Qu'est-ce que la Identity Access Management (IAM) ?
La Identity Access Management (IAM) est un cadre qui permet à l'équipe informatique de contrôler l'accès aux systèmes, aux réseaux et aux ressources en fonction de l'identité de chaque utilisateur. Elle est constituée de deux composants principaux :
1. Gestion des identités : vérifie l'identité de l'utilisateur sur la base des informations stockées dans une base de données de gestion des identités.
2. Gestion des accès : utilise l'identité du demandeur pour confirmer ses droits d'accès à différents systèmes, applications, données, terminaux et autres ressources.
Les principales fonctions d'une solution IAM sont les suivantes :
- Attribuer une identité numérique unique à chaque utilisateur
- Authentifier l'utilisateur
- Autoriser un accès approprié aux ressources pertinentes
- Surveiller et gérer les identités afin de les aligner sur les changements survenant dans l'entreprise
Pourquoi l'IAM est-elle importante ?
Dans le paysage numérique actuel, les entreprises doivent à tout prix assurer la sécurité de leur infrastructure et de leurs ressources, en particulier des données. Elles doivent dans le même temps offrir une expérience fluide aux collaborateurs autorisés qui ont besoin d'accéder à des ressources numériques diverses, y compris celles hébergées dans le cloud et sur site, sans avoir à passer par des systèmes d'authentification et des référentiels d'identités distincts pour faire leur travail.
Avec la complexification de l'environnement informatique due à la prolifération des terminaux connectés et à la généralisation du télétravail, les entreprises doivent veiller à octroyer le niveau d'accès approprié à chaque utilisateur de manière à la fois transparente et efficace.
L'IAM aide les entreprises à rationaliser et à automatiser les tâches de Identity Access Management, ainsi qu'à mettre en place des contrôles d'accès et des privilèges plus granulaires. Avec une solution IAM, les équipes informatiques n'ont plus besoin d'effectuer certaines tâches manuellement, comme l'attribution des contrôles d'accès, la surveillance et la mise à jour des privilèges ou la mise hors service de comptes. Les entreprises peuvent également mettre en place une authentification unique (SSO) afin d'authentifier l'identité de l'utilisateur et d'accorder l'accès à plusieurs applications et sites web avec un seul jeu d'identifiants.
En quoi l'IAM diffère-t-elle de la sécurité des identités ?
Techniquement parlant, une solution IAM est une solution de gestion et non une solution de sécurité. Si l'IAM permet de restreindre l'accès aux ressources grâce à la gestion des identités numériques, les règles, programmes et technologies IAM ne sont généralement pas conçus en tant que solutions de sécurité à la base.
Par exemple, les technologies IAM qui stockent et gèrent les identités afin d'offrir des fonctionnalités d'authentification unique ou d'authentification multifacteur (MFA) ne sont pas en mesure de détecter et de prévenir en temps réel les attaques liées aux identités. Les solutions IAM sont également un élément clé de la stratégie globale de protection des identités, mais elles n'offrent qu'une visibilité superficielle sur les endpoints, les terminaux et les ressources, ainsi que sur les identités et le comportement des utilisateurs.
La sécurité des identités ne se substitue pas aux règles, programmes et technologies IAM, mais vise plutôt à les compléter et à les optimiser grâce à des fonctionnalités avancées de détection et de prévention des menaces. Elle offre un niveau de sécurité renforcé indispensable à chaque utilisateur, qu'il dispose d'un compte humain, de service ou à privilèges, et neutralise les risques de sécurité dans AD, généralement considéré comme le maillon faible de la cyberdéfense d'une entreprise.
Enfin, si la sécurité des identités et l'IAM sont des fonctionnalités essentielles de l'architecture de sécurité d'une entreprise, il est important de garder à l'esprit qu'elles ne sont que deux éléments d'une plateforme de sécurité plus large. Pour bénéficier d'une protection optimale, les entreprises doivent élaborer une stratégie de cyberdéfense complète, couvrant la sécurité des endpoints, la sécurité informatique, la protection des workloads cloud et la sécurité des conteneurs. La solution de sécurité des identités et l'outil IAM doivent également être intégrés à l'architecture Zero Trust de l'entreprise.
