Gestion des identités et IA comme socles de la sécurité
La réunion du CPI-B2B du 19 septembre 2018 a été consacrée à la gestion des identités et des accès (IAM), y compris en environnements hybride ou avec de l'IoT, avec les apports de l'intelligence artificielle (IA).
Publicité« La gestion des identités [IAM, Identity Access Management] est une demande constante de tous nos clients, y compris dans des architectures de type hybride mêlant cloud public et infrastructures privées » a indiqué Nicolas Roger, senior manager Solutions Architects chez Equinix, lors de la réunion du 19 septembre 2018 du CPI-B2B (Club de la Presse Informatique B2B). Cette réunion était entièrement consacrée à l'IAM, allant jusqu'aux utilisations de l'intelligence artificielle sur le contrôle d'accès.
L'identité à gérer au-delà du mot de passe unique
Tout d'abord, il faut rappeler ce que l'on entend exactement par IAM. En premier lieu, il faut reconnaître qu'il s'agit, pour l'utilisateur, d'un SSO (Single-Sign On, identifiant et connexion uniques pour de multiples applications). Mais l'IAM va bien au-delà de cette facilité, de ce confort d'usage pour l'utilisateur. L'IAM inclut ainsi une gestion fine des rôles et des droit d'accès, aux infrastructures, applications voire lieux physiques. Normalement, une solution d'IAM complète assure également la gestion de l'entrée/sortie/mutation des personnels, avec les créations/suppressions/modifications des droits induits.
Si un individu donné peut disposer de multiples « identités », en tant qu'utilisateur d'un SI d'une entreprise donnée, il vaut mieux qu'il n'en dispose que d'une seule. Les informaticiens semblent, de ce point de vue, avoir redécouvert une notion fondamentale de droit : une personne est un sujet de droits et d'obligations. Une identité est, de la même façon, un ensemble de droits et d'obligations sur des éléments du SI. L'identité peut d'ailleurs être gérée par un tiers de confiance, typiquement un réseau social, un acteur de type Google ou un fédérateur comme France Connect, l'entreprise sous-traitant toute l'identification et son contrôle pour se concentrer sur la gestion des droits affectés à telle identité.
La complexité du mot de passe reste un sujet
Chez Equinix, le contrôle d'accès aux salles blanches repose sur trois éléments (un badge, une empreinte palmaire et un code PIN). Le niveau de risque accepté va en fait induire un usage de facteurs plus ou moins nombreux et onéreux. Les facteurs de contrôle de l'identité peuvent appartenir à trois catégories : « ce que vous savez » (mot de passe...), « ce que vous avez » (un badge, un téléphone pour recevoir un SMS...) et « ce que vous êtes » (biométrie). On peut ainsi disposer de contrôles d'accès à un, deux ou trois facteurs. La complexité d'un mot de passe est un nécessaire obstacle à des attaques par force brute. Noter sur un post-it un mot de passe trop complexe à retenir de mémoire n'est pas nécessairement catastrophique car « un post-it ne se transmet pas par Internet » comme dit l'adage cité par les participants. Vincent Meysonnet, directeur technique chez BitDefender, a rappelé : « trouver un couple identifiant / mot de passe, c'est obtenir l'accès à tout ce que l'utilisateur a droit, quelque soit la sécurité technique posée derrière. »
PublicitéRendre complexe les mots de passe, ajouter un deuxième ou un troisième facteur, tout cela est bien. Mais insuffisant. Car « faire simple pour l'utilisateur ne suffit pas, il faut aussi faire simple pour le développeur afin que celui-ci exploite correctement la technologie, les erreurs d'implémentations étant une importante source de failles » a relevé Stephan Hadinger, directeur technique chez AWS. Trop souvent, le premier motif d'implémentation de l'IAM est la conformité réglementaire afin de garantir que la bonne personne accède aux bonnes informations, ni plus ni moins : SoX, RGPD et tant d'autres textes ont ainsi été des prétextes à des implémentations. Mais, comme l'a relevé Jérôme Chagnoux, manager avant-vente CyberSécurité chez Oracle, « la conformité n'est pas la sécurité ». Malgré tout, l'IAM progresse réellement quand c'est le métier, pour ses propres process, qui la réclame. Elle ne peut pas être réellement imposée avec efficacité par la DSI ou le RSSI.
L'identité ne concerne pas que des utilisateurs ordinaires
Parmi les identités à surveiller particulièrement, il y a bien sûr les fameux « utilisateurs à pouvoir » ou « comptes à privilèges ». Mais, parce que l'identité est le chemin d'accès au SI, il faut en fait s'assurer que tous les utilisateurs sont bien ceux qu'ils prétendent être, qu'aucune identité n'a été compromise. Des activités anormales, c'est à dire différentes des activités habituelles, peuvent être repérées par des algorithmes d'intelligence artificielle bénéficiant de machine learning pour affiner en permanence les modèles comportementaux. En cas d'alerte, selon la gravité ou les choix de prise de risque, il s'agit soit de bloquer l'identité, soit juste de remonter une alerte. On en arrive alors à l'EDR (Endpoint detection and response). Avec l'IAM, l'IA devient ainsi un socle de la sécurité.
Mais il y a un type d'identité qu'il ne faut pas négliger et dont le contrôle ne doit pas être oublié : l'identité des objets. Si, en droit, des « sujets de droits et d'obligations » peuvent être des personnes morales (donc fictives), en informatique, une identité peut en effet concerner des objets dans le cadre de l'IoT. L'IA peut alors être employée aussi pour contrôler que le comportement de chaque objet (caméra, capteurs...) est bien normal. Avec les nouveaux objets connectés (notamment les voitures autonomes et les véhicules en car-sharing), l'enjeu ne peut qu'être de plus en plus important.
Article rédigé par
Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire