Note d’Alain Lefebvre : je ne suis pas l’auteur du texte qui suit, je me suis contenté de finaliser cette chronique afin qu’elle puisse être publiée. Le mérite de ce texte revient à Sylvain Lidureau.

===

Que ce soit du cloud hybride, du full cloud ou du multiclouds, nous observons une adoption grandissante de ce mode d’utilisation des moyens informatiques. 

En parallèle de ce phénomène, la sécurité est aussi une préoccupation grandissante car les dirigeants des organisations prennent conscience que la sécurité n’est pas uniquement une contrainte mais un élément fondamental de la valeur de l’entreprise. Et ceci est valable autant dans la gestion des risques que dans les éléments différenciateurs face à la concurrence et des services fournis à leurs clients, sans parler du respect des réglementations toujours plus précises. 

Ces deux grandes tendances évoluent vite et surtout sont interdépendantes. La question est donc de savoir comment adapter sa sécurité aux spécificités du Cloud. Et comment utiliser mon Cloud en toute sécurité ?  

Nous allons ici vous exposer le défi de la gestion des accès dans l’environnement Cloud. 

Impact sur la sécurité 

Cette section propose de revenir sur l’historique de l’utilisation des infrastructures et applications, leurs mutations vers le cloud et, bien entendu, l’impact que cela a eu sur la sécurité en termes de protection de données et de maintien de la disponibilité. 

On Premise 

On entend par le terme On Premise une stratégie informatique qui consiste à installer les applications sur des infrastructures sur le site de l’entreprise, dans ses locaux. 

Dans cette configuration, la protection de la donnée était très périphérique (modèle Vauban de type « château fort »), pas de SSO (à part LDAP/AD, au mieux) et encore moins de gouvernance sur la gestion des accès. En parallèle de cette sécurité, des solutions de SSO (Single Sign On ou “authentification une seule fois”) ont été créées au fil des projets mais essentiellement dans un but de confort utilisateur. La sécurité pouvait même en être diminuée, suite à la création d’un SPOF (Single Point Of Failure). Un défaut d’intégrité du SSO entraîne des vulnérabilités sur toutes les applications gérées par ce SSO. 

Au fil du temps, trois problèmes majeurs apparurent : 

  • La multiplicité des applications pour assurer les contrôles : problème de maîtrise du SI en termes d’urbanisme des applications de sécurité.
  • La maintenance de ces accès : arrivée, départ, mutations et/ou augmentation/diminution des droits. 
  • Création de SPOF avec des SSO plus ou moins bien implémentés et maintenus. 

Cloud privé 

Puis, les premières solutions Cloud sont arrivées. Les entreprises, encore frileuses à externaliser leurs données et services, ont tout d’abord observé ces nouvelles possibilités. Sans sauter le grand pas, elles ont d’abord opté pour des cloud privés, c’est-à-dire des infrastructures virtualisées tout en gardant la maîtrise physique de leurs équipements sur leur site. 

Mais les enjeux sur la sécurité n’ont pas tout de suite été identifiés car c’est l’efficacité opérationnelle qui primait. On essaya d’adapter les processus de protection réseaux et d’accès en voulant les rendre plus rapides. Mais les zones réseaux devenaient de plus en plus complexes et les règles des firewalls se comptaient par milliers. Et comme la stratégie de protection n’évoluait pas aussi vite que la stratégie d’exploitation des infrastructures, les trois problèmes déjà identifiés se sont aggravés : 

  • Mauvaise maîtrise du SI : des zones réseaux dans tous les sens, des accès génériques qui se multiplient. 
  • Des accès non maîtrisés, obsolètes et/ou inappropriés. 
  • Des SPOF et « ponts » d’accès qui se multiplient. 

Au fil des années, l’impact sur la sécurité s’est avéré être de plus en plus marqué. Le modèle « château fort » n’étant plus adapté, les stratégies évoluent vers un modèle “aéroport”, avec des contrôles contextuels suivant tels ou tels critères (destination, type de pièces d’identité, avec quels bagages, etc.). La gestion des identités commence à apparaître comme une solution et surtout une nécessité. 

Cloud hybrid et multi-cloud 

Puis est arrivé le temps pour les organisations de sauter le pas vers le vrai cloud !  

Avant, il existait de nombreux problèmes avec la protection de nos données via les réseaux et accès, le cloud allait nous permettre de solutionner tout cela ! 

Mais malheureusement ce ne fut pas le cas : la situation est désormais pire. Ce n’est plus une sécurité d’aéroport à mettre en place mais une vraie mégalopole terrestre, souterraine et aérienne !  

La surface de vulnérabilités s’est encore agrandie. Deux raisons à cela : 

  • La première est que même un cloud natif (AWS, Azure) propose une multitude de services différents et on voit bien que les couches réseaux ne suffisent clairement pas à différentier suffisamment les accès. 
  • La seconde raison est que beaucoup de sociétés n’utilisent pas un seul cloud mais souvent plusieurs (multiclouds) : clouds d’infrastructures (VM, BDD), clouds applicatifs (Saas), clouds systèmes (Microsoft 365), clouds middlewares (conteneur) et même des clouds réseaux (leased lines) !

