21 avril 2021

« IAM, PAM et IAG : pour une solide sécurité des accès »

IAM PAM IAG

Il apparaît que les organisations sont de plus en plus sous pression : elles doivent se protéger des risques de cyberattaques en forte augmentation, et sont contraintes par des réglementations de plus en plus strictes.

La multiplication, ces dernières années, des solutions de sécurisation des accès nous donne l’occasion de mettre en lumière la combinaison possible des solutions complémentaires (IAM, PAM et IAG), permettant de répondre à toutes les exigences de productivité et de sécurité dans le domaine des habilitations.

De quoi parle-t-on ?

IAM, PAM, IAG… le monde de la Cybersécurité déborde d’acronymes et de sigles, il est parfois difficile de s’y retrouver.

Dans un premier temps, il convient de rappeler la définition de ces acronymes anglais, utilisés par ailleurs tel quel en français la plupart du temps :

  • IAM : Identity and Access Management (Management des Identités et des Accès)
  • PAM : Privileged Access Management (Management des Accès à Privilège)
  • IAG : Identity and Access Governance (Gouvernance des Identités et des Accès)

Le terme qui se fait remarquer est donc « accès », qui peut être remplacé par habilitation ou autorisation.

Néanmoins, de quel accès est-il question ? de quel utilisateur ? de quel service informatique ? à quelle ressource informatique souhaite-t-on accéder ? avec quelle autorisation ? et surtout, pour quelle raison ?

Ces solutions complémentaires apportent des réponses à ces questions.

L’IAM : brique essentielle de la sécurité des accès

Les solutions d’IAM incluent des fonctionnalités permettant de gérer les identités numériques, le cycle de vie des comptes d’utilisateurs (standard ou à privilèges) et leur authentification.

Une identité est un ensemble de données de fait et de droit qui permettent d’individualiser quelqu’un (date et lieu de naissance, nom, prénom…).

L’identité numérique est donc constituée de justificatifs d’identifications, qui sont essentiellement des ensembles de données et de métadonnées qui représentent un individu unique.

Un compte d’utilisateur donne l’accès à des ressources informatiques.

Il ne peut être exploité qu’en s’enregistrant auprès d’un système à l’aide de son identifiant et de son authentifiant, tel qu’un mot de passe.

Un compte utilisateur standard n’est pas censé accorder d’accès sensible, contrairement à un compte utilisateur à privilège, que nous verrons dans la prochaine rubrique.

L’authentification est une fonctionnalité qui permet à l’utilisateur de prouver son identité sur le Système d’Information.

Ce mécanisme est utilisé afin de prévenir les intrusions (accès non souhaité) qui pourraient constituer une menace. 

L’objectif de l’IAM est de créer un référentiel unique qui centralise les identités numériques, les comptes utilisateurs et leurs autorisations.

A cela s’ajoute la mise en place et le suivi d’un modèle d’habilitations au sein de l’organisation, afin de cartographier les besoins réels d’autorisations des différentes lignes métiers.

En effet, le modèle d’habilitations est porté par l’attribution de profils métiers contenant des autorisations d’accès à de multiples ressources informatiques.

Cette méthode apporte un gain de productivité et de sécurité en cas d’arrivée, de mobilité ou de départ des collaborateurs. Cela répond aussi à une bonne pratique de sécurité des accès qui consiste à accorder les autorisations strictement nécessaires à l’activité des collaborateurs de l’entreprise.

Ainsi, l’IAM permet de faciliter la gestion des authentifications, passage obligé pour l’accès à une ressource informatique.

Un ensemble de produits nécessitant une bonne solution d’IAM : le PAM

La gestion de l’accès privilégié (PAM) fait référence à une classe de solutions qui aident à sécuriser, contrôler, gérer et surveiller l’accès privilégié aux actifs essentiels de l’entreprise.

Pour atteindre ces objectifs, les solutions PAM placent les informations d’identification des comptes utilisateurs dans un référentiel sécurisé (un coffre-fort) isolant l’utilisation de comptes privilégiés afin de réduire le risque de vol de ces informations d’identification.

Les utilisateurs et les administrateurs doivent ensuite passer par le système PAM pour accéder à leurs informations d’identification, ainsi que pour se connecter aux ressources (locales ou distantes).

