Comment gérer les identités non humaines

Dispositifs

Le groupe le plus visible d’identités non humaines interagissant avec les ressources informatiques d’entreprise sont les appareils, allant du personnel aux appareils connectés industriels et Internet qui font l’Internet des objets (IoT). Les appareils dont l’identité doit être gérée dans le contexte de l’entreprise sont les suivants :

• Ordinateurs de bureau et ordinateurs portables
• Smartphones
• Comprimés
• Caméras et imprimantes connectées au réseau
• Capteurs industriels
• Compteurs intelligents
• Robots industriels
• Dispositifs autonomes

IT Administration

Au sein de l’administration des SERVICES, plusieurs types de comptes qui ne sont liés à aucune personne, mais plutôt des rôles et des groupes au sein de l’administration des SERVICES DE L’ÉTAT doivent également être gérés. Il s’agit notamment de:

• Comptes partagés
• Comptes de service
• Comptes techniques

Infrastructure définie par logiciel

SDI se réfère à l’infrastructure informatique qui est complètement sous le contrôle d’un logiciel sans opérateur ni intervention humaine. Il fonctionne indépendamment de toutes les dépendances spécifiques au matériel, et est programmatiquement extensible. Il en est résulté plusieurs entités qui interagissent avec d’autres entités et qui ont leur propre identité qui doit être gérée. Il s’agit notamment de:

• Conteneurs
• Services/microservices
• Réseaux
• Interfaces de programme d’application (API)

Intelligence artificielle

Les technologies de l’IA ont introduit un tout nouvel ensemble d’entités dans l’environnement informatique d’entreprise qui ont toutes des identités qui doivent être gérées. Ces entités comprennent :

• Bots de chat
• Bots utilisés dans l’automatisation robotique des processus (RPA)
• Processus analytiques
• Algorithmes d’auto-apprentissage et d’auto-modification

Une nouvelle approche de l’IAM

La transformation numérique a donc introduit un large éventail de nouveaux types d’identité, ce qui signifie que les organisations doivent changer leur façon d’aborder l’IAM.

À l’ère numérique, par conséquent, la gestion de l’identité doit inclure non seulement les employés, les partenaires, les entrepreneurs, les clients et les consommateurs, mais aussi toutes les entités non humaines mentionnées ci-dessus. Cela est nécessaire pour répondre aux exigences en matière de sécurité et de confidentialité, tout en permettant la croissance de l’entreprise, l’interaction entre les consommateurs et les clients sans friction, ainsi que des services et des contenus personnalisés.

À tout le moins, les entreprises doivent contrôler toutes les entités qui interagissent avec leurs systèmes. Par conséquent, les entreprises doivent s’emploier à éliminer les comptes partagés afin que toutes les entités humaines ou non humaines qui interagissent avec les systèmes aient une identité qui peut être gérée et utilisée pour l’application du principe du moindre privilège ainsi que pour l’authentification, l’autorisation, la visibilité, la traçabilité et la responsabilité. Pas de shoul entitéd être autorisé à interagir avec les systèmes informatiques à moins qu’il ait une identité unique qui peut être liée à un propriétaire qui peut assumer la responsabilité des actions de cette entité.

Il est également essentiel que les organisations aient une manière standard et politique de gérer les identités privilégiées, qui sont des cibles communes de compromis pour les cybercriminels. Les identités non humaines privilégiées ne doivent pas être négligées. Par conséquent, les systèmes de gestion de l’accès privilégié (PAM) doivent prendre en charge les identités non humaines privilégiées pour les machines, les processus, les microservices et les conteneurs dans les environnements de production et de développement ou de DevOps, où ce modèle est suivi.

Toutefois, dans le contexte de la transformation numérique, les entreprises doivent aller encore plus loin pour s’assurer qu’elles ont mis en place la stratégie appropriée et une architecture informatique vaguement couplée, extensible et axée sur le service pour permettre une transition en douceur vers le modèle de l’as-a-service, tant en termes de consommation de services (pour réduire les coûts et accroître la productivité) que de prestation de services (pour ajouter de nouvelles sources de revenus et améliorer l’engagement des consommateurs et des clients).

Le succès de la transformation numérique dépend d’une capacité à gérer l’accès de tous et de tout à chaque service numérique. Cela signifie avoir une compréhension complète de toutes les identités en jeu (humaines et non humaines), comprendre leurs relations et avoir une façon cohérente et fondée sur des politiques de les gérer et de les sécuriser.

Tissus d’identité

Une façon pour les organisations de gérer l’accès de tous et de tout ce qui est à chaque service numérique est de permettre aux identités décentralisées qui peuvent être créées une fois selon les normes convenues et facilement maintenues par les propriétaires d’identité, qui peuvent alors donner leur consentement à ce que ces identités soient réutilisées autant de fois que nécessaire pour accorder ou refuser l’accès sur la base de politiques d’accès centralisées qui peuvent être appliquées dynamiquement au moment de l’accès.

Cette approche reçoit un soutien croissant de la part des fournisseurs qui s’appuient sur le concept de tissus d’identité et y compris le soutien aux appareils et aux choses. À l’avenir, les organisations devraient planifier de soutenir toutes sortes d’identités et de s’assurer qu’elles ont les outils nécessaires pour comprendre le niveau d’assurance fourni par chaque type d’identité afin de pouvoir prendre des décisions éclairées sur la façon dont ces identités peuvent être utilisées pour des transactions ou des interactions spécifiques à l’aide de notations fondées sur le risque, ainsi que de systèmes adaptatifs d’authentification et d’autorisation.

