Alors que les organisations dépendent de plus en plus de ressources numériques et des données qu’elles traitent, elles veulent s’assurer que seuls des utilisateurs autorisés accèdent à ces ressources. Ce n’est pas une mince tâche. « Il suffit de voir, ces dernières années, l’avalanche des nouvelles révélant des brèches de sécurité dans les grandes entreprises privées et les organisations publiques : un identifiant-utilisateur compromis est la cause la plus fréquente de ces brèches », remarque Maher Chaar, partenaire associé, gestion de l’identité et des accès, d’IBM Canada.
À mesure que les brèches se multiplient, la gestion des identités et des accès (GIA) émerge comme une composante majeure dans la stratégie de cybersécurité des entreprises. Bien sûr, diverses mesures de sécurité sont implantées depuis longtemps. Mais l’accumulation successive de systèmes informatiques et d’équipements de production leur a fait perdre leur efficacité.
Chaque système ayant son propre système de contrôle d’accès, les employés doivent créer et retenir une multitude de mots de passe. Les systèmes les contraignent à respecter un nombre de caractères minimal, à utiliser des caractères autres que des lettres, et à modifier périodiquement leurs mots de passe.
Pour les utilisateurs, ces contraintes sont une source de frustration. Elles les incitent à tourner les coins ronds en adoptant des pratiques non sécuritaires : mots de passe similaires utilisés pour plusieurs systèmes, parfois même partagés entre plusieurs utilisateurs ; codes d’accès écrits sur un bout de papier et laissés à proximité des appareils ; etc.
L’arrivée de l’infonuagique et la généralisation des appareils mobiles ont ajouté un degré de complexité à la gestion des accès. Les utilisateurs accèdent aux systèmes de l’extérieur des bureaux de l’entreprise, à partir de divers appareils, et ils interagissent autant avec des systèmes installés dans l’entreprise qu’avec d’autres logés dans le nuage, alors que l’entreprise n’a pas un plein contrôle sur la façon dont ses fournisseurs infonuagiques gèrent la sécurité des ressources informatiques louées à leurs clients.
Dans un tel contexte, il devient impératif d’instaurer un programme de GIA. « Le principe de la GIA est simple, résume Roger Ouellet, concepteur de solutions senior, responsable de la pratique de sécurité chez NOVIPRO. Elle consiste à s’assurer que les gens qui accèdent aux systèmes sont bien ceux qu’ils disent être ; puis, à leur donner un accès qui correspond aux ressources dont ils ont besoin pour leur travail, et seulement à celles-là. »
Conceptuellement, deux étapes sont nécessaires pour instaurer un programme de GIA :
- définir les règles organisationnelles qui doivent s’appliquer pour gérer les identités numériques ;
- mettre en place les technologies nécessaires pour exercer et faire respecter ces règles.
Partir de la « confiance zéro » pour établir des règles d’accès
L’analyse des besoins de sécurité vise d’abord à définir les rôles qu’un utilisateur doit jouer dans l’organisation, du point de vue des ressources numériques qu’il doit utiliser pour son travail. « Ces rôles ne correspondent pas forcément à la définition du poste occupé par l’employé, note Roger Ouellet. Les entreprises sont habituées à segmenter les postes en fonction des relations hiérarchiques et des livrables, et non selon le fait de devoir accéder à tel système pour manipuler telle catégorie de données. »
À chaque rôle correspondent des règles d’accès précises. Celles-ci étaient auparavant conçues comme des restrictions par rapport à un accès complet. « Par défaut, un employé avait accès à tout, et on lui enlevait les droits d’accès qui ne lui étaient pas nécessaires », explique Roger Ouellet. Ce paradigme est aujourd’hui remplacé par une approche qui part d’un principe inverse, documenté par la firme de recherche Forrester : la confiance zéro (zero trust). « En suivant ce principe, un utilisateur n’obtient un accès à un système que si son rôle le justifie, continue Roger Ouellet. Cette méthode évite de laisser des angles morts en donnant des accès qui ne sont pas justifiés et qu’on oublie de surveiller par la suite parce qu’ils ne correspondent pas à des processus de travail attendus. »
Un éventail des technologies coordonnées et intégrées
Un bouquet de technologies permettent de mettre en pratique les règles d’accès établies. Pour une GIA complète, les fonctionnalités souhaitables comprennent notamment :
- Un annuaire centralisé — Il répertorie tous les utilisateurs, internes ou externes, qui peuvent bénéficier d’un accès à l’un des systèmes de l’entreprise. La mise à jour de cet annuaire permet de faciliter un accueil sécuritaire des nouveaux employés et consultants et le départ des anciens.
- L’authentification unique — Elle permet à un utilisateur de s’identifier une seule fois, au début de sa session de travail, pour obtenir d’un coup l’accès à l’ensemble des systèmes auxquels son rôle l’autorise, sans qu’il doive entrer par la suite de nouveaux codes d’authentification chaque fois qu’il passe d’un système à un autre.
- L’authentification multifacteur — Elle demande à l’utilisateur de s’identifier par au moins deux moyens différents. Par exemple, un utilisateur pourrait entrer un mot de passe personnel et, en parallèle, s’identifier également en fournissant une empreinte digitale. L’authentification multifacteur réduit beaucoup le risque qu’un utilisateur non autorisé s’infiltre dans un système.
- La gestion des accès à privilèges — Certains utilisateurs ont des privilèges qui dépassent la simple consultation ou utilisation d’un système : ils peuvent, par exemple, accéder à des données confidentielles, modifier des configurations, créer ou supprimer des comptes d’utilisateurs, ou installer ou désinstaller des applications. L’attribution et la révocation de ces privilèges méritent une gestion rigoureuse, et la façon dont chaque utilisateur use de ces privilèges peut être automatiquement surveillée et consignée dans un journal.
- Une voûte de mots de passe — Elle conserve tous les mots de passe des utilisateurs sous forme chiffrée dans un serveur sécurisé. Couplée à un système d’authentification unique, elle permet à l’utilisateur qui s’est identifié une fois d’utiliser, sans les voir ni les manipuler, les mots de passe correspondant aux systèmes auxquels il a besoin d’accéder durant sa session.
Toutes les technologies liées à la gestion des identités et des accès doivent être orchestrées au sein d’un programme qui assure l’exécution des règles de GIA. « Un programme de GIA efficace permet d’authentifier de façon certaine l’identité des usagers pour leur appliquer une gouvernance de sécurité, et ce, de manière intégrée et cohérente à l’échelle de toute l’entreprise, conclut Maher Chaar, d’IBM Canada. Ainsi, l’entreprise peut exercer un niveau approprié de contrôle d’accès et de sécurité sans pour autant nuire à la productivité des utilisateurs ni les contraindre à des expériences pénibles lorsqu’ils se connectent au réseau. »
Lire le dernier article de notre dossier "La sécurité, un enjeu d'entreprise" : Cybersécurité : les technologies essentielles pour l’entreprise