Le PAM permet de diminuer les risques d’attaques car il permet de superviser toutes les actions des comptes, qu’ils soient nominatifs ou partagés et d’enregistrer leurs connections et leurs sessions. En cas de cyber attaque, il est ainsi possible de connaître précisément l’ampleur des dommages et de faire preuve de résilience.

Comment tout cela est-il contrôlé avec l’IAG ?

L’IAG quant à lui, permet de répondre à la croissance des enjeux et des objectifs de gouvernance, de gestion des risques et de conformité.

Les solutions d’IAG sont des tours de contrôle qui aident à surveiller et à détecter les objets d’habilitations les plus vulnérables comme par exemples : les comptes orphelins, les comptes dormants et les comptes locaux.

L’IAG permet également de garantir l’intégrité d’un modèle d’habilitations en vigueur, en mesurant les accès managés par l’IAM et les accès protégé par le PAM.

L’IAG apporte une force d’organisation formelle lié aux processus de contrôle d’accès entre les différents acteurs du Système d’Information.

Il permet notamment d’industrialiser le pilotage des plans de remédiation afin de corriger les non-conformités avérées, par exemple vis-à-vis de la  Politique de Sécurité du Système d’Information, et d’aider les dirigeants à la prise de décision ou bien pour justifier la conformité des habilitations en cas d’audit interne ou externe.

Illustration organisationnelle

La gestion, le contrôle et la gouvernance des habilitations sont des thèmes intégrés dans la stratégie de management des risques. Particulièrement, si le Système d’Information de l’entreprise contient un volume important d’actifs, soumis à des normes ou des exigences réglementaires.

La majorité des grandes entreprises ont par conséquent adopté des solutions d’IAM, de PAM et d’IAG, qui visent à faciliter la couverture des risques liés à l’administration générale des habilitations.

Le déploiement d’un vaste programme d’amélioration, ou de renforcement de la cybersécurité, permet d’intégrer ces solutions dans un écosystème existant.

L’ensemble des métiers d’une entreprise en sont parties prenantes, et sont sollicités à apporter leur contribution à ces projets d’envergure.

Un tel programme de transformation doit être accompagné d’une conduite du changement, de la phase initiale jusqu’à la phase de restitution, et même parfois haut-delà.

Dans l’idéal, le management des accès (IAM, PAM) est pris en charge par une cellule dédiée à la sécurité opérationnelle.

La gouvernance et le contrôle des accès (IAG) sont dirigés par la fonction de Responsable de la Sécurité des Systèmes d’Information, ayant la possibilité de déléguer certaines missions à d’autres fonctions.

En l’occurrence, l’objectif est bien de séparer les autorités de gestion, de contrôle et de gouvernance des habilitations.

L’attraction des solutions de sécurité d’accès

Depuis quelques années, des fournisseurs multinationaux de plateformes et de services, comme Amazon, Microsoft et Google, ont anticipé le développement de ces solutions qui peuvent être inclues dans leur suite de logiciels.

Cependant, d’autres fournisseurs se sont spécialisés dans l’édition, l’intégration et la commercialisation des produits IAM, PAM et IAG.

Exemples de solutions d’éditeurs spécialisés :

  • IAM : Sailpoint, Usercube
  • PAM : Cyberark, Wallix
  • IAG : Kleverware, Brainwave

Les dernières actualités démontrent que les besoins en matière de cybersécurité ne font que croître. Cette situation est à mettre en parallèle avec le nombre grandissant de solutions IAM, PAM et IAG.

Mieux vaut se prémunir que guérir

Le contrôle d’accès est une ligne de défense indispensable qui protège le Système d’Information contre les dysfonctionnements liés au facteur humain, et aux utilisations frauduleuses des accès.

Un tiers des entreprises auraient subi une perte de données causée par l’insuffisance de leur système de gestion des habilitations, mais aussi par une mauvaise hygiène de leur Système d’Informations.

Cela ne concerne pas seulement les collaborateurs internes à l’entreprise, en effet, les acteurs externes (clients, partenaires ou fournisseurs) viennent élargir la surface d’attaque.

Un système de gestion et de contrôle d’accès défaillant peut donc représenter une menace sérieuse et avoir de lourdes de conséquences pour une entreprise. A l’inverse, un système qui fonctionne bien et qui est supervisé permet de piloter efficacement la sécurité des habilitations, et réduire de manière notable les risques associés.

Rédigé par Antoine POPON, consultant confirmé BSSI

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *