Choisir les bons outils IAM est basé sur plus que les besoins d’aujourd’hui

Assurer différents niveaux d’accès

Il n’y a pas que les employés qui ont besoin d’accéder au réseau d’une organisation. Les partenaires, les entrepreneurs, les fournisseurs, certains clients et d’autres tiers doivent également être pris en considération. Tous ces éléments nécessiteront un accès et nécessiteront différents niveaux d’autorisations qui leur seront accordés.

Si l’accès n’est requis que pour un seul réseau, la solution peut être relativement simple. Toutefois, dans les cas où une organisation est basée dans plusieurs bureaux, dans diverses régions, et utilise une variété de plateformes en ligne et de services cloud, la gestion des informations d’identification peut devenir difficile.

« Si vous avez 10 bâtiments dans le monde et que vous avez une population de 10 000 personnes, ils auront tous besoin de privilèges d’accès », dit M. Van Till. « Le cloud est conscient de l’identité de toutes ces personnes parce que vous avez tapé leurs noms et leurs informations d’identification ou les avez synchronisées avec un service d’identité. »

Ce changement rapide et fondamental de nos paradigmes de travail s’est avéré être un défi pour certaines organisations, en particulier celles qui n’étaient pas préparées à ces niveaux de gestion des titres de compétences.

Ces organisations se sont retrouvées à jongler avec les informations d’identification des parties prenantes internes et externes, sur plusieurs plateformes, et à s’assurer qu’elles répondent à toutes les exigences applicables en matière de protection des données.

Les règlements sur le contrôle des exportations, pour les articles contrôlés (y compris les informations et les logiciels) qui ne peuvent pas être envoyés à certaines destinations, peuvent également devoir être pris en considération. C’est particulièrement le cas pour les organisations multinationales, qui pourraient avoir des employés de plusieurs pays accédant à des informations basées dans un autre pays.

IAM rationalise essentiellement l’ensemble du processus de gestion de l’accès, permettant aux organisations d’avoir un seul point de contact pour gérer toutes les identités sur leurs réseaux cloud. Il est possible de simplement sélectionner et acheter des outils IAM, puis d’installer et de gérer ces outils à l’interne, mais l’utilisation d’un fournisseur de services IAM pourrait faire gagner du temps et des ressources.

« D’un point de vue opérationnel, l’IAM en tant que service peut être bénéfique, ce qui permet à une organisation de se concentrer sur les aspects commerciaux et de sécurité, et non sur les opérations techniques », déclare Martin Kuppinger, membre du conseil d’administration de KuppingerCole Analysts.

« Cela pourrait se faire de diverses façons, de l’identité complète en tant que service [IDaaS] solutions qui fournissent des services IAM en tant que [SaaS] solutions IAM gérées et exploitées par des prestataires de services gérés [MSPs]. Ce dernier pourrait également permettre une approche de levage et de déplacement des solutions IAM déjà mises en œuvre vers un service géré.

Le choix d’un service IAM n’est pas une procédure simple. Bien qu’ils offrent tous une fonctionnalité de service largement similaire, il ne s’agit pas d’un cas d’une taille unique. En choisissant le bon fournisseur de services, il est nécessaire d’examiner d’abord attentivement la portée des services offerts par chaque fournisseur.

Sans une compréhension complète de la couverture d’un service IAM, il pourrait conduire à une facette particulière d’un réseau cloud étant exposé par inadvertance. Prendre le temps de négocier avec le fournisseur d’IAM, les responsabilités de chaque partie étant consignées dans un contrat, permet aux deux parties de bien comprendre ce qui est attendu.

« Une évaluation approfondie des niveaux de service et une définition claire des services sont nécessaires. Il est particulièrement important de ne pas avoir la queue remue le chien, comme le MSP sélectionnant le Iam ou de pousser le client dans certains types de verrouillage », explique Kuppinger. « Le MSP est le fournisseur; décisions doivent être prises par le client.

De nombreuses organisations n’auront qu’une large compréhension de l’endroit où elles seront dans 10 ans.  Toutefois, ils devraient comprendre leur croissance prévue et cible, ainsi que les services dont ils auront besoin pour atteindre ces objectifs. En tant que tel, non seulement devrait-on se demander si le service est le bon pour leur réseau cloud tel qu’il est actuellement mis en place, mais aussi s’il sera le bon pour eux à l’avenir.

