Académique Documents
Professionnel Documents
Culture Documents
En sécurité des systèmes d'information, la Gestion des Identités et des Accès (GIA) (en
anglais Identity and Access Management : IAM) est l’ensemble des processus mis en œuvre par une
entité pour la gestion des habilitations de ses utilisateurs à son système d’information ou à
ses applications. Il s’agit donc de gérer qui a accès à quelle information à travers le temps. Cela
implique ainsi d’administrer la création, la modification, et les droits d’accès de chaque identité
numérique interagissant avec les ressources de l’entité.
La gestion des identités et des accès s'intéresse par exemple au contrôle de la façon dont les
utilisateurs acquièrent une identité, la protection de cette identité et les technologies permettant
cette protection.
la gestion de l’utilisateur ;
Identification
Certaines applications informatiques ou certains services en ligne n'étant pas publics, mais réservés à
des utilisateurs bien particuliers, il est nécessaire pour eux de passer par une procédure
d'identification, au cours de laquelle ils fourniront un identifiant, représentation de leur identités.
Cette étape initie la relation entre l'utilisateur et les ressources informationnelles du système. Elle
permet d'attribuer à l'utilisateur un ensemble de paramètres qui le caractérisent de façon unique,
rassemblé sur une fiche identité, propre à chaque utilisateur comportant également les droits
d'accès qui sont associés à la fois à l'utilisateur et au contexte de son utilisation des ressources de
l'entité.
Par ailleurs une solution GIA peut permettre la simplification de l'accès à un système d'information
en intégrant un système d'authentification unique, autorisant à l'utilisateur l'accès à un ensemble
d'application avec une seule identification et authentification.
Authentification
Une fois qu’une identité a été associée à l’utilisateur, il est nécessaire de la vérifier afin de confirmer
son individualité. L’authentification prend généralement la forme d’un couple identifiant/mot de
passe et permet de créer une session entre l’utilisateur et le système afin de permettre à celui-ci
d’interagir avec la ressource jusqu’à la fin de la session (déconnexion, expiration, ...).
L'authentification des utilisateurs prend de plus en plus d'importance en Gestion des identités et des
accès afin de limiter les fraudes et s'assurer de l'identité d'une personne tentant d'accéder à un
système. Ceci mène souvent les propriétaires de système ou d'application à requérir à
l'authentification à plusieurs facteurs.
L'identification et l'authentification permettent d'empêcher les intrusions potentiellement source de
corruption des données informatiques de l'entité.
Autorisation
Gestion de l'utilisateur
Cette fonction rassemble la gestion et la modification des utilisateurs, des groupes et des rôles. Le
cycle de vie entier de l’utilisateur, de la création à la suppression de son identité au sein du système,
est alors contrôlé.
Enjeux
La mise en place dans une entité d’un système GIA demeure un investissement et dont l’utilité peut
paraître financièrement incertaine. Ainsi, les principaux bénéfices d’une GIA performant sont :
Financier
La multiplication de systèmes au sein de l’entité peut réduire l’efficience des utilisateurs qui doivent
alors gérer de nombreux couples identifiant-mot de passe. De plus, le stockage des différentes bases
de données qui comportent des informations redondantes génère des coûts. Enfin, le centre
d’assistance peut être davantage consulté sans mise en place d'une solution GIA.
Sécurité
La mise en place d’une solution GIA permet d’améliorer la sécurité d’un système informatique à
travers :
la confidentialité, une information ne peut être lue que par les utilisateurs qui y sont
autorisés ;
Souplesse
Les modifications constantes d’accès ou d’identités d’un utilisateur sont plus rapidement effectuées
sur l’ensemble des applications du système grâce à une gestion centralisée. Ceci permet donc une
mise en conformité simplifiée et accélérée des identités et accès des utilisateurs aux besoins de
l’entité.
Perspectives
La GIA permettant une solide gestion des identités, avec des pratiques rigoureuses d'authentification
et d'autorisation, elle garantit ainsi une certaine confiance dans les entreprises et a donc contribué
au développement de l'économie numérique. En effet, si les solutions de gestion d'identités existent
depuis de nombreuses années, les technologies s'y référant ne cesse d'évoluer et de se confronter à
de nouvelles difficultés. Avec l'avènement du cloud, des nouvelles législations et normes
industrielles, la GIA ne cesse de se transformer.
