logo

Sécuriser le cloud : guide complet de la gestion des identités et des accès

Il n’y a pas si longtemps, gérer les identités des utilisateurs et les contrôles des accès était relativement simple. Les organisations fonctionnaient dans les limites de leur réseau sur site, dans lequel les utilisateurs se connectaient à un système unique pour accéder aux ressources nécessaires. Avec un tel périmètre bien défini, les services informatiques gardaient un contrôle strict sur qui avait accès à quoi et depuis quel emplacement.

Toutefois, l’émergence des systèmes en cloud a changé ce paradigme. Les organisations fonctionnent désormais dans un environnement distribué : ressources et services sont éparpillés entre diverses plateformes hébergées ; les utilisateurs y accèdent de n’importe où et de n’importe quel appareil. Le résultat ? Le périmètre réseau, dont la sécurité était le travail des équipes IT, est devenu obsolète.

Télécharger le guide (en anglais) :

Pour assurer la sécurité dans ce monde bâti autour du cloud, les équipes informatiques doivent adopter une gestion robuste des identités et des accès (IAM). Le cadre de l’IAM, ou identity and access management en anglais, regroupe des politiques, des processus et des technologies qui permettent aux entreprises de gérer les identités numériques et de contrôler les accès des utilisateurs aux systèmes, applications et données informatiques avec un objectif : que seules les personnes autorisées puissent accéder aux bonnes ressources, au bon moment et pour les bons motifs.

Aujourd’hui, une stratégie d’IAM doit tenir compte de la complexité inhérente à la gestion des nombreuses identités des différents services cloud. Elle doit en outre assurer un contrôle d’accès sécurisé protégeant contre l’utilisation non autorisée et les violations des données.

Mots clés

Les discussions sur l’IAM dans un environnement cloud font référence à différentes notions, notamment :

  • La gestion des accès à privilèges (PAM pour l’anglais privileged access management) est une subdivision de l’IAM qui se focalise sur le contrôle des comptes détenteurs de grands privilèges et surveille leur activité. Elle est une catégorie à part entière du fait du risque élevé que ces comptes posent à la sécurité, à la conformité et à la continuité de l’activité.
  • Le contrôle d’accès basé sur les rôles (RBAC pour l’anglais role-based access control) sert à restreindre l’accès au système aux seuls utilisateurs autorisés sur la base de leurs fonctions. Pour certaines opérations, les permissions sont octroyées à des rôles spécifiques au travers de groupes de sécurité, et les utilisateurs se voient attribuer les rôles correspondant à leurs fonctions. Le RBAC facilite l’application rigoureuse du principe de moindre privilège.
  • La gestion du cycle de vie implique une véritable gouvernance de la création, de la maintenance et de la désactivation des comptes et des rôles tout au long de leur vie. Par exemple, elle comprend l’attribution initiale des privilèges d’accès aux utilisateurs, l’actualisation des rôles d’une personne en fonction de l’évolution de ses responsabilités et la suppression des comptes de quiconque quitte l’entreprise pour éviter toute utilisation frauduleuse.
  • L’authentification sert à s’assurer qu’un utilisateur est bien la personne qu’il prétend être. Traditionnellement, il s’agit de fournir un identifiant et un mot de passe. Toutefois, comme les mots de passe sont facilement compromis, les organisations exigent de plus en plus une authentification multifacteur (MFApour multifactor authentication). Pour renforcer la sécurité, la MFA demande au moins deux modes d’authentification – par exemple, les informations de connexion classiques et l’empreinte digitale ou une réponse issue d’une application d’authentification.
  • L’authentification unique (SSOpour single sign-on) est une méthode d’authentification qui permet à l’utilisateur d’accéder à plusieurs systèmes et applications avec un même jeu d’identifiant et de mot de passe.
  • L’autorisation est le processus qui décide d’accorder ou non l’accès demandé par une identité à des ressources données. Par exemple, l’autorisation empêche un utilisateur authentifié de lire des documents ou d’exécuter des applications s’il n’a pas la permission d’y accéder.
  • Le fournisseur d’identité (IdPpour identity provider en anglais) est un système de confiance qui crée, maintient et gère les identités numériques. Les IdP fournissent des services de vérification des identités des utilisateurs et d’octroi d’accès aux applications ou services. Ils offrent généralement des fonctions d’authentification unique (SSO).
  • L’identité en tant que service (IdaaS pour identity as a service) est un service tiers cloud qui fournit aux organisations des fonctions d’IAM comme l’authentification, l’autorisation et la gestion des utilisateurs. Les services IdaaS allègent la charge des équipes IT internes et simplifient la mise en conformité réglementaire sectorielle grâce à leurs fonctions avancées de sécurité et des actualisations régulières.

