Dans un article de 2009 intitulé « Gérer l’identité : un défi mondial, notes du Département de la Sécurité intérieure des États-Unis » (Secrétaire du Département de la Sécurité intérieure des États-Unis), M. Chertoff affirme que l’un des plus grands défis de ce nouveau siècle concerne l’identité. Selon un rapport de Gartner, les lacunes en matière de gestion des identités entraînent des pertes de plusieurs milliers de milliards de dollars chaque année, un phénomène qui s’accentue avec l’essor des nouvelles technologies telles que les médias sociaux et le cloud computing. D’après un rapport de Forrester Research, Inc., le marché mondial de la gestion des identités représentait 3 800 milliards de dollars fin 2009 et devait croître de 13 % entre 2010 et 2013 pour dépasser les 12 000 milliards de dollars en 2014, avec 57 % pour les logiciels et 43 % pour les services. Par ailleurs, fin 2013, la région EMEA devait dominer le marché mondial avec 40 % du total. Le rôle de la gestion des identités est de : gérer les identifiants, gérer l’accès des utilisateurs aux ressources technologiques (matériel, logiciels et services), réduire le nombre de noms d’utilisateur et de mots de passe, lier les noms d’utilisateur et les mots de passe à des personnes réelles, permettre un processus défini et reproductible pour demander et accorder l’accès aux systèmes, permettre des examens d’accès planifiés, assurer la cohérence dans l’octroi de l’accès aux systèmes, automatiser la charge administrative associée à l’octroi de l’accès aux systèmes, fournir aux personnes les bonnes informations au bon moment pour faire leur travail, etc.
La gestion des identités au sein d'une organisation intègre de nombreuses fonctionnalités telles que l'identification des entités (personnes, services, etc.), l'authentification multifacteurs, l'autorisation, le suivi des accès aux services et ressources, ainsi que l'attribution et la suppression des identités (pour différents types de comptes utilisateurs : utilisateurs finaux, administrateurs d'applications, administrateurs informatiques, superviseurs, développeurs, administrateurs de comptes, etc.). Les privilèges définissent les actions qu'une entité peut effectuer (lecture, exécution, écriture, etc.). Les rôles, quant à eux, précisent la nature de l'entité (super-administrateur, invité, responsable RH, employé, personnel externalisé, etc.) et peuvent servir à la gestion des privilèges basée sur des politiques. Ces deux concepts sont complémentaires pour l'autorisation. Parmi les questions essentielles à se poser : comment les utilisateurs exploitent-ils les services auxquels ils ont accès ? Sont-ils membres de l'entreprise et, si oui, quel est leur rôle ? Disposent-ils des autorisations minimales nécessaires pour agir conformément au modèle économique établi ? Comment leur vie privée est-elle protégée ?
Caractérisation et évolution de la gestion des identités
La gestion des identités, également appelée IAM ou simplement IdM (gestion des identités), peut être définie selon de nombreuses perspectives différentes :
(1) La gestion des identités est un cadre architectural permettant de maintenir un ensemble complet d'informations d'identité pour les individus dans divers contextes professionnels. Elle unifie les données d'identité disparates afin d'améliorer la cohérence, l'exactitude et la sécurité des systèmes et des données de manière efficace. La gestion des identités requiert l'intégration de technologies telles que les annuaires, l'authentification unique (SSO), le provisionnement des utilisateurs (réduisant les coûts du support technique) et l'administration déléguée, ainsi que la coordination avec les processus métier liés à la gestion des informations utilisateur, des droits d'accès et des politiques associées.