Que ce soit avec le cloud, sur un terminal mobile ou dans un centre de données, tous les utilisateurs
d'une entreprise doivent pouvoir consulter certaines ressources pour travailler. De plus, l'accès des
utilisateurs à cet environnement doit s'effectuer de manière à sécuriser leur vie privée, les données
de l'entreprise mais aussi à se conformer aux obligations réglementaires.
À l'origine, les GIA ne se basaient que sur de multiples outils et des procédés manuels. Cette
première génération est dépassée, car elle ne permet pas aux entreprises de connaître précisément
la cartographie complète de l'ensemble des accès des utilisateurs dans l'entreprise.
C'est d'autant plus vrai que les modèles d'organisation caractérisés par un contrôle centralisé des
accès par un unique département informatique ne sont plus d'actualité. Les utilisateurs apportent
désormais leur propre terminal mobile dans l'entreprise pour pouvoir accéder à leur environnement
de travail (réseau d'entreprises) et les départements métiers décident généralement d'eux-mêmes
de lancer des applications Cloud sans consultation du département informatique.
La nouvelle génération de GIA a donc l'obligation de faire un lien de façon transparente entre les
utilisateurs et les applications du réseau de l'entreprise ; entre les utilisateurs et les applications
extérieures du réseau afin de fournir une visibilité et un contrôle total.
De nos jours, les GIA cherchent de plus en plus dans les processus d'authentification à faire
converger identité physique avec identité numérique. Une identité numérique étant une
combinaison d'éléments permettant une authentification de l'utilisateur avant une autorisation
d'accès.
En parallèle, les méthodes d'authentification n'ont cessé de s'améliorer en matière de sécurité tout
en garantissant un accès simple pour l'utilisateur. On distingue ainsi trois catégories de méthodes,
basés sur trois facteurs d'authentification :
facteurs physiques (ce que l'utilisateur est) : signatures, empreintes digitales, empreintes
rétiniennes, voix…
Afin de maximiser la sécurité, et d'empêcher toutes tentatives d'usurpation d'identité de plus en plus
sophistiquées, les méthodes d'authentifications doivent s'appuyer sur au moins deux de ces trois
facteurs.
Outre ces nouvelles méthodes d’authentification, les nouvelles générations de GIA devront intégrer
quatre caractéristiques majeures :
la capacité de gérer des solutions de gestion mobiles (MDM : Mobile Device Management).
Les employés utilisant de plus en plus des applications mobiles pour avoir accès au Cloud et
autres applications web. En intégrant le MDM à la GIA, les entreprises pourront assurer un
contrôle total sur les ressources ;
la capacité à avoir une vision unique et centralisée des données afin d’obtenir un référentiel
unique sur les droits et les accès, en interne et dans le Cloud ;
Pour un gouvernement et les citoyens, il est essentiel que les secteurs fournissant des services vitaux
tels que l’alimentation, la défense, la sécurité civile, les soins, la fourniture d’énergies (dont
électricité), le transport en commun, les télécommunications, les banques, etc. soient capables
de résilience face à une crise grave. De nombreuses entreprises sont de plus en plus dépendantes de
leurs fournisseurs ou sous-traitants. Il est de leur intérêt que la planification de la continuité soit faite
et partagée par la chaine des acteurs (du fournisseur au consommateur de biens ou de services).
Il existe en France une norme AFNOR (norme ISO 22301 dite Système de management de la
continuité d’activité, exceptionnellement mis à disposition gratuite de tous le 23 mars 2020 pour
répondre à la pandémie de COVID-19.
Le Disaster Recovery Institute International (DRII) suggère dans ses bonnes pratiques quatre critères
pour un PCA : “resume without notice”, “data stored off-site”, “within recovery time objective”,
“without key personnel”. Créé et maintenu par Disaster Recovery Institute International, Les
Pratiques Professionnelles pour la Gestion de la Continuité d’Activités est un ensemble de
connaissances conçu pour aider à l'élaboration, à la mise en œuvre, et le maintien d’un programme
de gestion de la continuité des activités. Il est également destiné à servir d’outil pour effectuer des
évaluations des programmes existants. Ce qui se résume en :
les démarches existantes de type « Assurance qualité », dont un état des lieux mis à jour sur
les thèmes vitaux incluant la sécurisation des locaux, des ressources vitales (dont
informatiques et télécommunication) ;
les plans d’alerte et de secours, les plans de crise et de reprise d’activité (Cf. résilience) en
vigueur ;
Cela se fait :
en identifiant les forces et faiblesses, les points critiques, par le biais d'une Analyse de
Vulnérabilité.