IAM et cloud : les défis

Par rapport aux environnements sur site, le cloud présente de nouveaux défis pour l’IAM. D’abord les environnements cloud sont par essence distribués, leurs ressources et services éparpillés entre différents fournisseurs cloud et régions. Il est en toute logique plus difficile de garder un contrôle centralisé des identités et de leurs droits d’accès. Aussi, plus une entreprise adopte de services et d’applications cloud, plus il y a d’identités. Les organisations ont donc besoin de systèmes d’IAM capables de gouvernance à grande échelle.

Très peu d’organisations fonctionnent exclusivement dans le cloud, alors même que l’adoption de celui-ci explose. La plupart suivent un modèle informatique hybride où charges de travail et identités s’étendent dans plusieurs systèmes sur site et des services cloud privés et publics. Assurer la cohérence de politiques et de processus IAM cohérents dans l’ensemble d’un environnement hybride s’avère plus complexe que dans une configuration purement sur site.

Autre difficulté : dans le cloud, l’IAM est une responsabilité partagée entre le fournisseur cloud et son client. Les clients n’ont qu’une visibilité et un contrôle limités de l’infrastructure sous-jacente. Ils doivent pourtant comprendre les contrôles IAM et bien les configurer dans les services cloud. Un défi et pas des moindres compte tenu du rythme accéléré des mises à jour et changements dans les plateformes cloud. Ces facteurs compliquent l’implémentation et l’application uniformes des politiques d’IAM dans toutes les ressources cloud.

Télécharger le guide (en anglais) :

IAM et Zero Trust

Une stratégie d’IAM pour le cloud aide à adopter un modèle de sécurité Zero Trust. Elle fournit notamment avec le RBAC un contrôle d’accès granulaire précis pour attribuer aux utilisateurs les permissions strictement nécessaires en fonction de leurs rôles. De plus, l’IAM en mode cloud, parce qu’elle offre l’authentification multifacteur et des politiques de mots de passe forts, peut réduire les risques liés aux identifiants compromis.

Enfin, une solution d’IAM cloud peut appliquer intelligemment le principe de Zero Trust – « ne jamais faire confiance, toujours vérifier » – en tenant compte de facteurs contextuels, comme la réputation, l’emplacement et le comportement des appareils, pour demander à un utilisateur ou à un processus de s’authentifier une fois de plus avec la MFA.

Mise en œuvre de l’IAM dans le cloud

Suivez ces étapes pour implémenter efficacement la gestion des identités et des accès dans le cloud.

  1. Évaluez votre IAM actuelle. Commencez par comprendre votre infrastructure IAM existante. Pensez à inclure les services d’identité comme Active Directory et Entra ID de Microsoft ainsi que votre solution d’IAM et les autres outils de sécurité incluant des fonctions d’IAM. Identifiez également les services et applications cloud que vous utilisez déjà.
  2. Recueillez les besoins. Documentez les exigences techniques et commerciales recherchées dans une solution. Assurez-vous d’impliquer les parties prenantes clés dans toute l’organisation pour bien comprendre leurs besoins et leurs inquiétudes.
  3. Évaluez les solutions. Étudiez et évaluez les différents fournisseurs et solutions d’IAM cloud. Vos critères peuvent inclure des mécanismes d’authentification, des possibilités d’intégration et des modèles tarifaires. Vous trouverez plus bas des options courantes.
  4. Planifiez l’intégration et la migration. Déterminez comment intégrer vos annuaires et vos fonctionnalités d’IAM existants avec la solution d’IAM cloud proposée. Ceci peut impliquer la synchronisation en temps réel, la fusion d’annuaires, et la migration des identités des utilisateurs et des droits d’accès.
  5. Déployez et configurez la solution d’IAM cloud sélectionnée. Ce processus inclut la configuration de méthodes d’authentification et des politiques et contrôles d’accès, ainsi que l’intégration de la solution avec les applications et services cloud.
  6. Prévoyez la formation des utilisateurs et l’assistance. Mener des sessions de formation à destination des employés et des administrateurs sur l’utilisation et la gestion de la solution d’IAM. Pensez à fournir de la documentation comme des FAQ et, à plus long terme, un service d’assistance.
  7. Surveillez et affinez en permanence. Implémentez des processus pour auditer et affiner la solution d’IAM, notamment la gestion des correctifs, les contrôles de conformité, les évaluations de sécurité et l’adaptation à l’évolution des menaces et aux tendances sectorielles.

Défis courants de l’IAM cloud

Vous trouverez ici quelques difficultés que votre équipe pourrait rencontrer lors de l’adoption d’une solution de gestion des identités et des accès (IAM) dans le cloud :

  • Un manque de flexibilité de la solution peut forcer à modifier largement les workflows existants et entraîner par ce fait une résistance à l’adoption des utilisateurs comme des équipes IT.
  • Une communication floue peut créer la confusion et même empêcher l’exécution de tâches nécessaires.
  • Les difficultés d’intégration avec des outils existants d’IAM peuvent compliquer la synchronisation en temps réel, la fusion des annuaires et la migration des identités des utilisateurs et des droits d’accès.
  • Des problèmes d’intégrité des données pendant la migration des identités des utilisateurs et des droits d’accès vers la nouvelle solution d’IAM peuvent affecter l’efficacité de l’implémentation.
  • Des contraintes de ressources – restrictions financières, disponibilité des équipes ou technologie inadaptée – peuvent causer des retards ou une mise en œuvre qui laisse à désirer.
  • Des attentes mal alignées sur les capacités de la solution d’IAM en mode cloud ou sur le niveau d’assistance du prestataire peuvent crisper les équipes IT comme les utilisateurs métiers.

Solutions d’IAM cloud : les candidats

Parmi les outils d’IAM cloud, vous voudrez sûrement évaluer ces leaders :

  • Solution d’IAM native cloud, la gestion des identités et des accès AWS sécurise les accès aux services AWS (Amazon Web Services).
  • Successeur d’Azure Active Directory, la solution cloud d’IAM Entra ID fournit l’authentification unique, l’authentification multifacteur et la gestion des accès pour les applications Microsoft et tierces.
  • JumpCloud est une plateforme d’annuaire cloud de gestion sécurisée des identités et des accès dans l’ensemble des environnements Windows, macOS et Linux. Ses fonctions comprennent le SSO et le contrôle d’accès basé sur les groupes.
  • Le service de gestion des identités cloud Okta offre l’authentification unique, l’authentification multifacteur, et la gestion du cycle de vie des identités de la clientèle et du personnel.
  • Ping Identity fournit une suite complète de solutions de gestion des identités et des accès, qui prend notamment en charge les serveurs d’annuaire, la fédération des identités et l’authentification multifacteur.

Conclusion

La disparition progressive du périmètre réseau classique oblige à mettre en œuvre une stratégie d’IAM robuste pour assurer la sécurité, la conformité et la continuité de l’activité. Les offres d’IAM cloud portent en elles de nombreux avantages comme le provisionnement automatique, l’accessibilité mondiale, l’évolutivité et l’intégration fluide aux applications cloud. Toutefois, pour qu’elle soit couronnée de succès, une implémentation d’IAM cloud exige une planification soigneuse, une communication efficace et une approche stratégique des points délicats comme l’intégrité des données pendant la migration et la résistance des utilisateurs à l’adoption. Avec la bonne solution d’IAM cloud et une planification minutieuse, les organisations peuvent gérer avec confiance les identités et les accès dans leur environnement hybride. Elles s’assurent ainsi du contrôle efficace et sécurisé des accès tout en favorisant agilité et croissance.

Foire aux questions

Qu’est-ce que l’IAM ?

La gestion des identités et des accès (IAM) consiste à gérer les identités et leurs autorisations d’accès aux applications, données, systèmes et autres ressources informatiques de l’entreprise. Elle inclut les outils, les politiques et les processus de provisionnement et de gouvernance des identités, d’authentification et d’autorisation.

Quel est le rôle de l’IAM dans le cloud computing ?

Avec l’avènement de l’informatique distribuée, les organisations doivent étendre l’IAM dans tout l’environnement IT hybride. De plus, adopter le cloud accroît le besoin de fonctions d’IAM comme le contrôle d’accès en fonction du rôle (RBAC), l’authentification unique (SSO), l’authentification multifacteur et la gestion des identités fédérées.

Comment créer une identité d’utilisateur dans l’IAM cloud ?

Créer une identité d’utilisateur dans une solution d’IAM en mode cloud revient à saisir les informations nécessaires dans le système d’IAM (nom d’utilisateur, rôles, site et n+1). Le système attribue un identifiant unique et des données d’authentification, avec éventuellement un mot de passe ou la configuration de l’authentification multifacteur.

Afficher les commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Articles recommandés
Tags populaires
Active Directory CISSP Conformité Cyber attack Cybersécurité Data governance GDPR Insider threat IT security Office 365 PowerShell Risk assessment SharePoint Windows Server
...