Alors que les organisations dépendent de plus en plus de ressources numériques et des données qu’elles traitent, elles veulent s’assurer que seuls des utilisateurs autorisés accèdent à ces ressources. Ce n’est pas une mince tâche. « Il suffit de voir, ces dernières années, l’avalanche des nouvelles révélant des brèches de sécurité dans les grandes entreprises privées et les organisations publiques : un identifiant-utilisateur compromis est la cause la plus fréquente de ces brèches », remarque Maher Chaar, partenaire associé, gestion de l’identité et des accès, d’IBM Canada.
À mesure que les brèches se multiplient, la gestion des identités et des accès (GIA) émerge comme une composante majeure dans la stratégie de cybersécurité des entreprises. Bien sûr, diverses mesures de sécurité sont implantées depuis longtemps. Mais l’accumulation successive de systèmes informatiques et d’équipements de production leur a fait perdre leur efficacité.
Chaque système ayant son propre système de contrôle d’accès, les employés doivent créer et retenir une multitude de mots de passe. Les systèmes les contraignent à respecter un nombre de caractères minimal, à utiliser des caractères autres que des lettres, et à modifier périodiquement leurs mots de passe.
Pour les utilisateurs, ces contraintes sont une source de frustration. Elles les incitent à tourner les coins ronds en adoptant des pratiques non sécuritaires : mots de passe similaires utilisés pour plusieurs systèmes, parfois même partagés entre plusieurs utilisateurs ; codes d’accès écrits sur un bout de papier et laissés à proximité des appareils ; etc.
L’arrivée de l’infonuagique et la généralisation des appareils mobiles ont ajouté un degré de complexité à la gestion des accès. Les utilisateurs accèdent aux systèmes de l’extérieur des bureaux de l’entreprise, à partir de divers appareils, et ils interagissent autant avec des systèmes installés dans l’entreprise qu’avec d’autres logés dans le nuage, alors que l’entreprise n’a pas un plein contrôle sur la façon dont ses fournisseurs infonuagiques gèrent la sécurité des ressources informatiques louées à leurs clients.
Dans un tel contexte, il devient impératif d’instaurer un programme de GIA. « Le principe de la GIA est simple, résume Roger Ouellet, concepteur de solutions senior, responsable de la pratique de sécurité chez NOVIPRO. Elle consiste à s’assurer que les gens qui accèdent aux systèmes sont bien ceux qu’ils disent être ; puis, à leur donner un accès qui correspond aux ressources dont ils ont besoin pour leur travail, et seulement à celles-là. »
Conceptuellement, deux étapes sont nécessaires pour instaurer un programme de GIA :
L’analyse des besoins de sécurité vise d’abord à définir les rôles qu’un utilisateur doit jouer dans l’organisation, du point de vue des ressources numériques qu’il doit utiliser pour son travail. « Ces rôles ne correspondent pas forcément à la définition du poste occupé par l’employé, note Roger Ouellet. Les entreprises sont habituées à segmenter les postes en fonction des relations hiérarchiques et des livrables, et non selon le fait de devoir accéder à tel système pour manipuler telle catégorie de données. »
À chaque rôle correspondent des règles d’accès précises. Celles-ci étaient auparavant conçues comme des restrictions par rapport à un accès complet. « Par défaut, un employé avait accès à tout, et on lui enlevait les droits d’accès qui ne lui étaient pas nécessaires », explique Roger Ouellet. Ce paradigme est aujourd’hui remplacé par une approche qui part d’un principe inverse, documenté par la firme de recherche Forrester : la confiance zéro (zero trust). « En suivant ce principe, un utilisateur n’obtient un accès à un système que si son rôle le justifie, continue Roger Ouellet. Cette méthode évite de laisser des angles morts en donnant des accès qui ne sont pas justifiés et qu’on oublie de surveiller par la suite parce qu’ils ne correspondent pas à des processus de travail attendus. »
Un bouquet de technologies permettent de mettre en pratique les règles d’accès établies. Pour une GIA complète, les fonctionnalités souhaitables comprennent notamment :
Toutes les technologies liées à la gestion des identités et des accès doivent être orchestrées au sein d’un programme qui assure l’exécution des règles de GIA. « Un programme de GIA efficace permet d’authentifier de façon certaine l’identité des usagers pour leur appliquer une gouvernance de sécurité, et ce, de manière intégrée et cohérente à l’échelle de toute l’entreprise, conclut Maher Chaar, d’IBM Canada. Ainsi, l’entreprise peut exercer un niveau approprié de contrôle d’accès et de sécurité sans pour autant nuire à la productivité des utilisateurs ni les contraindre à des expériences pénibles lorsqu’ils se connectent au réseau. »
Lire le dernier article de notre dossier "La sécurité, un enjeu d'entreprise" : Cybersécurité : les technologies essentielles pour l’entreprise