Évitez les pièges des systèmes de gestion des identités et des accès
Louis Philip Morin Louis Philip Morin
5 mars 8 min

Évitez les pièges des systèmes de gestion des identités et des accès

Dans la plupart des organisations, l’intégration de nouveaux employés est un processus continuel. À l’arrivée de nouveaux membres du personnel s’ajoutent les changements de rôle ou d’équipe des employés en place. Chaque fois, cela nécessite une gestion des identités et des accès (GIA) adéquate afin de leur donner accès aux logiciels et aux systèmes dont ils ont besoin.

Cependant, la GIA peut être chronophage et complexe pour les administrateurs qui doivent fournir les bonnes autorisations aux membres du personnel. Ils doivent s’assurer que chaque employé a tout ce dont il a besoin pour accomplir ses tâches efficacement, mais aussi limiter les accès pour maintenir la sécurité des systèmes et des données critiques.

Dans cet article, nous examinerons comment la gestion des identités et des accès s’inscrit dans la cybersécurité d’une organisation ainsi que les dangers d’une gestion inadéquate, les défis à relever et une solution pour vous aider à les surmonter.

Commençons par établir ce que signifie réellement la gestion des identités et des accès.

En quoi consiste la gestion des identités et des accès ?

La gestion de l’identité des utilisateurs et de leur accès à vos systèmes et logiciels est un élément fondamental de la sécurité de votre organisation. Vos employés doivent pouvoir accéder à vos systèmes, à vos applications et à vos données et les utiliser. Si vous ne leur fournissez pas un accès adéquat, vous nuirez à leur efficacité au travail et, en fin de compte, limiterez la productivité de votre organisation.

Votre organisation doit se doter d’un ensemble de politiques qui précisent :

  • le processus d’identification et d’authentification des utilisateurs ainsi que les autorisations qui leur sont attribuées ;
  • quels systèmes, quelles données et quelles autres parties du système informatique de votre organisation sont régis par la GIA ;
  • quels niveaux d’accès s’appliquent aux différents types de données, de systèmes et de lieux ;
  • les procédures d’ajout, de suppression et de modification des accès des personnes ou des rôles dans le système GIA.

S’il est essentiel d’offrir un accès suffisant aux utilisateurs autorisés, il est tout aussi important d’interdire l’accès à vos systèmes, données et applications aux utilisateurs non autorisés afin d’éviter les fuites de données et autres conséquences préjudiciables. Une gestion des identités et des accès inadéquate pourrait même soulever des problèmes de conformité pour votre organisation, ce qui peut avoir des conséquences graves et coûteuses en cas d’audit.

Nous allons maintenant examiner ces risques plus en détail.

Risques pour la sécurité, difficultés d’audit et autres

Un rapport publié en 2019 par Verizon indique que 34 % des violations de données étudiées impliquaient des acteurs internes alors que la firme Security Intelligence a publié un article montrant que près de 75 % des atteintes à la sécurité étaient le résultat de menaces internes.

L’écart entre ces deux pourcentages est dû aux différences de conception des « menaces internes » proprement dites. De nombreuses définitions de l’expression « menaces internes » (car il n’y a pas de source unique fiable pour cette définition) considèrent qu’un étranger utilisant le compte et le mot de passe d’une personne à l’interne constitue une menace interne, notamment lorsque la faute est imputable à cette personne (mots de passe faibles ou volés, dispositifs laissés sans surveillance, etc.).

Illustrant cette menace, une enquête de Cybersecurity Insiders a révélé que 90 des organisations interrogées se sentaient vulnérables aux attaques internes. L’un des principaux facteurs de risque relevés était le trop grand nombre d’utilisateurs disposant de privilèges d’accès démesurés.

Voici les trois principaux facteurs qui expliquent pourquoi certains utilisateurs ont accès à trop de données et à trop d’applications :

  • Manque de clarté de la définition des rôles ainsi que des exigences et restrictions d’accès ;
  • Mauvaise classification de l’identité pour un employé et son rôle ;
  • Attribution aux utilisateurs d’un accès complet à toutes les données et à toutes les applications.

Les audits de sécurité des données sont plus difficiles à réaliser lorsque vous utilisez différents systèmes plutôt qu’une solution centrale et unifiée. La vérification des exigences et des restrictions d’accès d’un utilisateur peut nécessiter l’analyse de plusieurs systèmes, de la façon dont ils fonctionnent et de leur intégration avec les bases de données pertinentes. Plus le nombre d’utilisateurs à vérifier est élevé, plus le processus est complexe et prend du temps.

Si vous ne centralisez pas votre GIA et ne rationalisez pas vos efforts avec des solutions de gestion des identités et des accès, la gestion du cycle de vie des identités peut être compromise. Si les administrateurs n’utilisent pas un registre central qui se synchronise automatiquement avec les systèmes afin de tenir à jour les identités et les accès dans tous les services informatiques, ils devront effectuer de nombreuses opérations manuelles comme l’ajout des nouveaux utilisateurs, la suppression des anciens et la modification des utilisateurs existants.

Cependant, si l’absence d’un système de gestion des identités et des accès comporte certaines difficultés, la pratique d’une bonne gestion des identités et des accès présente également des défis que nous allons maintenant examiner.

Les défis de la gestion des identités et des accès

Tout système est aussi efficace que la personne qui l’utilise. Assailli de demandes de gestion des identités et des accès, le personnel informatique débordé peut commettre des erreurs dans l’attribution des privilèges d’accès ou simplement ne pas en savoir assez sur l’employé ou sur son rôle pour lui assigner des droits adéquats.

La minutie requise pour vérifier les identités et approuver les demandes d’accès ralentit le processus, et ce dernier est encore plus lent lorsque les données se trouvent dans des services et des lieux différents. Même un système de GIA bien intégré et centralisé ne simplifie pas ce processus lorsque la multiplication des demandes, des systèmes et des droits associés entraîne une surcharge de renseignements. Ces entraves à l’attribution des autorisations deviennent des goulots d’étranglement, ce qui empêche les administrateurs de gérer les accès et les employés d’accéder aux données et aux systèmes dont ils ont besoin.

Bien que la mise en œuvre d’un système de GIA soit plus sécuritaire qu’une gestion manuelle et que les solutions de GIA puissent simplifier les procédures, ces défis révèlent que la gestion traditionnelle des identités et des accès peut rencontrer des obstacles.

Les systèmes d’IA au service de la GIA

Heureusement, l’IA peut maintenant aider le personnel informatique à régler les questions les plus laborieuses de la gestion du contrôle des accès. Lorsqu’il y a trop de données à consulter pour établir le bon contexte ou le bon modèle, la contribution d’un système d’apprentissage automatique qui comprend votre organisation et les besoins d’accès de votre personnel peut être précieuse.

Element AI a conçu un système qui est en mesure d’apprendre les conditions d’accès typiques des employés, de proposer des rôles et de prédire les changements. Notre système prend en charge ces tâches quotidiennes de gestion des accès et libère ainsi les administrateurs qui peuvent traiter les demandes d’accès urgentes qui requièrent toute leur attention.

Cette solution met continuellement à jour les demandes d’accès de base préautorisées en fonction des profils des employés et des équipes. Cela permet d’améliorer l’efficacité de votre organisation en donnant le bon accès aux données à la bonne personne au bon moment.

L’application de l’IA à la gestion des identités et des accès peut changer bien des choses pour votre personnel informatique et toute votre entreprise. Déterminant pour l’évolution de la GIA et de la gouvernance et administration des identités, cela sera aussi essentiel pour maintenir l’attribution des privilèges d’accès de votre organisation sur la bonne voie.