Gestion des identités
Les systèmes IAM utilisent différentes méthodes pour authentifier l'identité d'un utilisateur, notamment l'authentification unique.
L'authentification unique attribue une identité numérique unique à chaque utilisateur. Les identifiants de ce compte peuvent être utilisés pour accéder à tout système, logiciel, terminal ou ressource approuvé au sein du service d'annuaire Active Directory sans devoir saisir à nouveau un nom d'utilisateur et un mot de passe spécifiques à cette ressource.
Les services de fédération Active Directory (AD FS) sont la solution d'authentification la plus connue. Développés par Microsoft, ils offrent un accès sécurisé à un domaine, un terminal, une application web ou un système au sein du service d'annuaire Active Directory (AD) d'une entreprise, ainsi qu'à des systèmes tiers approuvés.
Si de nombreuses entreprises mettent en place une solution d'authentification unique en interne, d'autres font appel à un outil IDaaS (Identity-as-a-Service), sorte de modèle d'abonnement cloud pour l'IAM proposé par un fournisseur. Comme pour tout modèle proposé sous forme de service, un outil IDaaS constitue souvent une option viable, étant donné que l'externalisation des services IAM peut se révéler plus rentable, plus facile à implémenter et plus efficace que la gestion en interne.
Gestion des accès
En plus de confirmer l'identité des utilisateurs, le système IAM doit également leur accorder un niveau d'accès approprié. Différentes stratégies d'accès sécurisé s'offrent aux entreprises :
Zero Trust
Le Zero Trust est un cadre de sécurité qui exige que tous les utilisateurs, qu'ils soient internes ou externes au réseau de l'entreprise, soient authentifiés, autorisés et continuellement validés en ce qui concerne leur configuration et leur niveau de sécurité, avant de se voir accorder ou de conserver l'accès aux données et aux applications.
Pour implémenter ce cadre, il vous faut combiner plusieurs technologies avancées, telles que l'authentification à plusieurs facteurs basée sur le risque, la protection de l'identité, la sécurité des endpoints de nouvelle génération et une protection robuste des workloads cloud pour vérifier l'identité des utilisateurs et des systèmes, prendre en compte le moment précis de l'accès et gérer la sécurité du système. Le cadre Zero Trust prévoit aussi le chiffrement des données, la sécurisation de la messagerie et la vérification de l'hygiène des ressources et des endpoints avant qu'ils se connectent aux applications.
Principe du moindre privilège
Le principe du moindre privilège est un concept et une pratique de sécurité informatique qui consiste à octroyer aux utilisateurs des droits d'accès limités en fonction des tâches qu'ils doivent réaliser dans le cadre de leur travail. En vertu de ce principe, seuls les utilisateurs autorisés dont l'identité a été vérifiée disposent des autorisations nécessaires pour effectuer des tâches dans certains systèmes et applications ou accéder à certaines données ou ressources.
Le principe du moindre privilège est généralement considéré comme l'une des pratiques les plus efficaces pour renforcer le niveau de cybersécurité de l'entreprise, dans la mesure où il permet à celle-ci de contrôler et de surveiller l'accès au réseau et aux données.
Gestion des accès privilégiés (PAM)
La gestion des accès privilégiés (PAM) est une stratégie de cybersécurité qui sert à préserver la sécurité des comptes administrateur.
Segmentation selon l'identité
La segmentation selon l'identité ou basée sur l'identité est une méthode destinée à limiter l'accès des utilisateurs aux applications et aux ressources en fonction des identités.
Authentification multifacteur (MFA)
L'authentification multifacteur (MFA) est une fonction de sécurité qui n'accorde l'accès à un utilisateur qu'après avoir vérifié son identité au moyen d'un ou plusieurs identifiants, en plus de son nom d'utilisateur et de son mot de passe. Il peut s'agir d'un code de sécurité envoyé par SMS ou par e-mail, d'un jeton de sécurité fourni par une application d'authentification, ou encore d'un identifiant biométrique.