en les coordonnant et dans la mesure du possible en les testant régulièrement par des
exercices appuyés sur des scénarios de crise,
en s’appuyant sur une liste de ce qui est fait et reste à faire (check-list), sur des audits,
études de risque, études d'impact,
Dans certaines entreprises, pour des raisons stratégiques, le Plan peut être pour tout ou partie
confidentiel, ce qui peut nuire à son appropriation par une partie du personnel :
en tenant compte du contexte. Les plans de continuité doivent être assez souples pour
s’adapter à différents types de risques et dangers, en tenant compte du contexte local et
global (ex ; le risque de tremblement de terre grave est a priori plus élevé
en Indonésie qu’en Belgique, mais une entreprise belge ayant une agence importante
à Java ou Bornéo doit s’y préparer).
Dans le secteur des services publics, il est supposé servir l’intérêt général (la question des coûts ne
devrait pas être le 1er déterminant). Dans certaines entreprises privées, il peut être plus directement
orienté sur le seul maintien de la pérennité de l’entreprise, mais dans un monde réputé globalisé et
de plus en plus interdépendant les aspects éthiques semblent pouvoir ou devoir être re-questionnés.
Les plans de continuité (quand ils existent) doivent généralement être adaptés car ils ont été
préparés pour des situations de catastrophe naturelle, de guerre, ou d'attentat. Ces risques sont liés
à une brusque, mais locale pénurie d’infrastructure et de ressources. (Il suffit alors de déplacer le
personnel dans une zone sûre ou sécurisée).
Au contraire, une pandémie pourrait ne faire aucun dégât matériel (sauf accident induit) mais
décimer le personnel d’entreprises vitales, avec des effets-domino pour d’autres entreprises et
services vitaux, et ceci sur toute la planète, sans qu’on puisse savoir où le virus pandémique surgira
ni combien de vagues suivront, ni à quelle intensité.. 30 à 60 % du personnel pourrait localement
manquer, ou devrait rester à la maison. Une partie de ce personnel pourrait mourir. Les
infrastructures de transport et de communication ne devraient pas être touchées, mais les
déplacements devront être réduits pour limiter la contagion, et les agents qui font fonctionner les
infrastructures pourraient localement et durant un certain temps faire défaut.
La solution la plus souvent évoquée est le télétravail via l'Internet, mais certains experts pensent que
le réseau Internet, tel qu'il est conçu, ne supporterait pas les flux qu'on lui imposerait, et ce réseau
dépend totalement de la fourniture en électricité et du maintien du fonctionnement des
télécommunications. Enfin le télétravail demande une infrastructure informatique adaptée, et
souvent plusieurs mois de préparation pour être opérationnel.
En France
Une norme AFNOR (norme ISO 22301 dite Système de management de la continuité d’activité traite
de ce sujet. Elle a été « exceptionnellement » mis à disposition gratuite de tous le 23 mars 2020 pour
répondre à la pandémie de COVID-19.
4. Les mesures concernant les entreprises situées sur une zone proche d’un foyer viral
Cycle d'amélioration du PCA (Business continuity lifecyle)
Par définition, un plan de continuité ne peut être définitif. Il doit être mis à jour en fonction du
contexte et/ou des retours d'expériences et d'exercices (quand les exercices existent, ce qui est
recommandé par les gestionnaires de crise). Une certaine standardisation des protocoles de secours
se met en place qui semble utile, mais ne doit pas freiner l’innovation et une certaine souplesse
nécessaire face à l’imprévu.
L’outil informatique prend une importance croissante. Les consultants lui associent souvent un
SIMCA (système d’information du management de la continuité), visant à mettre à jour en temps réel
toutes les informations vitales de l’entreprise et éventuellement de son réseau de partenaires
proches. L’ordinateur a également contribué à des modélisations et planifications plus complexes, au
travail sur la complexité elle-même, ou encore à l’évaluation des dégâts et à la gestion et répartition
des responsabilités et taches en situation de crise.
Introduction Une attaque informatique peut mettre en péril une entreprise. Mais un grave sinistre peut
avoir des impacts tout aussi négatifs. Dans les deux cas, il convient d’établir en place un PSI. Plus qu’un
« Plan B », il s’agit d’instaurer de nouvelles méthodes de travail.
Un Plan de Secours Informatique «Un Plan de secours informatique est l’ensemble des procédures et
dispositions pour garantir à l’entreprise la reprise de son système informatique en cas de sinistre. Sous
ensemble du Plan de continuité informatique qui couvre les moyens informatiques et télécoms. »
Maintenance du PSI
• Réunion du comité du PSI plusieurs fois par an
• Évaluer les nouveaux risques
• Proposer le plan d’action correspondant
• La maintenance est facilitée par l’utilisation d’un outil spécialisé
• Gestion complete de la documentation
• Gestion des ressources
• Production du planning des operations de reprise.
