IAM et IGA : il s'agit de deux ensembles de fonctionnalités de sécurité des identités qui remplissent des fonctions différentes, mais complémentaires.
- L'IAM a pour objectif de permettre et de gérer l'accès sécurisé des utilisateurs aux ressources numériques (applications, systèmes et données) grâce à l'authentification, à l'authentification unique (SSO) et à d'autres fonctionnalités liées à l'authentification et à l'accès.
- L'IGA va au-delà des principes fondamentaux de l'octroi et de la gestion des droits d'accès afin 1) de se concentrer sur la manière dont une organisation accorde l'accès aux ressources numériques et 2) de s'assurer que les droits d'accès accordés sont appropriés et conformes — et de prendre des mesures si ce n'est pas le cas.
En substance, l'IAM traite des questions fondamentales suivantes : qui se connecte, comment cette personne se connecte et à quoi elle a le droit d'accéder une fois connectée, tandis que l'IGA s'attache à déterminer si les droits d'accès qui lui ont été accordés sont adaptés à son rôle et aux activités qui lui ont été attribuées.
L'IAM désigne les politiques et les processus liés à l'authentification de l'identité d'un utilisateur (humain ou machine) cherchant à accéder en toute sécurité à une ou plusieurs ressources au sein d'une organisation. L'authentification de l'identité de l'utilisateur a pour objectif 1) de confirmer que l'utilisateur est bien habilité à bénéficier de l'accès demandé en fonction de son rôle et de ses responsabilités et 2) d'accorder (ou de refuser) l'accès en conséquence.
Principales fonctionnalités de l'IAM
L'IAM a pour objectif d'authentifier les utilisateurs et de leur donner accès aux ressources, tout en accordant la priorité à la fois à la sécurité de l'organisation et à la productivité des utilisateurs. Il a évolué au fil des décennies pour répondre simultanément à ces deux enjeux de manière de plus en plus sophistiquée.
- Authentification : À la base, l’authentification consiste pour un utilisateur à fournir un ensemble classique d’identifiants — nom d’utilisateur et mot de passe — afin de prouver son identité. Cependant, à mesure que l’environnement d’identité et le paysage des menaces gagnent en ampleur et en complexité, le problème posé par des identifiants difficiles à mémoriser pour les utilisateurs et faciles à voler pour les acteurs malveillants devient de plus en plus pressant.
- Authentification multifactorielle (MFA) : L'ajout d'un facteur d'identification supplémentaire, tel qu'un élément biométrique, renforce le niveau d'authentification, améliorant ainsi la sécurité. Cela s'avère particulièrement utile lorsque ce facteur supplémentaire n'est pas contraignant. Par exemple, une reconnaissance faciale ou une empreinte digitale ne demande que peu d'effort de la part de l'utilisateur, mais rend le vol d'identifiants beaucoup plus difficile.
- Authentification unique (SSO) : À mesure que le nombre de ressources sécurisées auxquelles les utilisateurs doivent accéder augmente, l'authentification unique (SSO) leur permet d'accéder à plusieurs applications grâce à une authentification forte à partir d'un seul point de connexion, ce qui accélère et simplifie le processus. Le SSO réduit également la surface d'attaque en limitant les occasions pour les pirates d'exploiter les failles de sécurité liées à la multiplication des connexions.
- Sans mot de passe: L'authentification sans mot de passe remplace les identifiants traditionnels par des données biométriques, des clés d'accès, des applications d'authentification et d'autres moyens de prouver son identité qui ne peuvent pas être facilement piratés. Elle facilite également l'authentification légitime, car elle évite aux utilisateurs d'avoir à mémoriser plusieurs identifiants pour accéder à un nombre croissant de ressources.
Point clé de l'IAM : Confiance zéro
Le « Zero Trust » est un concept de sécurité fondé sur l'idée d'établir la confiance avant d'accorder l'accès aux ressources — et de ne jamais présumer de cette confiance. C'est pourquoi la gestion des identités et des accès (IAM) est fondamentale pour les organisations qui s'engagent à mettre en place un environnement « Zero Trust », dans lequel l'identité doit être vérifiée à chaque fois qu'une personne ou un système tente d'accéder à des ressources.
