Blog GlobalSign

18 août 2016

Différence entre gestion des identités et gestion des accès

Nous développons des produits et des solutions de gestion des identités et des accès (IAM, Identity and Access Management). Nous parlons également des avantages de l’IAM pour votre entreprise. La gestion des accès et des identités peut en effet vous être utile à plusieurs égards : mise en conformité réglementaireéconomies de coûtssimplification de la vie de vos clients, amélioration de l’expérience client... Pour aborder ces sujets, nous utilisons parfois de mystérieux acronymes de trois lettres et autres noms de protocoles ésotériques. Avec plus de 15 ans d’expérience en sécurité informatique, j’ai un peu tendance à plonger directement dans le grand bain et à m’attendre à ce que le lecteur fasse de même. Dans ma tête, les idées et les concepts se bousculent et essaient de sortir, tandis qu’en arrière-plan, des tonnes de connaissances se sont accumulées en silence – toutes ces choses apprises au fil des ans, mais que j’ai enfoui dans les profondeurs de mon cerveau.

Revenons aux fondamentaux et reprenons les choses depuis le début.

Qu’entend-on par « Identité » ?

Nous avons tous des identités. Dans le monde numérique, nos identités prennent la forme d’attributs et d’entrées dans une base de données. La tendance pour les services en ligne est de collecter ces attributs pour nous offrir un meilleur service ou créer une expérience utilisateur unique à partir des données collectées sur nos attributs statiques et dynamiques.

Un attribut unique nous différencie des autres utilisateurs en ligne. Il peut s’agir d’une adresse e-mail, d’un numéro de téléphone ou de sécurité sociale. Nous recevons des attributs de nos employeurs : notre fonction, le service ou la division à laquelle nous appartenons, les rôles que nous jouons dans les projets ou dans la hiérarchie de l’entreprise. Les attributs qui concernent notre vie privée et notre vie professionnelle ne sont pas les mêmes et changent dans le temps, lorsque nous prenons un nouveau poste, que nous déménageons, que nous nous marions, etc.

Gestion des identités

Votre identité en ligne est créée lorsque vous vous enregistrez. Lors de l’enregistrement, certains attributs sont collectés et stockés dans la base de données. La procédure d’enregistrement peut varier en fonction du type d’identité numérique que l’on vous délivrera. Pour une identité électronique émise par un gouvernement (de type « carte d’identité électronique »), la procédure est exhaustive, alors que l’inscription sur des sites de réseaux sociaux peut s’effectuer avec des attributs d’identité complètement factices (et par conséquent non vérifiés).

La gestion des identités est avant tout une question de gestion des attributs. Vous, votre supérieur hiérarchique, votre responsable RH, l’administrateur IT, le conseiller clientèle du site e-commerce... Toutes ces personnes, et bien d’autres, peuvent être chargées de créer, mettre à jour ou même supprimer les attributs qui vous concernent.

Attribut = Autorisation ?

Certains de nos attributs d’identité sont puissants. Ils nous permettent de faire des choses en ligne. Un attribut « rôle » qui décrit la fonction d’une personne dans l’entreprise – un responsable des achats, par exemple – peut indiquer à un site en ligne le champ d’action de cette personne sur ce site. Les attributs qui confèrent à l’utilisateur ses « pouvoirs » doivent donc être gérés et maintenus avec le plus grand soin.

Qu’entend-on par « accès » ?

Les décisions d’accès sont des décisions tranchées de type « oui/non ». Une fois déployé, le contrôle d’accès est chargé de décider si « oui » ou « non », l’internaute qui tente d’accéder ou d’utiliser une ressource peut le faire. Un service en ligne peut comporter plusieurs points de contrôle – ce qui est généralement le cas. Au niveau supérieur, un point de contrôle d’accès essaie de déterminer si l’utilisateur a le droit d’entrer sur le site. Au niveau inférieur, le point de contrôle d’accès atteint les fichiers individuels situés quelque part sur le disque dur. Certains des points de contrôle d’accès sont visuels pour l’utilisateur final, et requièrent des actions. L’authentification en est  l’exemple le plus simple.

Qu’entend-on par « authentification » ?

L’authentification est le processus qui permet d’établir l’identité de l’utilisateur. L’utilisateur peut être authentifié de plusieurs manières. Au niveau le plus bas, l’utilisateur pourrait affirmer qu’il est bien la personne qu’il indique être en écrivant simplement son nom en réponse à la question « Qui êtes-vous ? ». À l’autre extrémité du spectre, l’utilisateur pourrait s’inscrire au service à l’aide de sa carte d’identité électronique (eID). Entre ces deux extrêmes, il existe une multitude de processus et technologies d’authentification.

Gestion des accès

Lorsque l’identité de l’utilisateur est établie, il peut donc accéder au service ? Faux. Authentification != Autorisation (en langage « geek », le symbole « != » signifie « pas égal à »). Après l’authentification, une décision doit être prise au niveau du contrôle d’accès. La décision se fonde sur les informations disponibles sur l’utilisateur. C’est là que les attributs entrent en jeu. Si le processus d’authentification peut transmettre le jeu d’attributs nécessaire au point de décision du contrôle d’accès, le processus peut alors évaluer les attributs et décider si « oui » ou « non » [l’accès est autorisé].

Une politique d’autorisation est un outil qui permet de créer un point de décision formel. Dans l’univers de la gestion des accès et des identités (IAM), la politique d’autorisation peut être mise en œuvre dans un service centralisé, au niveau local ou les deux. Le fournisseur d’identités se charge, pour le compte du service en ligne, du travail de fond, c’est-à-dire de la collecte des attributs d’identité et de la prise de décisions pour l’accès au niveau supérieur. Il est déconseillé de créer une politique-cadre d’autorisations au niveau du service en raison des complexités et des dépenses de maintenance que cela génère. Un tel cadre serait par ailleurs difficile à changer rapidement et vulnérable aux erreurs.

La différence entre gestion des identités et gestion des accès peut se résumer ainsi :

  • La gestion des identités porte sur la gestion des attributs associés à l’utilisateur.
  • La gestion des accès porte sur l’évaluation des attributs sur la base de règles et de la prise de décisions tranchées de type « oui »/« non ».

Les produits GlobalSign IAM sont des outils qui permettent de mettre en œuvre une infrastructure de gestion des identités et des accès complète, adaptable, sécurisée et flexible. Nos produits ont évolué au fil des années pour devenir des solutions reconnues et primées qui permettent à nos clients d’atteindre leurs objectifs stratégiques, de satisfaire et fidéliser leurs clients, de réduire les coûts et d’innover. Vous souhaitez donner un nouvel élan à votre activité ? Contactez-nous !

Partager ce blog