7 bonnes pratiques de la gestion des identités et des accès

Mélanie Lebrun

|

Responsable marketing chez Youzer

10/2023

Articles
>
IAM - gestion des accès et des identités
La gestion des identités et des accès est un vaste domaine dans lequel on peut vite s'éparpiller. Voici un guide des bonnes pratiques qui vous aidera à y voir plus clair dans votre projet. Avant de vous lancer tête baissée, prenez un peu de recul et réfléchissez à l'objectif principal que vous souhaitez atteindre.

Sommaire

L’IAM ou la gestion des identités et des accès en français regroupe tout un tas d’acronyme et de mots techniques mais sous ce vaste sujet quelles sont les bonnes pratiques de l’IAM ?

Nous allons évoquer des grands points mais attention, tous n’ont pas la même importance en fonction de la taille de votre entreprise, de votre turn-over et de la sensibilité aux risques de votre secteur.

Une entreprise avec un très faible turn-over posera un risque faible en termes de comptes orphelins si ces derniers sont correctement gérés alors qu’une entreprise au turn-over important aura beaucoup de mal à les gérer sans erreurs.

Une entreprise de 50 personnes pourra gérer elle-même ses habilitations informatiques alors qu’une entreprise de 3000 personnes aura beaucoup de mal à orchestrer ses onboarding et offboarding informatique sans l’aide d’un spécialiste.

Une banque, un hôpital ou une entreprise de croquettes pour chien n’auront pas les mêmes enjeux en matière de cybersécurité. Certains secteurs sont des cibles de choix pour les hackers.

💡 : il est possible d'écouter cet article ! Retrouvez l'audio en bas de page 🎧

Voici 7 bonnes pratiques de l'IAM :

1. Définissez la feuille de route de votre gestion des identités et des accès

Mettez le doigt sur l’élément déclencheur de votre recherche.

Qu’est-ce qui vous pousse à vous renseigner ?

Il est crucial de définir précisément cet élément-là qui va être votre métrique phare à suivre et qui devra orienter vos recherches.

Les cas les plus fréquents sont :

  • vous êtes dépassés par les onboarding et les processus manuels ne font plus du tout l’affaire,
  • vous avez un support technique qui est submergé de demandes, vous avez besoin d’une solution pour le soulager,
  • vous devez réaliser des audits de conformité et vous réaliser que cela prend un temps énorme, des ressources et pour des résultats peu fiable,
  • vous souhaitez vous certifier du type ISO 27001 et vous n’avez pas de moyen de tracer l’ensemble de vos actions de provisionings,
  • vous ne réalisez pas d’offboarding au moment du départ mais plutôt par des grosses sessions de travail avec les RH tous les 3 mois (ou plus),
  • vous avez réalisé un audit et il est ressorti que vos utilisateurs avaient des droits d’accès souvent trop important.

Ce n’est pas une liste exhaustive, il existe encore d’autres raisons, je n’ai évoqué ici que les principales.

Ne vous perdez pas ensuite dans des fonctionnalités ‘gadgets’ (à ce stade) que vous n’auriez pas envisagé et qui perturbent votre décision. Restez concentré sur votre objectif principal.

2. Déterminez qui doit être impliqué dans la gestion de votre IAM

Listes des personnes impliquées dans un projet d'IAM

Les premiers concernés sont 🔹le service informatique🔹. Ces derniers sont ceux qui vont être en première ligne du support, des demandes, des processus plus ou moins complexes, des retombées en cas de ‘loupé’.
Impliquer l’équipe est donc un critère important et se révèle clairement être une bonne pratique dans la gestion de son IAM pour que le projet fonctionne sur le long terme.

Les 🔹ressources humaines🔹 sont un des acteurs clés qui sont impactés dans la gestion des utilisateurs. Les RH sont la source des connaissances des entrées et des départs et sont donc sollicitées par le service informatique.

Les RH sont souvent obligées de réaliser une double saisie des informations :

  1. pour le SIRH ou le fichier RH,
  2. pour l’informatique par un système de tickets, par un fichier Excel commun avec l’IT ou par des mails.

Seulement, vous le voyez bien, ce système est source d’erreur puisque gérer en second plan par des humains qui risquent d’oublier.

Impliquer les ressources humaines dès le départ est clairement une bonne pratique pour son IAM car le gain de temps et de fiabilité des informations sera très apprécié.

