Ceux qui sont à la tête d’une entreprise ou qui aspirent à devenir un chef d’entreprise savent qu’aujourd’hui, la sécurité fait partie des grands enjeux. En effet, si vous suivez l’actualité, vous avez sûrement entendu parler des nombreuses cyberattaques dont le département Seine-Maritime en a récemment fait les frais, ce qui l’a notamment contraint de couper complètement ses réseaux. Si ces piratages informatiques ne peuvent malheureusement pas tous être évités, il est néanmoins possible de les limiter en mettant en place une solution sur la gestion des identités et des accès (IAM).
Voyons tout d’abord ce que c’est et comment s’y prendre pour bien gérer une solution de sécurité IAM.
A lire aussi : Argos 2.0 : se connecter au compte de IENT AC Bordeaux
Plan de l'article
Explications et définitions sur la gestion des identités et des accès
Lorsqu’on parle de la sécurité des systèmes d’information, on désigne la gestion des identités et des accès (IAM = Identity and Access Management) l’ensemble des processus qui vont être mis en place par une entité pour la gestion des accès de ses utilisateurs (= les membres de l’entreprise) à son système informatique ou encore à certaines de ses applications. Le principe consiste ainsi à savoir précisément qui a accès à quelles informations grâce notamment à un paramétrage des rôles utilisateurs.
Chaque membre de l’entreprise, quel que soit son rang, se verra alors doter d’une identité numérique. Mais au fait, c’est quoi une identité numérique ?
A découvrir également : Les dangers des réseaux Wi-Fi publics et comment les éviter
L’identité numérique, qu’est-ce que c’est ?
Si on met l’accent ici sur l’identité numérique, c’est parce que celle-ci joue un rôle majeur pour ce qui est de la gestion des identités et des accès. Celle-ci fait en effet référence aux informations d’authentification dont un utilisateur a besoin afin d’accéder à des ressources sur internet ou bien plus couramment à un réseau intranet souvent présent dans les moyennes et grandes entreprises. Une solution de sécurité IAM va ainsi se charger de faire correspondre ces informations d’authentification aux utilisateurs ou bien aux entités qui vont tenter d’accéder aux applications.
On appelle par ailleurs ces informations d’authentification les facteurs d’authentification et vous en avez certainement déjà utilisé lorsque vous avez effectué des achats en ligne ou que vous vous êtes connecté à votre compte bancaire en ligne. Voyons de manière plus précise de quoi il s’agit.
Quels sont les facteurs d’authentification communs aujourd’hui dans les IAM ?
De nos jours, il faut être conscient que les IAM cherchent davantage qu’autrefois à faire converger identité numérique avec identité physique. Autrement dit, il faut que l’identité numérique résulte d’une combinaison d’éléments que seul l’utilisateur physique est capable de fournir pour s’authentifier et avoir accès à des informations sensibles. Il devient alors plus difficile pour une personne malveillante de tenter de se faire passer pour un utilisateur authentifié, surtout si elle est située à distance (ce qui heureusement est très souvent le cas).
Pour s’y retrouver facilement, on distingue trois types de facteurs d’authentification qui sont les suivants.
- Les facteurs de connaissance qui correspondent à ce que l’utilisateur connaît (ou est censé connaître) au moment T. C’est le plus souvent son pseudonyme, ses mots de passe, mais aussi la réponse à une question de sécurité du type “quel est le nom de jeune fille de votre mère ?”.
- Les facteurs de possession qui font référence quant à eux à ce que l’utilisateur possède. Au sein de l’entreprise, cela pourra être un badge par exemple. Plus généralement, on pense aux jetons à usage unique envoyés par SMS.
- Les facteurs physiques qui représentent ce que l’utilisateur est dans sa chair. C’est-à-dire ses empreintes digitales, sa voix, sa signature, les traits de son visage…
Les clés pour bien gérer une solution de sécurité IAM
Maintenant que vous avez les bases en tête, vous pourriez vous dire que le plus simple est d’opter pour la sécurité maximale en utilisant si possible tous les types de facteurs d’authentification présents. Malheureusement, si cela devient trop contraignant, les membres de l’entreprise passeront un temps fou à s’identifier et à utiliser vos services informatiques. Il faut ainsi trouver le bon équilibre et voici quelques conseils pour que vous puissiez choisir au mieux ce qui pourrait vous convenir.
- Il n’existe pas de moyen d’authentification universel au sein d’une organisation donnée. Cela signifie qu’avant de penser à équiper vos utilisateurs, il va falloir tenir compte de beaucoup de paramètres différents. Cela pourra être leur branche de métier, leur environnement de travail, leur aisance avec les outils du numérique… Ainsi, dans une même entreprise, il est normal que les différentes populations s’authentifient de manières différentes, ne cherchez pas à tout unifier.
- N’oubliez pas que vous avez affaire à des êtres humains qui ne sont pas infaillibles. En cas d’oubli de mot de passe, quelle solution de rechange proposer pour permettre tout de même l’authentification ?
- Choisissez dans la mesure du possible des méthodes d’authentification ouvertes qui sont basées sur des standards fiables et éprouvés. Il faut notamment qu’elles soient conformes aux législations en vigueur, sinon vous pourriez être poursuivi.