Authentification basée sur le risque (RBA)
Également appelée authentification adaptative, l'authentification basée sur le risque est un protocole de sécurité qui demande uniquement à un utilisateur de confirmer son identité au moyen de l'authentification multifacteur lors d'opérations à haut risque ou inhabituelles, comme la connexion depuis un nouveau terminal ou un emplacement différent.
Contrôle d'accès basé sur le rôle (RBAC)
Cette méthode consiste à attribuer automatiquement des privilèges d'accès en fonction du rôle de l'utilisateur au sein de l'entreprise, de son niveau ou de son alignement sur une équipe ou une fonction donnée.
Protection de l'implémentation de votre solution IAM
La Identity Access Management fait partie intégrante de l'environnement informatique et de l'architecture de cybersécurité plus larges de l'entreprise. C'est pourquoi elle doit être intégrée à d'autres systèmes et solutions, notamment la solution de sécurité des identités et l'architecture Zero Trust.
Sécurité d'AD
L'un des aspects les plus critiques de l'implémentation d'une solution IAM est la sécurité d'Active Directory, ou sécurité d'AD. La sécurité d'Active Directory (AD) détermine le niveau global de sécurité d'une entreprise, car ce service contrôle tous les accès aux systèmes. Une gestion efficace d'Active Directory permet de protéger les identifiants, les applications et les données confidentielles de votre entreprise contre tout accès non autorisé. Un niveau de sécurité élevé permet d'empêcher les utilisateurs malveillants de compromettre votre réseau et de porter préjudice à votre entreprise.
Pour prévenir efficacement toute compromission d'Active Directory, la meilleure solution consiste à utiliser un système de surveillance des journaux d'événements. La surveillance de l'activité depuis ces journaux permet aux entreprises de repérer les compromissions avant qu'elles ne provoquent des dommages.
Recherchez dans vos journaux d'événements tout signe d'activité suspecte, notamment les événements suivants :
- Activité des comptes à privilèges : les cyberattaquants exploitent généralement une vulnérabilité liée aux privilèges et utilisent la technique d'élévation des privilèges pour accroître les privilèges d'un compte utilisateur compromis. Il peut également s'agir d'une activité sur un compte utilisateur à privilèges en dehors des heures de bureau ou d'une soudaine augmentation du volume de données consulté par le compte utilisateur.
- Échecs de connexion : des échecs répétés de connexion à un compte peuvent être le signe d'une tentative d'accès par un cybercriminel.
- Connexions à distance : les cyberattaquants tentent souvent d'accéder à votre système à distance. Si vous remarquez une connexion depuis une adresse IP (Internet Protocol) basée dans un pays étranger ou une autre localité, cela peut être le signe qu'Active Directory est compromis.
Implémentation d'une solution IAM
L'implémentation repose sur les étapes de base suivantes :
- Détermination des objectifs de base de la solution IAM
- Vérification des systèmes actuels et d'ancienne génération afin d'identifier les failles au sein de l'infrastructure existante
- Identification des principales parties prenantes afin de faciliter le mappage des identités et la définition des règles d'accès utilisateur
- Identification des différents groupes d'utilisateurs avec le plus de précision possible
- Identification de tous les scénarios d'accès utilisateur et définition des règles correspondantes ; prise en compte des ressources cloud et des différences entre l'accès au sein d'un environnement cloud et un accès sur site
- Détermination de tous les points d'intégration avec d'autres systèmes ou protocoles de sécurité, notamment la solution Zero Trust ou le système de sécurité des identités
L'avenir de l'IAM
Selon une analyse réalisée par l'équipe de Threat Hunting CrowdStrike Overwatch™, 80 % des compromissions sont liées aux identités. Ces attaques modernes contournent souvent la cyberchaîne d'attaque ou cyber kill chain classique en exploitant directement des identifiants compromis pour effectuer des déplacements latéraux et lancer des attaques plus vastes et aux conséquences plus graves.
Cette faille, conjuguée à la généralisation rapide des modes de travail à distance, expose les entreprises à un risque élevé d'attaques liées aux identités. Les entreprises ont dès lors plus que jamais besoin d'une solution de sécurité des identités robuste et flexible intégrant l'IAM. Ensemble, ces solutions sont conçues pour bloquer les cyberadversaires qui ont réussi à contourner les autres mesures de sécurité, comme les outils EDR.