Pour la plupart des entreprises, cela signifie apporter des changements fondamentaux à leur architecture informatique pour devenir plus agile et flexible en séparant l’identité et les applications, et en fournissant les systèmes backend nécessaires pour faire toutes les connexions nécessaires à l’aide d’interfaces de programme d’application (API) qui font le pont entre les services, les microservices et les conteneurs dans le cloud (public et privé) et sur place.

Ces changements se traduira par une convergence de l’identité numérique backend ou tissu d’identité qui peut fournir en tant qu’utilité tous les services d’identité (y compris l’enregistrement, la vérification, la gouvernance, la sécurité et la vie privée) requis par le nombre croissant de nouveaux services numériques rendus possibles par la transformation numérique qui consommeront activement des services d’identité.

Le terme « tissu » est utilisé pour décrire un ensemble de composants informatiques connectés permettant de travailler ensemble en tant qu’entité unique. Un tissu d’identité est donc un concept, et non un seul outil, qui est de connecter chaque utilisateur à chaque service et est centré sur la gestion de tous les types d’identités d’une manière cohérente, la gestion de l’accès aux services, et de soutenir la fédération des identités externes de fournisseurs tiers ainsi que leurs propres services d’annuaire.

Le concept de tissus identitaires fait référence à une infrastructure logique qui permet l’accès pour tous et tout le monde à n’importe quel service dans un cadre cohérent de services, de capacités et de blocs de construction qui font partie d’une architecture globale bien définie et vaguement couplée qui est idéalement livrée et utilisée de manière homogène via des API sécurisées.

Les tissus d’identification sont donc axés sur la prestation des API et des outils requis par les développeurs de services numériques pour prendre en charge des approches avancées de la gestion de l’identité telles que l’authentification adaptative, les capacités d’audit, les services complets de fédération et l’autorisation dynamique par le biais de normes ouvertes comme OAuth 2.0 et OpenID Connect. Dans le contexte des identités non humaines, le concept de tissu d’identification est un point de départ utile parce qu’il fournit une manière centralisée, non cloisonnée, cohérente et politique de gérer toutes les identités.

Recommandations

IAM n’a jamais été aussi difficile à mesure que le monde de l’informatique devient de plus en plus axé sur les services, le mobile et le cloud. Ces changements comprennent une prolifération d’identités non humaines, ce qu’aucune organisation ne peut se permettre d’ignorer leurs capacités d’IAM à court, moyen et long terme. À court terme, il est essentiel que toutes les organisations :

• Identité où et comment les entités non humaines interagissent avec leurs systèmes informatiques
• Veiller à ce que toutes ces entités aient des identités uniques qui peuvent être gérées
• Identifier toutes les identités non humaines ayant un accès privilégié
• S’assurer que les systèmes PAM sont en place et configurés pour gérer les identités non humaines privilégiées

À moyen et à long terme, les organisations doivent s’adapter à une nouvelle façon de faire des affaires dans un monde de plus en plus numérique et axé sur les services. IAM doit donc évoluer pour devenir un service proche d’un utilitaire d’identité facile à consommer et flexible pour répondre aux nouvelles exigences commerciales dans des environnements informatiques d’entreprise modernes hétérogènes et de plus en plus hybrides.

Les organisations peuvent utiliser le concept de tissu identitaire pour fournir tous les services d’une manière standardisée qui s’intègre aux systèmes IAM existants, si nécessaire, tout en étant en mesure de fournir un ensemble évolutif et complet de services d’identité centralisés, cohérents et intégrés accessibles via des API sécurisées pour relever les nouveaux défis émergents et futurs de l’IAM, notamment la gestion des identités non humaines.

Les organisations peuvent à l’avenir mettre à l’épreuve leurs capacités d’IAM en utilisant une approche basée sur les services pour permettre à n’importe qui ou quoi que ce soit de se connecter à tout ce qui utilise des identités décentralisées. Pour ouvrir la voie, l’organisation doit :

• Évaluer et comprendre l’état des systèmes IAM actuels
• Comprendre les types d’identités humaines et non humaines qui devront être servies après la transformation numérique
• Définir les capacités et les services d’un futur tissu d’identité en fonction de ces exigences
• Identifier les écarts entre l’état actuel et futur souhaité de la gestion de l’identité
• Décrivez un futur tissu d’identité construit sur une plate-forme d’API d’identité
• Sélectionnez un ensemble approprié de technologies pour les services de base d’un futur tissu d’identité et construisez une architecture informatique lâchement couplée, extensible et orientée vers le service
• Déterminer quelles technologies existantes peuvent être utilisées et si/quand elles doivent être migrées vers un modèle basé sur les services et planifier une migration progressive
• Examiner les API utilisées par les technologies choisies pour définir une couche d’API cohérente et stable
• Éduquer les architectes logiciels et les développeurs sur la façon d’utiliser ces API
• Définir des politiques centrales pour permettre une gouvernance d’accès cohérente dans l’ensemble de l’entreprise

Ces étapes permettront à l’organisation de commencer à construire des services numériques basés sur un tissu d’identité à l’épreuve de l’avenir afin de fournir un ensemble centralisé de services afin de permettre une approche cohérente de la gestion de l’accès, de la gouvernance et de l’administration de l’identité (IGA), du consentement et de la vie privée.