Les environnements « Zero Trust » s'appuient sur les fonctionnalités et les pratiques fondamentales de la gestion des identités et des accès (IAM).
- Authentification : vérification de l'identité grâce à l'authentification multifactorielle (MFA) et à l'authentification sans mot de passe
- Accès : adoption de politiques d'accès adaptées au contexte et conditionnelles
- Centralisation : utilisation de l'authentification unique (SSO) dans toutes les applications et tous les environnements d'accès
Alors que l’IAM vise principalement à authentifier l’identité d’un utilisateur avant de lui accorder l’accès, l’IGA se concentre sur la gouvernance comment déterminer à qui l'accès est accordé et s'assurer qu'il est toujours adapté à l'utilisateur et à la situation. L'objectif général de l'IGA est de garantir que les droits d'accès respectent les politiques de l'entreprise, répondent aux exigences de conformité et soient conformes aux meilleures pratiques en matière de sécurité.
Principales fonctionnalités de l'IGA
Alors que la gestion des identités et des accès (IAM) s'intéresse à qui a accès à quoi, la gouvernance des accès (IGA) vise à déterminer si cet accès est accordé de manière appropriée, en fonction de facteurs tels que le rôle de l'utilisateur au sein de l'organisation, ainsi que les politiques et pratiques de l'organisation en matière de sécurité et de conformité.
- Demandes d'accès et autorisations : dans les environnements IGA, la gestion des droits d'accès basée sur des workflows allie automatisation et intervention humaine afin d'évaluer rapidement et avec précision les demandes d'accès et d'attribuer les droits aux utilisateurs.
- Certification des accès : les rôles et responsabilités des utilisateurs évoluant constamment, la gouvernance des identités nécessite une certification régulière des accès afin de vérifier l'adéquation des niveaux d'accès. Les interventions manuelles ne peuvent en aucun cas suivre le rythme de ces changements, ce qui rend l'automatisation indispensable.
- Gestion des rôles : la création de rôles pour les utilisateurs est essentielle pour leur garantir facilement l'accès aux ressources sécurisées dont ils ont besoin pour exercer leurs fonctions. Une gestion rigoureuse des rôles est tout aussi importante pour s'assurer qu'ils ne disposent pas de privilèges excessifs susceptibles de créer des risques de sécurité.
- Gestion du cycle de vie des identités : les modifications des droits d'accès s'inscrivent dans le cadre du cycle de vie des identités, qui va de l'intégration au sein d'une organisation à son départ, en passant par l'exercice de différentes fonctions. La gestion du cycle de vie des identités est essentielle pour garantir que les droits d'accès restent adaptés à la fonction occupée.
- Audit et reporting : Il est essentiel de dresser un état des lieux des personnes ayant accès à quelles ressources pour se conformer aux exigences réglementaires et disposer d'une visibilité sur les risques liés à l'accès. L'audit et le reporting sont indispensables pour atteindre ces deux objectifs.
Point clé de l'IGA : Confiance zéro
Le modèle « zero trust » repose sur le principe selon lequel la confiance ne peut jamais exister par défaut, mais doit être établie à chaque fois qu'une personne ou un système tente d'accéder à un système. L'IGA fournit les contrôles et la gouvernance dont une organisation a besoin pour évaluer en permanence si un accès est approprié, en fonction du niveau de confiance accordé à l'utilisateur.
Les environnements « Zero Trust » s'appuient notamment sur plusieurs fonctionnalités et pratiques fondamentales de l'IGA.