Réduction de la surface d'attaque des identités avec CrowdStrike Falcon IDP
Une compromission de la sécurité d'AD a pour effet d'exposer l'infrastructure des identités et de créer une surface d'attaque très vaste pouvant conduire à des attaques de ransomwares et à des compromissions de données, de même que porter atteinte aux activités de l'entreprise et à sa réputation. Les équipes IAM et de sécurité doivent dès lors sécuriser le référentiel d'identités d'AD. Pour ce faire, elles doivent s'assurer que des protocoles d'ancienne génération et obsolètes (version 1 de NTLM, par exemple) ne sont pas utilisés. Elles doivent par ailleurs déterminer en temps réel si un compte de service spécifique ou un compte inactif est en train d'exécuter un protocole RDP (Remote Desktop Protocol) de connexion à distance au contrôleur de domaine ou tente de se déplacer latéralement vers des serveurs critiques grâce à une élévation des privilèges ou à des identifiants volés.
Les limites des outils cloisonnés et traditionnels de protection d'AD augmentent la surface globale des attaques basées sur l'identité. Ces problèmes expliquent notamment pourquoi 80 % des attaques reposent sur les identifiants. Les équipes IAM et de protection d'AD recourent parfois à plusieurs outils pour sécuriser AD, mais ce dont elles ont réellement besoin c'est de pouvoir sécuriser à la fois AD et Azure AD depuis une console unifiée afin de comprendre en détail les tenants et les aboutissants (qui, où, quand et pourquoi) de chaque demande d'authentification et d'autorisation, ainsi que les risques auxquels l'entreprise est exposée. Cette console doit en outre leur permettre d'étendre l'authentification multifacteur basée sur le risque et l'accès conditionnel aux applications d'ancienne génération afin de réduire considérablement la surface d'attaque.
Et comme la majorité des attaques modernes reposent sur les identifiants, l'identité n'est pas seulement l'élément le plus important du Zero Trust, elle est aussi le nouveau périmètre. CrowdStrike Falcon Identity Protection assure la sécurité de chaque identité, que ce soit dans les versions sur site et cloud d'AD ou encore dans Azure AD.
Intégrée à la plateforme CrowdStrike Falcon®, Falcon Identity Protection repose sur un moteur d'attribution de scores de risque en continu qui analyse en temps réel les indicateurs de sécurité présents dans le trafic d'authentification. Conformément aux principes du Zero Trust, les scores de risque sont établis de l'intérieur vers l'extérieur, en se basant sur les rôles d'utilisateur, les règles d'authentification définies par l'utilisateur et les référentiels d'identités, plutôt que selon le schéma classique de l'extérieur vers l'intérieur. Falcon Identity Protection est la seule solution Zero Trust cloud native qui protège AD, le maillon le plus faible de votre stratégie de cyberdéfense.
CrowdStrike Identity Protection comprend deux composants principaux :
Falcon Identity Threat Detection
Falcon Identity Threat Detection offre aux entreprises une visibilité accrue sur les attaques et les anomalies liées aux identités en temps réel sans nécessiter l'ingestion des fichiers journaux. Cet outil est idéal pour les entreprises qui souhaitent uniquement bénéficier de fonctionnalités de Threat Hunting et d'alerte en cas d'incident lié aux identités, et pas de la prévention automatisée des menaces.
Falcon Identity Threat Protection
Falcon Identity Threat Protection assure une détection des menaces de haute précision et la prévention en temps réel des attaques liées aux identités en combinant la puissance de l'intelligence artificielle (IA) avancée, de l'analyse comportementale et d'un moteur de règles flexible pour appliquer un accès conditionnel basé sur le risque.
Pour en savoir plus sur CrowdStrike Falcon Identity Protection, téléchargez notre fiche technique ou demandez une démonstration :
Découvrez, dans cette démonstration en deux temps réalisée par nos experts, la défense en profondeur indispensable offerte par CrowdStrike Falcon Identity Protection.
<b>Demander une démo</b>