2) La gestion des identités englobe diverses fonctionnalités (une suite multifonctionnelle) qui gèrent : les comptes utilisateurs, les droits d’accès, les mots de passe, l’authentification, l’autorisation, etc. La gestion des identités (IdM) est responsable de la gestion des identités (création, modification ou suppression ; synchronisation des mots de passe ; réinitialisation des mots de passe en libre-service ; flux de travail et délégation), du contrôle d’accès (contrôle d’accès basé sur les rôles, contrôle d’accès basé sur les politiques, ESSO (authentification unique d’entreprise), fédération, RSSO (authentification unique réduite), WSSO (authentification unique Web)), des services d’annuaire (les annuaires sont un composant d’infrastructure critique contenant des référentiels d’identités, des services de réplication/synchronisation des métadonnées et la virtualisation des annuaires), de la séparation des tâches (essentielle pour les contrôles internes ; elle met en œuvre la vérification individuelle ; réduit les risques liés aux actions individuelles ; elle facilite l’audit et la conformité), et de l’audit et de la conformité. La gestion des identités comprend trois paradigmes : (i) Identité pure. Ce paradigme se concentre uniquement sur l’identité et sa gestion : création, suppression et mise à jour des identités. Il est à noter que les droits d’accès ne sont pas définis. (ii) Accès utilisateur. Ce point concerne l'utilisation de l'identité numérique, généralement unique. Une identité unique simplifie la surveillance et la vérification. Cela inclut l'authentification, l'autorisation, ainsi que la journalisation, l'audit et la production de rapports. (iii) Services. Ce point concerne les ressources utilisées pour déployer les services ; par exemple, les serveurs, les applications, les périphériques réseau, les VPN, etc. Il permet une vision plus globale et plus étendue, généralement du point de vue de l'équipe d'audit/conformité. Une structure en couches peut être représentée, avec les employés occupant la couche la plus interne, entourée d'une autre couche de comptes utilisateurs, elle-même entourée d'une couche externe contenant les applications.
(3) Selon le Burton Group, la gestion des identités (IdM) se définit comme l'ensemble des processus métier et de l'infrastructure qui prennent en charge la création, la maintenance et l'utilisation des identités numériques. Les fonctions essentielles de l'IdM sont l'établissement de l'identité (vérification et enquête sur l'identité) ainsi que l'authentification et l'autorisation des utilisateurs. L'infrastructure sous-jacente à ces fonctions comprend les services d'annuaire, l'authentification unique (SSO), l'automatisation des autorisations basée sur les rôles et les privilèges, et la fédération d'identités.
(4) Selon The Open Group, la gestion des identités (IAM) résulte de la convergence de technologies et de processus métier ; par conséquent, il n'existe pas d'approche unique en matière de gestion des identités, car la stratégie doit refléter les exigences spécifiques du contexte métier et technologique de chaque organisation.
(5) La gestion des identités et des accès (IAM) englobe divers facteurs, notamment : (i) les processus de création d’une identité électronique pour chaque individu ; (ii) les relations entre les individus et l’institution ; (iii) la déclaration de ces identités électroniques et des relations permettant l’accès aux ressources ; (iv) les technologies assurant le fonctionnement sécurisé et efficace des services IAM. En d’autres termes, une infrastructure de gestion des identités est un ensemble de technologies et de politiques permettant aux systèmes informatiques en réseau de déterminer qui y a accès et à quelles ressources une personne est autorisée à accéder, tout en protégeant la vie privée des individus et l’accès aux informations confidentielles. L’IDaaS (Identity as a Service) désigne la gestion des identités dans le cloud, en dehors des applications (et même des fournisseurs) qui les utilisent. L’analyse de l’évolution de l’IAM révèle plusieurs stades de maturité, du plus ancien au plus récent : (a) Stade 1 : L’application conserve des informations d’identité et des identifiants uniques pour chaque utilisateur. (b) Stade 2 : Les identifiants sont centralisés, par exemple avec Kerberos ou LDAP/Active Directory, mais les applications conservent l’ensemble des informations d’identité des utilisateurs. (c) Étape 3. Les informations d'identification et d'identité de base sont centralisées et l'application ne conserve que les données utilisateur spécifiques à l'application.
