Le paysage de la gestion des identités et des accès

Pour se développer, toute société, entreprise ou organisation doit disposer d'une méthode systématique pour recruter ses employés ou ses membres. Aujourd'hui, cette méthode s'inscrit souvent dans le cadre de la gestion des identités et des accès (IAM), parfois connue sous le nom de gestion des identités et des accès (ICAM). Dans les deux cas, le cadre général décrit la manière d'intégrer les nouveaux employés dans l'organisation, de gérer les successions et de supprimer les comptes si nécessaire.

Les éléments de la gestion des identités et des accès concernent toutes les entreprises, quelle que soit leur taille. Il n'est jamais trop tôt pour commencer à réfléchir à la manière dont une organisation doit gérer et conserver ses employés ou ses membres.

Dans ce document, nous explorons les six principaux éléments de la gestion des identités et des accès, et la manière dont vous pouvez les appliquer à votre organisation.

Avec un mot de passe long, complexe, aléatoire et unique par compte, les utilisateurs se mettent en position de force pour rester protégés. Une mesure encore plus efficace consiste à ajouter la connexion en deux étapes, ou l'authentification à deux facteurs, à la fois à la connexion à votre gestionnaire de mots de passe et à d'autres sites web et services.

Avec votre gestionnaire de mots de passe, la connexion en deux étapes peut être configurée avec des applications d'authentification, des clés de sécurité, des courriels ou des SMS. Notez que de nos jours, les SMS sont considérés comme l'une des méthodes les plus sensibles au piratage, en raison de la prévalence de l'utilisation de la carte SIM comme stratégie d'intrusion.

Quelle que soit la voie choisie par les utilisateurs, il faut s'assurer que chacun comprend les ramifications de la connexion en deux étapes, conserve une copie des codes de récupération de la connexion en deux étapes sur le site web si elle est proposée, et dispose d'une méthode pour sauvegarder les clés d'authentification proposées au cours du processus d'enregistrement de la connexion en deux étapes.

Certains gestionnaires de mots de passe proposent des authentificateurs intégrés. Les utilisateurs bénéficient ainsi d'une grande facilité d'utilisation, en particulier dans les environnements partagés. Les utilisateurs peuvent désormais partager un identifiant, y compris la séquence de connexion en deux étapes, sans avoir à s'appeler ou à s'envoyer des SMS pour connaître le code secret.

Bien sûr, certains pourraient s'interroger sur l'intérêt d'inclure une étape d'authentification intégrée dans votre gestionnaire de mots de passe, et se demander si cela n'annule pas la valeur de l'authentification. En fin de compte, les utilisateurs ont le choix et les employeurs peuvent informer sur les pratiques préférées. Voici les raisons de poursuivre une approche intégrée

1. Le coffre-fort de votre gestionnaire de mots de passe doit lui-même permettre une connexion en deux étapes à l'aide d'une autre méthode. (Important : vous ne devez pas utiliser l'authentificateur intégré de votre gestionnaire de mots de passe pour protéger votre compte de gestionnaire de mots de passe). Par conséquent, votre chambre forte et vos comptes sont actuellement protégés par un niveau de sécurité élevé et, en fait, par une connexion en deux étapes.

2. L'activation de la connexion en deux étapes pour les sites web et les applications offre plus de sécurité que si elle n'est pas activée. L'intégration plus étroite de la connexion en deux étapes facilite son utilisation plus fréquente, ce qui favorise l'adoption de meilleures pratiques en matière de sécurité.

3. Si vous devez partager un élément, vous pouvez le faire en activant la connexion en deux étapes, ce qui, là encore, renforce la sécurité. Il s'agit d'une collaboration et d'un mouvement de pouvoir en deux étapes.

4. Vous n'avez pas besoin de vous souvenir de l'application d'authentification que vous avez utilisée, puisqu'elle reste intégrée.

5. Vous pouvez toujours choisir, au cas par cas, quelle connexion authentifier en interne dans l'authentificateur de votre gestionnaire de mots de passe, ou en externe à l'aide d'une application d'authentificateur distincte.

Alors que le monde évolue vers l'absence de mot de passe, assurez-vous que votre gestionnaire de mot de passe et votre stratégie globale de gestion des identités et des accès comportent des options sans mot de passe. Par exemple

• Assurez-vous que vous pouvez vous connecter à des appareils biométriques et activez les fonctions de remplissage automatique pour les informations d'identification biométriques.

• Pour l'authentification unique (Single Sign On), également abordée plus loin, il convient d'explorer les options qui offrent des expériences sans mot de passe

• Envisager l'utilisation de clés de sécurité dans l'ensemble de l'organisation

• Lors du déploiement des clés de sécurité, il faut penser à des options redondantes, ainsi qu'à des procédures de sauvegarde et de récupération en cas de disparition des clés, ou si les clés sont liées à des comptes d'utilisateurs critiques pour l'entreprise.

• Par exemple, il peut être judicieux pour un employé d'indiquer l'emplacement de toute clé de sécurité de secours dans son coffre-fort de gestion des mots de passe, accessible uniquement en cas de reprise de compte et d'accès d'urgence

Avec l'essor des applications SaaS (Software-as-a-Service), de nombreuses entreprises ont tiré parti de l'authentification unique pour permettre un accès unifié aux comptes des sites web. Bien entendu, l'authentification unique exige que le site web ou le service dispose de cette fonction. Si de nombreux sites web destinés aux entreprises proposent l'authentification unique, il reste un monde de sites web et de services qui ne le font pas. Un gestionnaire de mots de passe comble cette lacune et bien plus encore.

Certains gestionnaires de mots de passe peuvent également s'intégrer à l'authentification unique, ce qui permet aux entreprises de fournir automatiquement des utilisateurs à l'organisation.

Bien entendu, une application chiffrée de bout en bout telle qu'un gestionnaire de mots de passe est un peu différente d'un service SaaS classique. Étant donné qu'un modèle de sécurité de gestionnaire de mots de passe avec cryptage à connaissance nulle garantit que le fournisseur ne peut rien voir dans votre coffre-fort, le contexte de l'authentification unique prend une tournure différente.

Le principe de base d'un gestionnaire de mots de passe est que l'utilisateur final détient la clé pour crypter et décrypter ses données. Le gestionnaire de mots de passe ne connaît pas la clé et ne peut pas la fournir à l'utilisateur en cas de perte. De même, un gestionnaire de mots de passe ne peut pas donner aveuglément la clé de déchiffrement d'un utilisateur final à un autre service tiers (tel qu'un fournisseur d'identité) et compter sur cet autre fournisseur pour conserver la clé en toute sécurité.

C'est pourquoi un modèle sécurisé d'intégration avec les fournisseurs d'identité existants permet l'authentification par le fournisseur d'identité, mais conserve le cryptage et le décryptage à l'aide d'un mot de passe principal conservé par l'utilisateur, spécifique au gestionnaire de mots de passe. Cela garantit qu'aucun tiers n'a accès au décryptage du coffre-fort de l'utilisateur final. Cela signifie également que le mot de passe principal de cryptage et de décryptage doit être unique pour le gestionnaire de mots de passe.

Cette approche garantit également que les utilisateurs peuvent bénéficier de chaque application client offerte par le gestionnaire de mots de passe à travers les navigateurs, les systèmes d'exploitation mobiles, les systèmes d'exploitation de bureau, l'accès au web et les interfaces de ligne de commande.