Protection des données cruciales : avec un SMSI, vous réduisez le risque que vos
informations soient utilisées à mauvais escient, qu'elles soient incorrectes ou qu'elles ne
soient plus disponibles à temps.
Clarté : des procédures opérationnelles écrites et une répartition claire des rôles vous
permettent d'identifier systématiquement les vulnérabilités et de prendre en main de
manière ciblée.
Confiance accrue des clients : les clients manifestent un intérêt croissant pour la manière
dont leurs données sont gérées. Avec un SMSI, vous pouvez les rassurer et avoir la certitude
qu'ils continueront à choisir votre organisation à l'avenir.
Risque financier réduit : le non-respect des lois pertinentes peut entraîner des amendes
élevées. De plus une perte de réputation et une perte de clients peuvent entraîner de graves
préjudices financiers.
Du sur mesure pour chaque organisation : la norme ISO/IEC 27001 est applicable à toute
organisation, quels que soient son secteur, sa taille ou son type.
Renommée internationale : la norme de management ISO est connue dans le monde entier
et renforce sensiblement votre crédibilité au-delà des frontières nationales.
La mise en œuvre correcte et complète d'une norme de management ISO n'est pas une
obligation pour les organisations. Vous pouvez, par exemple, appliquer une partie de la
norme. Mais si vous visez la certification, vous devez remplir toutes les exigences que
contient la norme. Dans ce cas, une institution indépendante évaluera votre SMSI à votre
demande. Si l’évaluation est positive, vous recevrez une preuve écrite attestant que vous
répondez à toutes les exigences de la norme. Ce certificat est valable 3 ans. Vous passez
ensuite par un nouveau processus de certification (si vous le souhaitez) pour en renouveler la
validité.
Pourquoi tenter d’obtenir un certificat ISO/IEC 27001 ?
Bien que l'ISO, la CEI et le NBN facilitent l'élaboration de normes de management, ces
organisations ne participent pas à leur certification. En d'autres termes, vous ne pouvez jamais
faire certifier votre organisation par l'ISO, la CEI ou le NBN. Ce sont des organismes de
certification indépendants qui délivrent les certificats à l’issue d’une évaluation positive.
5. Audit externe ISO/IEC 27001
Il est important de savoir que vous déterminez vous-même le champ d’application de la
certification – et donc des audits. Cela vous permet de choisir d'inclure certains services et pas
d'autres dans le champ d'application. Le SMSI du ou des services pour lesquels vous
souhaitez être certifié est ensuite évalué dans le cadre d'un audit par un organisme de
certification indépendant. Avant ces audits officiels, vous pouvez également organiser des
audits internes pour vous y préparer.
Comment se déroule un audit externe ?
À partir de 3 mois après la mise en œuvre complète de la norme de management, vous pouvez
entamer le processus de certification et programmer un audit externe. Selon la taille de votre
organisation, cet audit prendra un ou plusieurs jours. Si vos services sont répartis sur plusieurs
sites, l'auditeur visitera toutes les installations.
L'audit comporte deux phases :
phase 1 : un contrôle approfondi de tous les documents nécessaires
phase 2 : une analyse (sur place) du fonctionnement du SMSI
Que se passe-t-il après l'audit ?
Après l'audit, l'organisme de certification décide si vous avez correctement mis en œuvre
votre système de gestion. En cas d'avis négatif, vous recevrez un rapport avec les non-
conformités et les points sur lesquels vous devez travailler. Dans ce cas, un audit
supplémentaire apportera une réponse définitive. En cas d'avis positif, vous obtiendrez un
certificat. L'auditeur vous rendra ensuite visite chaque année pour évaluer votre SMSI. Vous
pouvez demander le renouvellement de votre certificat tous les 3 ans – le délai de validité d'un
certificat.
Comment se préparer à un audit ?
1. effectuer un audit interne – avec ou sans aide extérieure – pour identifier les éventuelles
lacunes ;
2. veiller à ce que la direction soit présente lors de l'audit et que tous les collaborateurs soient
informés ;
3. conserver tous les documents nécessaires dans un endroit central et vérifier qu'ils sont
rédigés dans la langue de la norme de management ;
4. établir une liste d'actions et de projets réussis et mesurables, qui garantissent une
amélioration continue.