Technologies intégrées à un système IAM :
Un système IAM combine plusieurs technologies : (1) Mise en place d’une infrastructure de données d’identité. Celle-ci inclut les fonctionnalités qui constituent la couche d’information d’identité : annuaires, méta-annuaires et annuaires virtuels. (2) Gestion des comptes et des privilèges. Celle-ci inclut les fonctionnalités de gestion des comptes utilisateurs, de leurs attributs et informations d’identification, avec provisionnement/déprovisionnement, gestion des rôles, gestion des mots de passe et gestion des utilisateurs privilégiés. Les fonctionnalités d’administration en libre-service et déléguée sont également intégrées. (3) Contrôle d’accès aux ressources TIC. Ce système coordonne l’accès des utilisateurs à plusieurs applications via l’authentification unique d’entreprise (ESSO), l’authentification unique Web (WSSO) et la fédération. La gestion des droits est également incluse. (4) Audit des accès et des activités administratives. Les organisations ont besoin de fonctionnalités d’audit d’identité pour démontrer que les contrôles d’accès et l’administration des comptes sont effectués conformément aux politiques en vigueur. Ces fonctionnalités combinent et mettent en corrélation les activités et les événements sur l’ensemble de l’infrastructure d’identité, et attestent les privilèges afin de certifier que les privilèges associés à un utilisateur sont corrects. La gestion des rôles est également incluse, permettant de codifier les politiques et de valider leurs applications. (5) Pour une authentification robuste et basée sur les risques, utilisant des cartes à puce, des certificats numériques, la biométrie, etc.
Considérations finales.
Notre groupe de recherche travaille depuis plus de vingt ans sur la gestion des identités et des utilisateurs, un domaine en constante évolution où nous avons abordé le développement et la synthèse d'outils, ainsi que l'analyse et l'évaluation de systèmes et de déploiements pratiques, et la réalisation de tests de scénarios visant à minimiser les attaques de plus en plus sophistiquées telles que le détournement d'identité/de session et d'autres formes de vol.
Cet article s'inscrit dans le cadre des activités menées au sein du réseau thématique LEFIS.
Bibliographie
Areitio, J. « Sécurité de l’information : réseaux, informatique et systèmes d’information ». Cengage Learning-Paraninfo. 2011.
Areitio, J. et Areitio, A. « Nouvelles approches dans l’analyse de la technologie des pare-feu, un composant essentiel de la sécurité des réseaux ». Conectrónica Magazine. N° 122. Novembre 2008.
Paschoud, J. « Gestion des accès et des identités : contrôler l’accès à l’information en ligne ». Éditions Neal-Schuman. 2010.
Takahashi, K. « Gestion des identités : concepts, technologies et systèmes ». Éditions Artech House. 2011.
Todorov, D. « Mécanismes d’identification et d’authentification des utilisateurs : principes fondamentaux de la gestion des identités ». Éditions Auerbach. 2007.
Buecker, A., Annas, A., Faustini, A. et Sanui, T. « Conception avancée de la gestion des identités pour IBM Tivoli Identity Manager ». IBM.com/Redbooks. 2006.
Benantar, M. « Systèmes de contrôle d’accès : sécurité, gestion des identités et modèles de confiance ». Springer. 2005.
Williamsar, G., Yip, D., Sharoni, I. et Spaulding, K. « Gestion des identités : une introduction ». McPress. 2009.
Scheidel, J. « Conception d’un cadre IAM avec Oracle Identity and Access Management Suite ». McGraw-Hill. Osborne Media. 2010.
Windley, PJ « Identité numérique ». O’Reilly Media, Inc. 2005.
Birch, D. « Gestion des identités numériques : implications technologiques, commerciales et sociales ». Ashgate Publishing. 2007.
Santuka, V., Bauga, P. et Carroll, BJ « Sécurité de la gestion des identités AAA ». Cisco Press. 2010.
Auteurs :
Prof. Dr. Javier Areitio Bertolín – E.Mail :
Professeur à la Faculté d'ingénierie.
Directeur du groupe de recherche sur les réseaux et les systèmes. Université de Deusto.
Prof. Dr. Ana Areitio Bertolín – E.Mail :
Laboratoire d'informatique appliquée. Université du Pays basque (UPV/EHU)