Les RH auront accès à un référentiel unique d’utilisateur qui leur sera précieux.

🔹Les managers🔹 sont les seuls à savoir quels sont les stagiaires de moins de 2 mois, les prestataires et les intérimaires présents dans leur service à un instant T. Cette donnée est cruciale car la gestion des comptes des externes est souvent le point faible dans les services IT et devient une cible de choix lors des cyberattaques.

Il faudra les impliquer pour qu’ils remplissent les formulaires d’ajout ou de modification d’utilisateurs qui seront une brique importante du référentiel unique d’utilisateur.

Ils seront aussi sollicités dans la validation des accès et des droits accordés à chaque membre de leur équipe.

Nous pourrons retrouver dans certaines entreprises 🔹des gestionnaires applicatifs🔹.

Ces derniers auront en charge la gestion d’un parc d’applications pour lesquelles ils devront s’assurer de la suppression des comptes orphelins, des droits attribués à chaque utilisateur et de l’attribution des comptes.

Les valideurs du projet : 🔹la direction🔹.

Elle ne sera pas impliquée dans les différentes étapes de gestion des identités et des accès mais c’est elle qui donnera financièrement le feu vert au projet. Il faut bien lui faire comprendre les enjeux de cybersécurité, de gain de temps et d’optimisation de processus.

Envie de voir une démo instantanée de Youzer ?  
Voir la démo

3. Faites du ménage et éliminez les comptes orphelins et les doublons

Nettoyer les comptes orphelins et les doublons de son SI

Tout au long du cycle de vie d’un utilisateur, des comptes se créent, des droits sont accordés jusqu’au départ de ce dernier.

Il est crucial de suivre ces comptes afin de ne laisser aucun compte actif inutilisé qui devient un compte orphelin. Ce compte deviendrait une faille potentielle et entraverait la sécurité de l’entreprise. Il n'est pas à prendre à la légère.

Le compte est compromis, personne ne s’en aperçoit, il émet des mails, des interactions, l’identité n’est plus celle qu’elle était au départ mais ça personne ne le sait. Il est trop tard à ce moment-là.

Identifiez-les et éliminez-les régulièrement pour éviter une cyberattaque.

Il en est de même avec un doublon. Vous savez, quand vous créez les comptes à la main, il arrive que Matthieu Grignon se retrouve avec un compte mathieu.grignon. Le jour J impossible de retrouver le compte alors on en recrée un autre matthieu.grignon, sauf que le premier existe !

Ces doublons sont aussi des comptes orphelins qui sont des brèches pour la sécurité. Il conviendra de les faire ressortir et de les supprimer ou de les fusionner avec un autre compte.

4. Appliquez le principe du moindre privilège

Afin de renforcer la sécurité de l’entreprise, il est important de n’accorder que le strict nécessaire pour les droits des utilisateurs. Si un utilisateur a besoin d’une augmentation temporaire de ses droits, il faudra suivre dans le temps ce droit et réajuster à la fin de la période le droit initial.

Pour cela, vous pouvez définir un package applicatif de base pour chaque service avec les droits associés. Vous pourrez ainsi vérifier régulièrement si les accès et les droits d’une personne sont en corrélation avec son poste et dans le cas contraire, réajuster.

Cela s’appelle le principe du moindre privilège.

Certains comptes ont besoin de plus de droits, comme la direction, le service informatique, des responsables, ces comptes-là sont donc plus sensibles.

Cela s’appelle les comptes à privilèges. Les comptes privilégiés doivent être étroitement contrôlés et continuellement audités.

La surveillance et l'audit de ces accès permettront de détecter les activités suspectes et de réagir rapidement en cas d'incident de sécurité.

Supervision des comptes à privilèges

5. Automatisez vos processus de provisionings de comptes informatiques

Gérer l’onboarding et l’offboarding informatique, nettoyer les comptes inutilisés, octroyer les bons droits aux bonnes personnes, réaliser des audits, tout cela ne peut pas se faire à la main.

L’automatisation devient une nécessité. Elle est la base de l’IAM car avec elle, on obtient une fiabilité des informations.

Les provisionings sont toutes les actions de création, modification, suspension ou suppression de compte.

