Gestion des identités et des accès : le Cloud est-il une alternative fiable ?
Bien qu'il existe, aujourd'hui, une multitude de solutions IAM sur le marché, la grande majorité des solutions respectent l'expérience utilisateur. Ces outils sont pensés pour communiquer entre eux - parlant alors de fédération d'identité, via les protocoles SAML, OAuth, OpenID.
La gestion des identités et des accès - ou Identity and Access Management (IAM) - est un pilier fondamental de gestion de la sécurité des Systèmes d'Information (SI). On entend par IAM les solutions d'Identity and Governance Administration (IGA), d'Access Management (AM) et de Privileged Access Management (PAM), permettant respectivement de gérer le cycle de vie des identités, les accès ainsi que les comptes à privilèges.
Selon la taille de l'entreprise ou de l'organisation, une - plus ou moins forte - multiplication d'utilisateurs et d'accès doit être gérée. Il est, par exemple, important de gérer le cycle de vie des comptes utilisateurs, administrateurs ou logiciels (API, compte d'application) - qu'ils soient internes ou externes - et leur donner le bon niveau de granularité d'autorisations, sur les différents périmètres auxquels ils doivent pouvoir accéder. Ceci sous-entend donc le déploiement de nombreux outils IAM - à gérer par la suite.
Historiquement, les solutions proposées par les éditeurs technologiques étaient, majoritairement, On-Premise (sur site). Mais de nos jours, de plus en plus de solutions sont proposées en SaaS (Cloud).
Parcourons ensemble les différentes fonctionnalités proposées par ces deux modes.
Les solutions IAM On-Premise : historiques et vouées à rester ?
Les solutions IAM On-Premise permettent une meilleure maîtrise, ainsi qu'un cloisonnement interne amélioré des données de l'entreprise, puisque l'on est maître de leur acheminement, ainsi que de leur stockage.
Les solutions On-Premise comprennent généralement davantage de fonctionnalités et d'options de personnalisation. Elles permettent également d'utiliser l'outil choisi même sans accès internet. Aussi, le coût du produit est souvent moins élevé car le fournisseur de services n'a pas à supporter son entretien. Mais cela reste toutefois à relativiser car quelques coûts annexes peuvent se voir ajoutés.
En effet, ces solutions obligent l'entreprise à couvrir des coûts supplémentaires liés à l'infrastructure On-Premise - tels que sa gestion (haute disponibilité, supervision et sauvegardes) et sa maintenance par l'humain (nécessite du temps et une formation), ou encore des coûts financiers (serveurs et licences) supplémentaires. Le déploiement et démarrage de ces projets peut aussi être plus long qu'un projet Cloud dû à la configuration de l'environnement par les équipes internes.
Ainsi, en fonction de sa taille, et de sa maturité en termes d'IAM, l'entreprise aura de nombreux paramètres à prendre en compte. Par exemple, les entreprises étendues sur plusieurs zones géographiques pourront privilégier les solutions On-Premise, car elles apprécieront la personnalisation proposée par les solutions - notamment en termes d'architecture - et qu'elles pourront, elles, assumer les coûts connexes.
Les solutions IAM SaaS : quick-win et le vent en poupe ?
En Cloud SaaS, tout est géré par le fournisseur de services tant la haute disponibilité du service que les différentes mises à jour à réaliser. Les équipes internes n'auront ainsi que de faibles charges d'exploitation. Les solutions Cloud se démarquent notamment par leur simplicité sur de nombreux aspects.
En effet, elles peuvent être utilisées presque instantanément car il suffit souvent d'un simple clic (lien de connexion URL) pour l'utiliser. En termes d'architecture, elles ne nécessitent que peu - voire pas - de composants On-Premise. Par ailleurs, elles sont pensées pour être scalables afin de s'adapter rapidement aux augmentations potentielles de charges. Lorsqu'un besoin critique est identifié, le Cloud est une solution express pour y répondre - proposant une implémentation facile dans l'écosystème existant.
Si les solutions d'IAM Cloud sont de plus en plus utilisées, c'est également grâce au degré de sécurité qu'elles fournissent. Les fournisseurs de service IAM se reposent en grande majorité sur les leaders de fournisseurs Cloud - tels que Amazon Web Services (AWS), Microsoft Azure ou encore Google Cloud Platform (GCP) - reconnus pour leurs standards renforcés de sécurité.
En outre, si le SI interne de votre entreprise était votre habitat, il n'y aurait personne qui pourrait s'introduire chez vous. En effet, les interactions s'effectuent seulement de façon unidirectionnelle, du SI interne vers la solution Cloud (qui est à l'extérieur) que l'on qualifie de « flux sortants ». Ceci évite donc l'ouverture de canaux accessibles de l'extérieur.
La nécessité d'une expérience utilisateur agréable
Bien qu'il existe, aujourd'hui, une multitude de solutions IAM sur le marché, la grande majorité des solutions respectent l'expérience utilisateur. Ces outils sont pensés pour communiquer entre eux - parlant alors de fédération d'identité, via les protocoles SAML, OAuth, OpenID. Les applications délèguent l'authentification à une unité centrale, à laquelle ils font confiance. Grâce à ceci, les utilisateurs renseignent leurs identifiants une unique fois. Il s'agit alors d'accès Single Sign-On (SSO), une technique permettant de simplifier le quotidien de tous.
L'utilisateur authentifié aura les mêmes autorisations que s'il s'authentifie sur l'application spécifique. En complément, ces solutions peuvent également être dotées d'une intelligence. L'utilisateur peut se voir demander une deuxième authentification dès lors qu'il se connecte d'un lieu inhabituel.
Si le domaine IAM peut sembler dense, de nombreuses entreprises expertes en ce domaine peuvent vous accompagner pour une étude préalable. En effet, réaliser un audit de l'existant pourrait vous aider à évaluer votre niveau de maturité et, en fonction de celui-ci, éventuellement vous permettre de choisir la solution la plus adaptée à vos problématiques et besoins.
Ces audits sont suivis de livraison de bonnes pratiques cyber, ainsi que d'un état de l'art des solutions du marché. Et parfois, par l'intégration des outils qui correspondent le mieux à votre contexte.
Par sa nature, l'On-Premise permet davantage de contrôle et de personnalisation, tandis que le SaaS (Cloud) est davantage normé. En effet, le SaaS suit un cadre de sécurité standardisé afin d'être en accord avec les bonnes pratiques actuelles.
En fonction de votre besoin, il est tout à fait possible de continuer à avancer avec un environnement basé sur une architecture hybride - les composants On-Premise pouvant communiquer efficacement avec les solutions SaaS. Cette architecture permet ainsi à chacun de tirer parti des avantages des deux modèles existants.
Sur le même thème
Voir tous les articles Cybersécurité