Qu'est-ce que la gestion des identités et des accès ?

Selon Gartner, cela constitue « une association de fonctions d'administration, de provisioning de comptes, d'authentification et d'autorisation ainsi que de reporting »  proposée dans le cloud (IDaaS) en tant que service ou implémentée en interne dans une approche plus cloisonnée.

Les entreprises peuvent adopter une combinaison des deux dans leur environnement hybride, dans lequel elles utilisent un système IAM secondaire pour gérer leurs applications hébergées tout en continuant à utiliser un système IAM standard pour les applications internes.

Bien que ce scenario soit préférable à ne pas avoir de plateforme IAM, opter pour un système IAM mixte est assurément une situation difficile car cela double les tâches de maintenance, peut générer des erreurs et s'avérer coûteux sur le long terme. Ajouter un troisième, quatrième, voire cinquième mécanisme IAM entraîne des coûts et un niveau de complexité supplémentaires.

À cela s'ajoute un ensemble de capacités et normes requises dans le cloud qui ne correspondent pas forcément aux configurations IAM classiques, plus systématiques, comme le contrôle d'accès discrétionnaire ou obligatoire, également appelé DAC (Discretionary Access Control) ou MAC (Mandatory Access Control) et qui sont trop complexes pour être couvertes par le récent modèle de contrôle d'accès à base de rôles, RBAC (Role-Based Access Control model).

Les tendances telles que le BYOD « Bring your Own Device » et les nombreux rôles existants au sein d'une grande entreprise génèrent un besoin immédiat en connaissances contextuelles via le déploiement de politiques d'accès et de sécurité extrêmement précises, ainsi que via le développement d'applications sécurisées.

Le contrôle d'accès basé sur les attributs ABAC (Attribute-Based Access Control), plus flexible, suscite donc un intérêt croissant car il peut être appliqué dans l'ensemble du modèle IAM mentionné précédemment.Il peut être configuré pour tirer partie de ses avantages mais également pour dépasser ses limites.

J'expliquerai par la suite comment cela fonctionne en laissant de côté l'étape de l'authentification que j'ai présentée jusqu'à présent, pour aborder le niveau suivant d'autorisation des accès.

Le contrôle ABAC utilise les attributs ou les propriétés d'une entité donnée du système, qui peut représenter un utilisateur, un contexte de workflow de programme (programme/processus fonctionnant au nom de l'utilisateur), un objet (ressource à laquelle accéder) ou même, un attribut lui-même.

Ces attributs prédéfinis sont validés en fonction de conditions ou de scénarios de l'environnement basés sur un ensemble de règles déterminant la relation entre le sujet et l'objet.

Le contrôle ABAC peut être utilisé pour appliquer le DAC via des listes de contrôle d'accès et le MAC via des classifications et étiquettes de sécurité ou le RBAC via des rôles utilisateur.

La nécessité de la gestion de l’identités et des accès

Si vous prêtez attention aux analystes, vous pourriez être étonné d'apprendre que l’IAM fait partie des trois services de sécurité considérés comme étant indispensables dans le cloud. Dans un rapport détaillé datant de 2013, Gartner prévoit qu'à l'avenir, les technologies IAM occuperont une place extrêmement importante.

D'ici fin 2020, ce cabinet d'analyse spécialisé prévoit que :

• 70%de l'ensemble des entreprises utiliseront un contrôle d'accès à base de rôles comme mécanisme principal de protection de leurs biens essentiels, alors qu'elles ne sont que 5% actuellement.
• 60%des identités numériques interagissant avec des entreprises proviendront de fournisseurs d'identité externes via un marché concurrentiel, contre 10% actuellement.
• 80%de l'accès numérique sera constitué par de nouvelles architectures mobiles et non PC, contre 5% actuellement.

Dans un rapport plus récent consacré à la gestion des identités et des accès dans Amazon Web Services, Gartner met en avant une série de recommandations à suivre par les clients AWS, que je résume ci-dessous :

• Ne pas distribuer le compte root AWS dans votre entreprise et essayer de limiter son utilisation autant que possible.
• Utiliser le type de rôles IAM pour déléguer les fonctions de gestion, des outils IAM tiers sont également pris en charge.
• Utiliser une authentification multifacteur (MFA : Multi-Factor Authentication) pour les utilisateurs d’IAM avec des privilèges ayant accès à la console de gestion AWS.
• Éviter d'attribuer trop de droits aux utilisateurs d’IAM, suivre le principe du « moindre privilège ».
• Utiliser AWS CloudTrail pour suivre les opérations d’IAM dans AWS.

La plupart de ces outils de sécurité natifs des services AWS sont complètement gratuits afin d'encourager leur utilisation par tous les administrateurs cloud, même débutants avec AWS. Ces outils feront bientôt partie des ‘best practices’ de sécurité,  éprouvés à mesure que la compréhension d'AWS continuera de progresser.

Il y a fondamentalement deux principes qu'un administrateur AWS devrait appliquer lorsqu'il gère les droits d’IAM : « la séparation des fonctions » et le « moindre privilège ».Je pense qu'il s'agit de la partie la plus difficile du processus et celle qui implique les risques les plus élevés.

Heureusement, AWS prend en charge une partie des tâches difficiles en fournissant un support de l'authentification unique dans lequel chaque utilisateur/identité est associé à des identifiants de sécurité uniques ayant accès seulement aux services et ressources AWS alloués par l'administrateur.

L'allocation des identifiants est réalisée automatiquement dans le backend et les identifiants temporaires changent régulièrement. Cela ne laisse aucune place à l'erreur humaine et contribue à empêcher les accès non autorisés provenant de l'extérieur de l'entreprise.

Les prévisions de Gartner laissent penser que nous pourrions assister à un regain d'intérêt des entreprises pour les solutions d’IAM conçues nativement pour le cloud et non adaptées à celui-ci. Cela générera d'importants investissements dans le secteur et contribuera à diversifier l'offre et à perfectionner les techniques connues actuellement.

N'en attendez pas non plus un remède miracle. Aucun couteau suisse ne vous aidera à survivre dans les bois à moins que vous ne sachiez comment le manier avec adresse.

En résumé, plus votre système d’IAM est performant dans la gestion du cloud, moins vous aurez de problèmes pour jongler entre les innombrables identités services, biens et sites géographiques de l’entreprise.

Cet article a été rédigé par Denisa Dragomir.