IT Knowledge
August 6, 2024

Glossaire de Corma sur la gestion des identités et des accès (IAM)

Nikolai Fomm
COO et co-fondateur

Pourquoi les entreprises en pleine transformation numérique doivent comprendre les terminologies clés relatives à la gestion des identités et des accès.

Ce glossaire est destiné à aider les organisations qui cherchent à prospérer dans un contexte d'avancées technologiques rapides. Qu'il s'agisse du rôle fondamental d'Active Directory dans l'authentification des utilisateurs et du contrôle d'accès ou de concepts de pointe tels que l'accès réseau Zero Trust (ZTNA), la connaissance de la terminologie IAM est essentielle pour mener à bien les initiatives de transformation numérique. En maîtrisant les concepts clés de l'IAM tels que l'authentification unique (SSO), l'authentification multifactorielle (MFA) et l'identité en tant que service (IDaaS), les entreprises peuvent renforcer leur posture de sécurité, rationaliser l'accès des utilisateurs, et garantir le respect des exigences réglementaires strictes. De plus, alors que les entreprises adoptent des approches innovantes telles que Zero Trust pour atténuer les risques de cybersécurité, une compréhension complète de l'IAM devient indispensable pour protéger les actifs numériques et permettre un accès fluide et sécurisé aux ressources dans divers environnements. Ce glossaire se veut un point de départ pour tous ceux qui souhaitent approfondir ce vaste sujet.

Gestion des accès (AM)

La gestion des accès, ou Gestion des Accès, est le processus qui permet d'identifier, de suivre et de contrôler l'accès des utilisateurs aux systèmes d'information, aux applications ou à toute ressource informatique. Il englobe l'authentification forte, le contrôle d'accès logique, l'authentification unique (SSO), la fédération des identités et la traçabilité des accès, afin de répondre aux problèmes de sécurité et de garantir la conformité du système d'information d'une organisation.

Gestion de l'identité et de l'accès des clients (CIAM)

La gestion de l'identité et de l'accès des clients fait référence à la gestion des identités et des accès des clients d'une entreprise. Il permet aux entreprises de gérer les identités des clients, de contrôler leur accès aux services et aux applications en fonction du contexte et d'appliquer des politiques de sécurité et de confidentialité pour protéger les données sensibles. Le CIAM améliore l'expérience utilisateur grâce à une inscription rationalisée et à des voies d'accès sécurisées, tout en fournissant aux entreprises des informations sur l'accès des clients aux opportunités marketing et la conformité à des réglementations telles que le RGPD.

Système de gestion de cartes (CMS)

Un système de gestion de cartes est un logiciel qui permet aux organisations de gérer leur inventaire de jetons d'authentification de manière centralisée. Il facilite la gestion du cycle de vie et le déploiement de divers jetons d'authentification, notamment des cartes à puce, des jetons FIDO2, des certificats numériques et des badges de contrôle d'accès. CMS assure une gestion efficace des jetons d'authentification tout au long de leur cycle de vie, de leur émission à leur révocation, en fournissant des interfaces conviviales pour demander et récupérer des jetons physiques et des certificats numériques personnalisés. Il comprend également des tableaux de bord complets pour le suivi des opérations liées aux jetons, répondant aux exigences de traçabilité et de conformité.

Gouvernance de l'accès aux données (DAG)

La gouvernance de l'accès aux données, ou Gouvernance des Accès aux Données Non Structurées, se concentre sur le contrôle et la sécurisation des droits d'accès aux données non structurées, telles que les documents, les feuilles de calcul, les présentations ou les e-mails, afin de protéger les informations sensibles. DAG travaille conjointement avec des solutions de gestion de documents, notamment des systèmes de gestion de documents (DMS), des serveurs de fichiers et des portails SharePoint, en tenant compte de la nature dynamique du partage des données et de l'importance d'atténuer les risques de fuite de données.

