un inventaire visant à identifier les comptes et utilisateurs privilégiés, à supprimer les comptes inutiles ou inactifs et à examiner/suivre les autorisations des utilisateurs actifs. Un audit complet comprendra la surveillance de l'activité en cours, l'analyse de l'historique d'utilisation et des rapports, et la mise en place d'alertes permettant de signaler à l'administrateur les comportements à risque des utilisateurs. Avec le bon flux de travail d'audit, il est facile de maintenir la conformité et de l'atteindre systématiquement.
Tout documenter.
La documentation est un élément essentiel de la conformité des opérations. En surveillant, enregistrant et organisant l'ensemble des activités des utilisateurs, votre entreprise a la possibilité d'aborder les problèmes de front, avec les données nécessaires à la résolution de tout litige. La documentation s'avère également utile lorsqu'on est confronté à une situation qui s'est déjà produite auparavant. Avec des dossiers précis et consultables, les équipes peuvent répéter ou réviser les processus qui mèneront au meilleur résultat possible.
Conclusion.
Si vous cochez chacune des cases, à savoir la publication d'une politique IAM, la création de contrôles d'accès basés sur les rôles, l'automatisation du cycle de vie des accès, la mise en place d'un accès sécurisé aux applications, la mise en œuvre de la séparation des tâches, l'audit de vos comptes et de vos utilisateurs, et la documentation, alors la sécurité IAM de votre entreprise atteindra son apogée.
Si vous avez besoin d'aide pour choisir un fournisseur de solutions IAM, découvrez ce que SailPoint peut faire pour vous.