L’identité, nouveau pilier de la sécurité dans le Cloud

Login cloud computing
Login cloud computing

Alors que les entreprises adoptent de plus en plus massivement les applications SaaS, les directions des systèmes d’information sont amenées à placer la gestion des identités et des accès au cœur des préoccupations de sécurité.

Première raison à ce mouvement, les applications SaaS prennent en charge de nombreux aspects de la sécurité qui étaient traditionnellement dévolus aux entreprises clientes, comme la sécurisation des systèmes d’exploitation hébergeant les applications, le paramétrage des serveurs web, la haute disponibilité, la veille de vulnérabilités sur les différentes couches logicielles, et beaucoup d’autres questions. Parmi les problématiques qui restent à la charge des entreprises clientes des solutions SaaS, les processus de gestion des identités et des accès occupent ainsi une position centrale : qui a accès à quelles applications ? Comment gère-t-on les arrivées et les départs des collaborateurs ? Quels sont les droits des utilisateurs à l’intérieur de ces applications ? Comment les utilisateurs sont-ils authentifiés auprès de ces nouvelles applications ?

Deuxième raison, l’avènement du SaaS a un impact majeur sur le nombre d’applications qui forment le système d’information des entreprises : l’offre applicative explose et les DSI acquièrent toujours plus d’applications, de plus en plus verticales. Les mastodontes applicatifs sont complétés par une multitude de solutions, qui ne sont plus spécifiques à un métier donné (finances, RH…) mais qui outillent un processus particulier au sein de ces métiers (gestion de trésorerie, recrutement…).

Les processus de gestion des identités et des accès n’échappent pas au nouveau paradigme du SaaS, et de nouvelles offres, connues sous le nom d’Identity-as-a-Service (IDaaS), voient le jour pour sécuriser l’accès aux données hébergées par ces myriades d’applications.

Les solutions d’IDaaS fournissent un ensemble d’outils pour authentifier les utilisateurs, y compris par des mécanismes d’authentification forte lorsque les données hébergées le nécessitent, approvisionner et dé-commissionner automatiquement les comptes lors des mouvements de personnel, mettre en œuvre une politique de contrôle d’accès, fédérer les applications en se substituant aux mécanismes d’authentification de chacune des applications, et auditer les politiques mises en œuvre. Pour cela, les solutions d’IDaaS s’interfacent avec trois types de systèmes : les bases d’utilisateurs, le plus souvent sous la forme d’annuaires Active Directory, les systèmes d’authentification forte (applications mobiles ou jetons matériels), et bien entendu les applications.

Ces solutions permettent aux entreprises de répondre aux exigences correspondantes des normes de sécurité de l’information, comme le référentiel ISO 27000. Elles améliorent à la fois le niveau de protection des actifs de l’entreprise, l’expérience utilisateur et l’efficacité de l’administration du SI.

Concernant les applications, certains prérequis doivent être validés pour tirer pleinement partie des solutions d’IDaaS :

  • Les applications doivent supporter la fédération d’identité par le biais des protocoles SAML 2.0, OpenID Connect ou OAuth 2.0 ;
  • Elles doivent avoir la capacité d’approvisionner automatiquement les comptes utilisateurs en s’appuyant sur les données du fournisseur d’identités pour déterminer le profil du nouvel utilisateur ;
  • Les applications mobiles correspondantes doivent être compatibles avec l’authentification fédérée.

Les DSI désireuses de bénéficier des solutions d’IDaaS pour outiller leur gestion des identités et des accès doivent s’assurer que les applications qu’elles déploient répondent à ces trois prescriptions.

gregory-haikGrégory Haïk
Président de la commission
Président de Trustelem
https://www.trustelem.com

Haut