FIDO (Fast Identity en ligne)

L'alliance Fast Identity Online (FIDO), créée en 2013, est un consortium visant à développer des normes ouvertes pour l'authentification en ligne, en réduisant le recours aux mots de passe tout en garantissant des niveaux d'authentification élevés sur tous les appareils. Les protocoles FIDO, y compris le protocole CTAP (Client to Authenticator Protocol), permettent une authentification sans mot de passe à l'aide de clés de sécurité, de données biométriques ou de codes PIN à usage unique, améliorant ainsi la sécurité et l'expérience utilisateur. La FIDO2, approuvée par le World Wide Web Consortium (W3C), est largement prise en charge par les principaux navigateurs et systèmes d'exploitation, offrant des méthodes d'authentification robustes

Gouvernance des identités et des accès (IAG)

La gouvernance des identités et des accès (IAG) orchestre la gestion de l'identité et des accès des utilisateurs au sein d'une organisation, en complétant l'IAM en supervisant la légitimité des identités, en empêchant les comptes orphelins, en appliquant la séparation des tâches (SoD) et en surveillant les activités à des fins de conformité. Les solutions IAG intègrent des outils de supervision, l'exploration des rôles, la révision des droits et l'application de la SoD, améliorant ainsi la conformité réglementaire et la posture de sécurité.

Gestion des identités et des accès (IAM)

La gestion des identités et des accès, ou Gestion des Identités et des Accès, garantit un accès sécurisé aux ressources de l'organisation en gérant les identités numériques et les autorisations associées. L'IAM englobe divers composants et technologies, notamment l'authentification forte, la fédération des identités, l'authentification unique (SSO), la gestion du cycle de vie et le provisionnement, offrant des avantages à tous les secteurs. Une stratégie IAM robuste nécessite une plateforme complète capable de prendre en charge divers services IAM et de répondre aux futurs besoins organisationnels.

Identité en tant que service (IDaaS)

L'identité en tant que service (IDaaS) fournit des fonctionnalités IAM en tant que service basé sur le cloud, offrant évolutivité, flexibilité et rentabilité par rapport aux solutions sur site traditionnelles. Les solutions IDaaS incluent des services d'annuaire, le SSO, l'authentification multifacteur (MFA), le provisionnement et les flux de travail, permettant aux entreprises de rationaliser les processus de gestion des identités et d'accélérer le déploiement de solutions tout en réduisant les frais opérationnels.

IdP (fournisseur d'identité)

Un fournisseur d'identité (IdP), également appelé fournisseur d'identité, crée, gère et gère les identités numériques des utilisateurs et les facteurs d'authentification. Les IdP s'appuient sur des serveurs d'authentification pour vérifier et gérer les identités des utilisateurs, y compris les noms d'utilisateur, les mots de passe ou les données biométriques. Les IdP les plus populaires incluent Google, Facebook, Amazon Web Services (AWS), Microsoft Active Directory et OpenLDAP, qui facilitent l'authentification unique (SSO) et la fédération des identités pour un accès fluide à de multiples applications.

IM (gestion des identités)

La gestion des identités (IM) implique la gestion centralisée des données d'identité, des profils et des rôles des utilisateurs au sein d'un réseau. Il englobe la gestion du cycle de vie des utilisateurs, le provisionnement des comptes et la gestion des droits afin de gérer efficacement les identités des utilisateurs dans la complexité des environnements informatiques modernes. La messagerie instantanée garantit la conformité, renforce la sécurité et rationalise les processus de gestion des accès, en répondant à des populations d'utilisateurs diversifiées et en répondant aux exigences réglementaires.

Authentification multifacteur (MFA)

L'authentification multifactorielle (MFA) vérifie l'identité de l'utilisateur en exigeant au moins deux facteurs distincts appartenant aux catégories suivantes : la possession (quelque chose que l'utilisateur possède), l'héritage (quelque chose que l'utilisateur est) et la connaissance (quelque chose que l'utilisateur sait). En combinant plusieurs facteurs d'authentification, tels que les mots de passe, les données biométriques ou les clés de sécurité, le MFA réduit considérablement le risque d'accès non autorisé et améliore la sécurité des stratégies IAM.

OAuth2

OAuth2 est un protocole ouvert pour la délégation d'autorisations, qui permet un accès limité aux applications ou aux ressources avec le consentement de l'utilisateur. Il permet aux sites Web, aux logiciels ou aux applications (consommateurs) d'utiliser l'API sécurisée (fournisseur) d'un autre site pour le compte d'un utilisateur. OAuth2 ne gère pas directement l'authentification mais se concentre sur la délégation d'autorisations. Il facilite l'obtention de jetons d'autorisation et l'appel d'API pour accéder aux informations des utilisateurs en toute sécurité, contribuant ainsi à sécuriser l'accès aux API et à améliorer la confidentialité des utilisateurs.