- Provisionnement basé sur des workflows : recourir à l'automatisation pour garantir une supervision adéquate des accès
- Certification d'accès : validation continue des accès et ajustements en conséquence
- Gestion des rôles : identifier et éviter les combinaisons d'accès néfastes
- Gestion du cycle de vie des identités : mise à jour immédiate des droits d'accès en cas de changement ou de fin de rôle
- Audit et reporting : soutenir le principe du « Zero Trust » consistant à justifier les décisions en matière de confiance
Priorité de l'IGA : conformité réglementaire
Les réglementations SOX, HIPAA, RGPD, PCI-DSS, ISO 27001 IGA et autres exigent un contrôle d'accès rigoureux, ainsi que la capacité de démontrer que ces contrôles d'accès respectent les normes établies par ces réglementations. C'est précisément ce type de responsabilité et d'auditabilité qu'offre l'IGA.
La conformité réglementaire s'appuie notamment sur plusieurs capacités et pratiques fondamentales d'IGA :
- Certification d'accès : vérification des accès et présentation de la validation des droits d'accès
- Audit et rapports : respecter les exigences réglementaires spécifiques en matière de preuve de conformité
- Gestion du cycle de vie des identités : garantir la cohérence des droits d'accès avec les rôles actuels
L'IGA et l'IAM traitent toutes deux de l'accès sécurisé aux ressources. Cependant, alors que l'IAM permet aux utilisateurs d'accéder de manière sécurisée et pratique aux ressources auxquelles ils sont autorisés à accéder, l'IGA détermine s'ils doivent ou non disposer de ce droit d'accès. Dans ce contexte, les principales différences sont les suivantes :
- Authentification
- Authentification multifactorielle (AMF)
- Identité fédérée
- Sans mot de passe
- Provisionnement basé sur des workflows
- Certification d'accès
- Gestion des rôles
- Gestion du cycle de vie des identités
- Audit et rapports
- Taux de réussite/d'échec de l'authentification
- Taux d'adoption de l'authentification multifactorielle (MFA) et de l'authentification sans mot de passe
- Délai moyen de création des comptes
- Délai moyen de résolution des problèmes d'authentification
- Niveaux de disponibilité et de fonctionnement continu du système
- Délai moyen de traitement des demandes d'accès
- Pourcentage d'évaluations d'accès menées à bien
- Violations de la séparation des tâches détectées
- Nombre de comptes respectant le principe du privilège minimal
- Nombre de constatations d'audit relatives à des problèmes
Objectif/but
IAM : Activer l'accès
IGA : Gestion des accès
Principale préoccupation
IAM : Activer l'accès
IGA : Gestion des accès
Capacités clés
IAM : Activer l'accès
- Authentification
- Authentification multifactorielle (AMF)
- Identité fédérée
- Sans mot de passe
IGA : Gestion des accès
- Provisionnement basé sur des workflows
- Certification d'accès
- Gestion des rôles
- Gestion du cycle de vie des identités
- Audit et rapports
Exemples d'indicateurs de réussite
IAM : Activer l'accès
- Taux de réussite/d'échec de l'authentification
- Taux d'adoption de l'authentification multifactorielle (MFA) et de l'authentification sans mot de passe
- Délai moyen de création des comptes
- Délai moyen de résolution des problèmes d'authentification
- Niveaux de disponibilité et de fonctionnement continu du système
IGA : Gestion des accès
- Délai moyen de traitement des demandes d'accès
- Pourcentage d'évaluations d'accès menées à bien
- Violations de la séparation des tâches détectées
- Nombre de comptes respectant le principe du privilège minimal
- Nombre de constatations d'audit relatives à des problèmes
Pour couvrir l'ensemble des aspects liés à la sécurité des identités, les organisations ont idéalement besoin d'une combinaison de solutions IAM (pour permettre aux utilisateurs d'accéder aux ressources de manière sécurisée et pratique) et IGA (pour garantir et démontrer que l'accès des utilisateurs aux ressources est approprié et ne présente aucun risque pour la sécurité). Cependant, chaque organisation a des exigences et des ressources différentes qui détermineront la marche à suivre, comme le montrent les scénarios suivants.
Scénario : Déployer simultanément l'IAM et l'IGA ? Oui, dans la mesure du possible.