La solution IAM 

Il est alors impératif d’adresser la gestion des entreprises sur le cloud par une gestion des identités et des accès (IAM). De toutes ces utilisations, on peut identifier surtout deux sujets à adresser en termes d’identité : 

  • Les users : en tant que personne, quelles que soit leurs fonctions (administratifs, RH, métiers, etc.). 
  • Les ressources : routeur, application, base de données, etc. 

À noter qu’on ne parle pas ici seulement des accès “utilisateurs vers ressources” mais aussi “ressources vers ressources”. 

Les enjeux de l’IAM  

La gestion des identités et des habilitations adresse les enjeux suivants : 

  • Garantir la confidentialité et la disponibilité du SI et des données en contrôlant qui a accès à quoi et qui a le droit de faire quoi. 
  • Garantir le respect des règles définies pour l’attribution des droits : qui a le droit de demander quoi et qui peut valider quoi. 
  • Améliorer la réactivité en automatisant la création, mise à jour et révocation des accès sur tout le cycle de vie d’une identité. 
  • S’assurer de la conformité vis-à-vis des exigences réglementaires : traçabilité, audit et séparation des tâches… 
  • Permettre une meilleure productivité pour les utilisateurs en évitant les requêtes multiples et en raccourcissant les délais. 
  • Réaliser des gains de productivité en automatisant les tâches de coordination et de dispatch lors de la réalisation des services demandés. 

IAM et SSO 

L’IAM et le SSO constituent deux options très différentes pour gérer les autorisations d’accès à une information collective. L’IAM est conçue suivant une logique de pilotage, tandis que le SSO offre la souplesse dans le maniement des ordinateurs et des services. L’idéal est la gestion standard, avec quelques solutions SSO.  

L’IAM est le processus par lequel un organisme consent à partager des informations à une personne dont l’identité a été reconnue, grâce à un ensemble d’identifiants et d’attributs recensés dans un référentiel unique. Le service d’authentification unique ou SSO fonctionne par une fédération de toutes les identités. L’utilisateur ne s’authentifie qu’à une seule reprise, pour valider son accès à tous les canaux d’informations. 

 

Source http://www.changepassword.org/ 

De la vision jusqu’au RBAC  

L’adoption par les établissements d’une gouvernance GDI (Gestion des identités) pourra s’appuyer sur les exigences poussées par la conformité et le contrôle interne – précieux allié sur ce projet. La reformulation des enjeux et objectifs de la GDI, la définition de l’ambition générale ainsi que ce que doit couvrir sont essentiels avant d’entrer dans la mise en œuvre d’une solution. On peut citer les prérequis suivants : 

  • Définition des grands principes de gouvernance pour la GDI : principe de délégation, ce qui doit être géré en central ou en local et identification des rôles et responsabilités, à quel niveau de détail les habilitations doivent être gérées selon le domaine applicatif concerné.  
  • Définition du cycle de vie d’une identité et identification des évènements qui le jalonnent.
  • Définition des règles et politiques applicables y compris l’audit et la conformité. 
  • Identification et formalisation des grandes étapes des processus nécessaires à la gestion des évènements sur le cycle de vie de l’identité ainsi que pour la gestion opérationnelle des comptes utilisateurs, profils métier et habilitations correspondantes. 
  • Formaliser et prioriser les exigences fonctionnelles et non fonctionnelles (techniques) 

Le principe est donc bien d’établir une vision et une stratégie d’entreprise afin d’établir un précieux RBAC (Role Based Access Control) à partir duquel la meilleure solution technique pourra être identifiée et implémentée. 

Du RBAC au SSO 

Une fois le RBAC établi, vient ensuite le choix technique. Assez naturellement, un choix de gestion IAM/SSO sera fait en cloud (IDAAS – Identity as a service) mais lequel ? 

Le tableau ci-dessous montre qu’au sein même d’un cloud, la gestion de l’IAM diffère énormément d’un fournisseur à l’autre. Il ne faut donc absolument pas négliger l’étude à mener afin d’identifier le choix de la solution technique adaptée au besoin. 

Ces solutions intégrées aux fournisseurs de cloud ont leurs limites car de plus en plus d’entreprises sont en mode hybride ou multiclouds. Les solutions IDAAS sont donc à privilégier et montent en puissance. D’après Gartner, l’utilisation de IDAAS va passer de 5% à 25% d’ici à cinq ans.

Du pourquoi au comment !

En conclusion, il est assez clair et déjà observable que les solutions IDAAS vont connaître une croissance importante et rapide. Cependant, comme beaucoup de technologies, il faut savoir comment l’utiliser mais surtout pourquoi. Notre conseil est donc de définir, dans un premier temps, très clairement la stratégie et la vision (le “pourquoi”). Dans le second temps, de définir le RBAC avec un niveau de granularité le plus fin possible afin d’identifier l’ensemble des solutions nécessaires (le “quoi”). Enfin, dans le troisième temps, d’identifier le produit IAM et SSO qui permet de répondre aux besoins identifiés (le “comment”).

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Voir plus
scroll to top