OIDC (OpenID Connect)

OpenID Connect (OIDC) est une norme utilisée dans la fédération d'identités, représentant la troisième génération du protocole établi par l'OpenID Foundation. OIDC s'appuie sur les fonctionnalités d'OAuth2 en ajoutant une couche d'identification, permettant la vérification de l'identité des utilisateurs à l'aide d'un serveur d'autorisation afin d'obtenir des informations sur les utilisateurs en toute sécurité. Il répond aux limites d'OAuth2 en matière d'authentification forte, permettant aux sites tiers d'obtenir des identités de manière plus sécurisée qu'OAuth2 seul. L'OIDC est couramment utilisé pour l'authentification des utilisateurs dans les applications mobiles ou les sites Web commerciaux.

PAM (gestion des accès privilégiés)

La gestion des accès privilégiés (PAM) permet aux entreprises de gérer l'accès et l'authentification des utilisateurs disposant de privilèges sur des ressources critiques ou des applications administratives. Il englobe à la fois les utilisateurs internes, tels que les administrateurs système ou les utilisateurs manipulant des données sensibles, et les utilisateurs externes tels que les fournisseurs de services gérés. Les solutions PAM contrôlent non seulement l'identité et l'accès des utilisateurs, mais surveillent également l'activité des utilisateurs en temps réel pour détecter et empêcher les tentatives d'accès non autorisées. En appliquant des mesures d'authentification fortes telles que l'authentification multifactorielle, PAM garantit une gestion sécurisée des accès privilégiés et la conformité aux exigences de gouvernance.

SAML (langage de balisage des assertions de sécurité)

Le langage SAML (Security Assertion Markup Language) est une norme utilisée dans la fédération d'identités, développée par le consortium à but non lucratif OASIS. SAML facilite les procédures de vérification d'identité et d'autorisation entre le fournisseur d'identité (IdP) et le fournisseur de services (SP) d'un utilisateur en transférant les données d'authentification au format XML. Les entreprises bénéficient des améliorations de sécurité, de la standardisation et de l'optimisation de l'expérience utilisateur apportées par SAML. Il est couramment utilisé pour permettre aux utilisateurs d'entreprise d'accéder à plusieurs applications avec une seule connexion.

SLO (déconnexion unique)

La déconnexion unique (SLO) est un processus qui permet de mettre fin simultanément aux sessions utilisateur sur l'ensemble des applications et services Web connectés au sein d'un environnement d'authentification unique (SSO). En garantissant la résiliation de toutes les sessions, SLO renforce la sécurité et atténue les risques associés à l'exploitation active des sessions. Les implémentations SLO peuvent utiliser des protocoles de communication tels que SAML pour échanger des informations de sécurité entre la ressource et le fournisseur d'identité ou utiliser des jetons d'authentification pour gérer de manière centralisée les sessions utilisateur.

SP (fournisseur de services)

Un fournisseur de services (SP) fournit des services d'application aux clients via un réseau, généralement Internet. Les exemples incluent les services gouvernementaux, les prestataires de soins de santé, les banques et les plateformes de commerce électronique. Les SP s'appuient sur des fournisseurs d'identité (IdP) pour vérifier l'identité des utilisateurs et certains attributs des utilisateurs. Grâce à la fédération d'identité, les SP établissent des relations de confiance avec les IdP, permettant aux utilisateurs d'accéder aux services à l'aide d'informations d'identité vérifiées fournies par l'IdP. Les SP simplifient l'accès des utilisateurs aux services et aux ressources tout en déchargeant la responsabilité de la gestion des accès.

SSO (authentification unique)

L'authentification unique (SSO) permet aux utilisateurs d'accéder à plusieurs applications à l'aide d'un seul processus d'authentification. Il rationalise l'authentification dans différents environnements, notamment le Web, l'entreprise et les appareils mobiles. Le SSO améliore les politiques relatives aux mots de passe, renforce la sécurité grâce à l'authentification multifactorielle et réduit les coûts de support technique associés à la gestion des mots de passe. Les utilisateurs bénéficient d'une expérience de navigation fluide et pratique en éliminant la nécessité de mémoriser plusieurs mots de passe.