Le déploiement conjoint de l'IAM et de l'IGA est presque toujours la solution idéale, que l'entreprise envisage un nouveau déploiement des deux solutions ou qu'elle souhaite remplacer un déploiement IAM existant tout en y ajoutant l'IGA. En déployant simultanément les fonctionnalités IGA et IAM d’un même fournisseur, l’entreprise s’assure une couverture complète de la sécurité des identités dans deux domaines complémentaires et critiques, sans risque de failles de sécurité inutiles, de problèmes d’intégration ou d’autres difficultés pouvant survenir lors d’un déploiement échelonné.
H3 Scénario : Intégrer IGA à un déploiement IAM existant ? Peut-être.
Pour les organisations qui disposent déjà d’un déploiement IAM offrant tout ce qui est nécessaire pour accorder et gérer les accès, il peut être intéressant de conserver ce déploiement afin de préserver leur investissement initial en matière d’identité, tout en y ajoutant une solution IGA. Cette approche fonctionne bien si la solution IGA provient du même fournisseur. Dans le cas contraire, la gestion globale de la sécurité des identités risque d’être bien plus complexe ; l’intégration des deux systèmes peut s’avérer difficile ; et l’exploitation de systèmes disparates peut entraîner des problèmes de dépannage récurrents.
Scénario : S'en tenir uniquement à l'IAM ? Non recommandé.
Il est possible de mettre en place l’IAM sans l’IGA, comme certaines organisations envisagent de le faire en raison de contraintes budgétaires ou opérationnelles. Mais ce n’est pas forcément recommandé. Il est vrai qu’avec un système IAM en place pour authentifier les utilisateurs, le risque qu’une personne non autorisée obtienne un accès de quelque manière que ce soit est moindre. Mais cela ne tient pas compte de la question de savoir si l’accès dont disposent les utilisateurs est le droit accès. C'est pourquoi les organisations qui se contentent d'utiliser un système IAM s'exposent à des problèmes de sécurité liés à l'accumulation de privilèges d'accès excessifs par les utilisateurs. Les organisations dépourvues d'un système IGA ne disposent pas non plus de pistes d'audit ni d'autres éléments permettant de prouver leur conformité en cas de contrôle réglementaire.
Scénario : Utiliser uniquement l'IGA ? Ce n'est pas vraiment une option.
Il n'est pas logique de disposer d'un système IGA sans IAM, car l'application des politiques de sécurité par l'IGA repose sur les mécanismes d'authentification et d'autorisation sous-jacents fournis par l'IAM. En d'autres termes, sans IAM, l'IGA n'a aucune base sur laquelle s'appuyer. Le seul choix à faire est entre l'IAM seul ou l'IAM et l'IGA combinés.
La sécurité des identités consiste à protéger les identités numériques en vérifiant les identités et en appliquant des contrôles d'accès, dans le but d'empêcher tout accès non autorisé.
Oui. L'IAM associe la gestion des identités et la gestion des accès afin de sécuriser les identités numériques et de protéger les ressources contre tout accès non autorisé dans les environnements numériques.
La gestion des identités et des accès (IAM) permet le stockage sécurisé des ressources sensibles et un accès sécurisé à celles-ci grâce à des méthodes telles que l'authentification unique (SSO), l'authentification multifactorielle (MFA) et sans mot de passe.
La gestion des identités a pour objectif de réduire le risque de failles de sécurité en garantissant que seules les personnes autorisées puissent accéder aux ressources sécurisées.
La gestion des identités permet un accès sécurisé aux ressources, facilite la mise en conformité réglementaire et optimise l'expérience utilisateur en rendant l'accès à la fois pratique et sécurisé.
L'IAM porte sur l'identité des personnes autorisées à accéder aux ressources, c'est-à-dire sur l'authentification des utilisateurs et la gestion de leurs droits d'accès, tandis que l'IGA vérifie si les droits d'accès d'un utilisateur sont adaptés à son rôle et à ses responsabilités.