Gestion des identités et des accès numériques

La gestion des identités et des accès numériques (en anglais Identity and Access Management : IAM) est un élément fondamental de tout programme de sécurité des informations et l’un des domaines de sécurité dont le principal enjeu porte sur l’interaction avec les utilisateurs.

L’accompagnement d’EY

La gestion des identités et des accès permet de gérer l’accès aux ressources de l’entreprise, en autorisant des utilisateurs disposant des droits adéquats.

Dans le passé, l’IAM visait principalement à mettre en place des fonctionnalités répondant aux besoins en matière de gestion des accès et de conformité. Les solutions étaient souvent axées sur le provisioning (allocation automatique de ressources).

Coûteuses, peu créatrices de valeur, ne gérant qu’un nombre restreint d’applications et systèmes, ces solutions ont été peu adoptées. En conséquence, les entreprises ont souvent eu du mal à satisfaire aux exigences en matière de conformité aux politiques en place.

Aujourd’hui, les solutions d’IAM permettent une gestion centralisée, standardisée et automatisée des identités, réduisant les risques et les coûts tout en améliorant l’efficience opérationnelle. Grâce à ces nouvelles solutions, beaucoup d’entreprises respectent leurs obligations en matière de conformité aux politiques et standards en place.

La gestion des identités et des autorisations d’accès s’articule autour de trois principales étapes.

  • 1. Demande d’accès utilisateur et autorisation

    Objectif

    Accéder aux applications, systèmes et données nécessaires à l’exercice de ses fonctions

    Défis communs

    • Les processus diffèrent selon les sites, les unités commerciales et les ressources.
    • Les approbateurs ne disposent pas d’une vision suffisante des réels besoins des utilisateurs en matière d’accès. Par exemple, Les utilisateurs ont-ils vraiment besoin d’accéder à des données privées ou confidentielles ?
    • Les utilisateurs trouvent le processus de demande d’accès parfois complexe.
  • 2. Réconciliation

    Objectif

    Faire en sorte que le système applique les droits d’accès et synchronise les niveaux d’accès approuvés

    Défis communs

    • Les droits sur les systèmes l’emportent sur les niveaux d’accès initialement approuvés/provisionnés.
    • Il n’existe pas de référentiel d’identités faisant autorité pour les collaborateurs et les non collaborateurs.
  • 3. Révision et certification

    Objectif

    Vérifier de manière périodique les accès des utilisateurs pour les réaligner sur une fonction ou un rôle selon une stratégie adaptée en matière de gestion des habilitations.

    Défis communs

    • Les processus sont manuels et diffèrent selon le site, l’unité commerciale et les ressources.
    • Les réviseurs doivent effectuer de nombreuses révisions d’accès redondantes et granulaires.
    • Les réviseurs n’en savent pas suffisamment sur les besoins des utilisateurs en matière d’accès.

Architecture de référence modernisée pour l’IAM

L’architecture modernisée pour l’IAM est conçue pour orchestrer l’intégration sur l’ensemble de l’écosystème de l’IAM et tout au long de son cycle de vie (gouvernance et administration des identités, gestion des accès, gestion des accès à privilèges et des identités client).

Notre approche en matière d’architecture de référence modernisée pour l’IAM vise à réduire la complexité des implémentations IAM, à traiter les cas d’utilisation existants et émergents de l’IAM et à favoriser l’agilité lors de changements organisationnels importants (par exemple : transformation numérique, actualisation de la technologie, fusions et acquisitions, changement dans les services gérés).

 Principales fonctionnalités de l’IAM

Lors de l’élaboration d’un plan de transformation en matière d’IAM, vous devez vous assurer que les éléments recommandés ci-dessous sont inclus :

  • Matrices de rôles ou d’accès aux applications en se basant sur des outils adaptés tels que de découverte des règles d’association (rule-mining)
  • Processus automatisés de demande d’accès et d’approbation basés sur un flux métier et utilisant des matrices de rôles ou d’accès aux applications. Une attention doit être portée sur le respect de la séparation des tâches
  • Solution de gestion des droits d’utilisation
  • Solutions d’accès par proxy et authentification centrale (couches application, hôte et base de données)
  • Solutions d’authentification basées sur les risques
  • Services d’analyse d’identité et comportementale à intégrer à la prévention contre la perte de données (DLP) et à la gestion des informations et des événements de sécurité
  • Programme de gouvernance des processus de gestion des données et des accès incluant les ressources humaines, les propriétaires d’applications ainsi que les acteurs de la sécurité de l’information et d’IAM
  • Solutions de fédération des identités
  • Solutions émergentes de gestion des droits alliant sécurité logique et sécurité physique
  • Solution tenant compte des besoins futurs en matière d’évolutivité

Les compétences et les ressources nécessaires pour la mise en place d’un programme de cybersécurité sont extrêmement rares dans la plupart des entreprises. Les équipes d’EY sont en mesure de former, développer et déployer ces ressources dans votre entreprise afin de vous protéger sur le long terme.

Nous contacter

Contactez-nous pour en savoir plus.