Conformité aux réglementations mondiales

Outre les considérations techniques, les organisations doivent également être conscientes des exigences réglementaires qui seront attendues d’elles en ce qui concerne leurs données utilisateur.

En raison de la nature mondiale des affaires modernes, il est tout à fait possible pour le résident d’un pays de travailler pour une organisation basée dans un autre pays, avec leurs informations d’identité stockées dans un pays tiers. Dans un tel scénario, l’organisation serait soumise à de multiples réglementations en matière de protection des données.

Le potentiel de réglementations contradictoires en matière de protection des données est beaucoup plus faible qu’il ne l’était autrefois, principalement en raison du fait que le Règlement général sur la protection des données (GDPR) est devenu un modèle pour les législations modernes en matière de protection des données; par exemple, la California Consumer Privacy Act (CCPA) partage de nombreuses similitudes avec le GDPR. Néanmoins, bien que les diverses lois sur la protection des données soient globalement similaires, elles peuvent avoir des exigences réglementaires différentes.

Pour assurer le respect des lois régionales sur la protection des données, les organisations doivent veiller à ce que le service IAM sélectionné dispose des mesures appropriées pour répondre aux exigences de stockage d’informations personnellement identifiables (IIP).

Les services iAM peuvent également permettre de vérifier qui a accé à certains types de renseignements restreints ou personnels, et quand cela a eu lieu. La capacité d’enregistrer ces données est une exigence de certains règlements sur la protection des données.

Il est important d’être conscient des risques associés au fait d’être enfermé dans un contrat avec un service IAM qui n’assure plus une sécurité adéquate. À ce titre, les premières négociations avec les fournisseurs de services d’IAM devraient clarifier la durée des contrats. Dans le cas des contrats prolongés ou en cours, les discussions devraient inclure la négociation de périodes de coupure ou d’évaluations annuelles des contrats, permettant ainsi la fin des contrats sans pénalité.

« L’erreur la plus courante est de sous-estimer le fait que l’outil IAM peut avoir un cycle de vie plus long que la relation MSP », explique M. Kuppinger. « Si le MSP contrôle et décide trop, cela pourrait mener à un verrouillage avec le MSP. »

Demandez conseil à un professionnel

En raison de la nature complexe d’IAM et de ses fournisseurs de services, il peut y avoir un besoin de personnel ayant les compétences ou la compréhension appropriées des technologies d’IAM.

Si le recrutement n’est pas une option, les conseillers en sécurité peuvent être approchés pour obtenir des conseils et des examens de sécurité. Bien que les consultants contractuels puissent être des dépenses supplémentaires, il vaut la peine d’en tenir compte, car leurs compétences peuvent être particulièrement précieuses au moment du démarrage et des examens, ainsi que pour tout problème qui se produit.

Le temps consacré à l’installation des services IAM dépend entièrement de l’étendue des travaux. Un réseau cloud relativement simple devrait prendre moins d’une heure pour être intégré à un service IAM. Toutefois, plus les réseaux et les plates-formes cloud sont complexes et étendus, plus cela prendra de temps.

Si nécessaire, IAM peut également intégrer la sécurité physique. Cela peut permettre aux organisations d’appliquer des informations d’accès dans le cloud et dans leurs locaux. Les verrous de sécurité électroniques appropriés devraient être mis en place, mais ils permettent ensuite d’auditer les mouvements du personnel, par exemple dans les zones réglementées.

En fin de compte, choisir le fournisseur iAM approprié est tout au sujet de comprendre vos besoins, l’exécution d’une évaluation approfondie choix des outils et l’évaluation des MSP. Il y a aussi des spécialistes qui peuvent fournir un soutien, en tant que tiers neutres.

« Comme les gens travaillent plus loin de chez eux, grâce à Covid-19, la gestion à distance est devenue une prime », explique M. Van Till. « Nous avons vu une ruée de gens arriver, disant qu’ils auraient aimé être sur le nuage avant cela. »