Gérer les accès et identités

Les accès distants utilisateurs

Il existe différentes solutions permettant un accès distant des collaborateurs aux applications et données internes de l'entreprise :

• Le VPNSSL : solution "historique", proposant à la fois un accès VPN réseau via un agent déployé sur les postes de travail, et un accès sans agent au travers d'un portail Web.
• Le Zero Trust Network Access (ZTNA) : évolution du VPN classique, consistant à appliquer le principe de "confiance nulle". Les solutions ZTNA réalisent un contrôle strict et continu :
  • De qui et quoi se connecte : identité de l'utilisateur, conformité du poste de travail ou du périphérique mobile, identification de l'environnement réseau…
  • De ce vers quoi il se connecte : ouverture dynamique des accès aux seules applications autorisées (et pas à tout un réseau)

Ces solutions peuvent être déployées sous forme d'équipements physiques ou virtuels, mais sont de plus en plus proposées en mode "As-a-service" au travers des offres SASE et SSE.

L'authentification multi-facteurs

La faiblesse des mots de passe reste le principal facteur de compromission des entreprises.

Les solutions d'authentification Multi-Facteurs (MFA) doivent être un prérequis indispensable à la fourniture d'accès distants.

Ces solutions peuvent prendre plusieurs formes, notamment :

• Les One-time Password (OTP) : proposent de compléter l’authentification classique (login/mot de passe) par un mot de passe à usage unique généré aléatoirement dans le temps. Existe sous forme physique (Token OTP) ou logiciel.
• Les Token USB / Certificats : périphérique physique contenant un certificat et devant être connecté au poste de travail pour autoriser l'accès.
• Le "Push" mobile : solution de plus en plus déployée car elle offre la meilleure expérience utilisateur et le plus haut niveau de sécurité. Elle s'appuie sur une application déployée sur le smartphone de l'utilisateur et demandant une confirmation lors d'une tentative d'accès.

La gestion des identités

La gestion centralisée des identités est un facteur clé de la maitrise des accès utilisateurs.

Elle s'appuie généralement sur 2 briques fonctionnelles :

• L'Identity Access Management (IAM) permet de fédérer l’ensemble des sources d’identité de l’entreprise (Identity Provider : IdP) : annuaires LDAP, Microsoft AD, Fournisseurs SAML... La solution propose une expérience utilisateur unifiée avec une interface d’authentification unique et une centralisation des demandes d'accès offrant une traçabilité accrue.
• Les solutions de Single-Sign On (SSO) : mécanismes permettant à l’utilisateur de ne s’authentifier qu’une seule fois, et d’être par la suite automatiquement identifié sur les applications qu’il utilise. Fournit une expérience utilisateur améliorée sans dégrader le niveau de sécurité.

La gestion des accès à privilèges

Certains utilisateurs disposent, au sein des entreprises, d'accès privilégiés sur le système d'information : les administrateurs système & réseau, certains partenaires (télémaintenance, développeurs…)

Ces accès doivent être gérés différemment des accès distants des collaborateurs, afin d'avoir un haut niveau de contrôle et de traçabilité sur les actions réalisées.

Les solutions de Privilege Access Management (PAM) permettent notamment :

• De réduire la surface d’attaque en définissant un seul point d’accès à l’administration des équipements.
• De gérer de manière très granulaire les droits d’accès aux équipements.
• De gérer les comptes à privilèges locaux et la sécurité des mots de passe utilisés.
• D’enregistrer et de « rejouer » les actes d’administration réalisés.