SSRPM (gestion des mots de passe de réinitialisation en libre-service)

La gestion des mots de passe de réinitialisation en libre-service (SSRPM) permet aux utilisateurs de réinitialiser leurs mots de passe de manière indépendante en cas d'oubli ou de verrouillage de leurs comptes. Les solutions SSRPM réduisent la charge du service d'assistance et améliorent l'autonomie des utilisateurs en permettant la réinitialisation du mot de passe à la fois sur les appareils des utilisateurs et sur les portails Web. Ils intègrent diverses méthodes d'authentification, y compris l'authentification multifactorielle, pour garantir la gestion sécurisée des mots de passe et l'accès des utilisateurs.

WebAuthn (authentification Web)

WebAuthn, développé par le W3C et basé sur les spécifications FIDO 2, fournit une norme d'authentification Web utilisant des clés asymétriques. Il permet aux utilisateurs de s'authentifier auprès d'applications Web à partir d'appareils enregistrés, tels que des smartphones, des ordinateurs portables ou des clés de sécurité matérielles. En remplaçant les méthodes d'authentification traditionnelles telles que les mots de passe et les codes SMS, WebAuthn renforce la sécurité contre les attaques de phishing et propose une expérience d'authentification sans mot de passe. Largement pris en charge par les principaux navigateurs et plateformes, WebAuthn établit une nouvelle norme en matière d'authentification utilisateur sécurisée et pratique.

WS-Federation (Fédération des services Web)

WS-Federation (parfois appelée « Web Services Federation Language » ou « WS-Fed ») est une norme utilisée dans la fédération d'identités. Il facilite l'échange d'informations d'identité entre des applications ayant des spécifications de sécurité différentes. WS-Federation utilise un langage pour décrire les règles de confiance basé sur WS-Trust (Web Services Trust Language), qui est également un protocole de sécurité, pour communiquer avec des environnements hétérogènes. Les utilisateurs peuvent utiliser leurs informations d'identification pour accéder aux ressources de différents systèmes, garantissant ainsi une gestion sécurisée des informations d'identification. WS-Federation peut être utilisé pour implémenter l'authentification unique (SSO) et rationaliser l'accès à diverses ressources pour les utilisateurs. Tout comme SAML et OAuth, WS-Federation est une technologie mature.

ZTNA (Accès réseau Zero Trust) /Zero Trust

Zero Trust est un modèle stratégique de cybersécurité basé sur le principe qu'il n'existe pas de confiance intrinsèque au sein du réseau et que l'accès ne doit être accordé par défaut à aucun utilisateur. Zero Trust Network Access étend ce concept en se concentrant sur la vérification systématique et la surveillance continue de l'accès aux applications en fonction de divers facteurs tels que l'authentification des utilisateurs, le contexte et les politiques de contrôle d'accès. En tirant parti de technologies telles que l'authentification multifactorielle et contextuelle, le contrôle d'accès et la gestion des privilèges, les organisations peuvent mettre en œuvre une posture de sécurité Zero Trust adaptée au paysage numérique actuel. ZTNA améliore l'expérience utilisateur et l'agilité tout en alignant les stratégies de cybersécurité sur les besoins de l'entreprise.

Conclusion

Alors que les organisations font face aux complexités de l'ère numérique, maîtriser GIA les concepts apparaissent comme un impératif stratégique pour atteindre la résilience, l'agilité et un avantage concurrentiel. En adoptant les meilleures pratiques IAM et en se tenant au courant des tendances émergentes, les entreprises peuvent se positionner pour réussir dans un paysage technologique en constante évolution, favorisant ainsi une croissance et une innovation durables.

Prêt à reprendre le contrôle de votre SaaS ?

Réduisez de moitié vos dépenses en logiciels, automatisez la gestion des accès et des licences et faites-vous aimer de vos auditeurs.

Démarrer avec Corma

Merci ! Votre candidature a été reçue !
Oups ! Une erreur s'est produite lors de l'envoi du formulaire.

Blog connexe