Automatiser ses provisionings, au-delà de la bonne pratique, permet de :

  • réduire les erreurs humaines,
  • scaler les processus facilement en fonction de vos mouvements d’utilisateurs,
  • apporter une réponse rapide aux utilisateurs, avoir une grande réactivité face aux évènements
  • se mettre en conformité avec les directives, les réglementations et les certifications grâce notamment à une traçabilité des provisionings (actions),
  • réduire les coûts de main-d’œuvre en supprimant des tâches répétitives (créations de comptes, réinitialisation des mots de passe…),
  • réaliser des audits avec une grande facilité afin de répondre à la grande question : qui à quoi et pourquoi,
  • détecter les anomalies comme les comptes orphelins, les doublons, les écarts d’alignements accès et droits VS poste actuel.

Vous souhaitez recevoir notre livre blanc sur la gestion des identités et des accès ?

Nous n'avons pas pu confirmer votre demande.
Votre demande de livre blanc est bien prise en compte.

6. Mettez en place le MFA et le SSO et rendez le obligatoire

Mise en place du MFA et du SSo obligatoire pour renforcer la sécurité de l'entreprise

Nous avons vu jusqu’ici la partie ‘management’ de l’IAM, une autre partie technique entre en compte avec le SSO, le single sign-on et le MFA, le multifactor authentication.

Une bonne pratique de la gestion des identités et des accès consiste à renforcer au maximum les moyens de connexion des utilisateurs.

Le SSO permet aux utilisateurs de se connecter une seule fois à un système pour accéder à plusieurs applications et ressources. Cela simplifie la gestion des mots de passe pour les utilisateurs et réduit le risque d'utilisation de mots de passe faibles ou réutilisés.

Le MFA est votre alliée pour empêcher les intrusions. Elle ajoute une couche de sécurité en exigeant plus qu'un simple mot de passe et en effectuant une double vérification de votre identité.

Quand vos utilisateurs se connectent et qu’ils disent ‘je suis untel’, le MFA vérifie par un autre moyen que oui, c’est vraiment untel.

7. Pensez compatibilité dans l’IAM

Votre organisation peut utiliser divers systèmes, applications et plateformes. Assurez-vous que votre IAM est conçu pour gérer cette hétérogénéité.

Vous disposez d'Active Directory, d'Azure AD ou tout autre annuaire de comptes utilisateur, vous avez un SIRH ou fichier RH, des sources RH en Excel, vous avez aussi des applications en SaaS et On-premise.

Votre IAM doit être compatible avec l’ensemble de vos outils et doit pouvoir s’interfacer avec tous afin de créer des liens entre eux et ainsi mettre en place une automatisation.

Si votre IAM ne prend pas en compte un des maillons de la chaîne, c’est tout le processus qui s’écroule.

En conclusion

Les bonnes pratiques de l’IAM reposent sur deux éléments essentiels :

  • une simplification et une clarification des processus internes
  • une sécurisation des comptes utilisateurs

Pour que les bonnes pratiques en Identity and Access Management aient un impact, il faut surtout être convaincu en interne. Vous pouvez mettre en place la meilleure solution d’IAM du marché et prêcher les procédures optimales mais si personne ne les respecte cela sera vain.

La pratique la plus importante sera donc d’impliquer les différentes parties prenantes, utilisateurs inclus afin que les gestes de sécurité soient adoptés.

En suivant ces recommandations, vous pourrez mieux maîtriser les identités et les accès de vos utilisateurs, et ainsi préserver la sécurité de votre entreprise et son efficacité dans un environnement numérique en constante évolution.

Les entreprises qui sont prêtes à adopter ces pratiques en matière d’IAM seront mieux préparées à faire face aux défis de demain.

Récap'IT la newsletter de la DSI

Recevez le meilleur des actus IT du mois.
Évolution du marché, tendances IT, les cyberattaques en France ... un condensé de l'actualité informatique du mois.

Nous n'avons pas pu confirmer votre inscription.
Votre inscription est confirmée ! Vous recevrez votre prochain Récap'IT à la fin du mois 😊

Articles recommandés

Découvrez Youzer, la première plateforme
pour gérer simplement vos utilisateurs et leurs accès

Hey ! Vous connaissez la chanson :) Nous utilisons des cookies d'analyse de données anonymes. En “Acceptant tous les cookies”, vous nous aidez à comprendre les pages vues (anonymes). En savoir plus sur notre politique de confidentialité.