Historiquement la discipline de la gestion des identités et des accès (IAM ou identity and access management en anglais) s’est constituée autour du besoin de maîtriser qui accède (comment et) à quoi dans le système d’information de l’entreprise.

Du côté de la gestion des identités, les projets se sont initialement attelés à l’automatisation du provisioning et des tâches à faible valeur ajoutée. La discipline s’est ensuite peu à peu tournée vers les processus de demande et d’approbation de droits d’accès et plus récemment vers les problématiques de revue et recertification des comptes et habilitations.

Sur le sujet du contrôle d’accès, nous sommes passés par une première ère où l’authentification fut centralisée (sur un annuaire partagé par exemple), puis déléguée (à une solution de WebSSO) et enfin standardisée avec l’utilisation des mécanismes de fédération d’identités (eg. SAML) autant pour les applications SaaS que pour les applications restées en interne.

Dans le même temps, ces dernières années, le système d’information de nos entreprises s’est énormément ouvert à Internet : SaaS, IaaS, utilisateurs internes en mobilité, partenaires & clients accédant au SI, applications mobiles, etc. Et l’IAM a pu à chaque fois proposer des solutions à ces nouveaux usages et nouvelles orientations sans forcément nécessiter de remettre en cause l’existant et ses principes fondamentaux. Le marché s’est d’ailleurs petit à petit consolidé et nous sommes dans une situation de relatif calme… avant la tempête.

Les évolutions du SI

Nous estimons en effet que nous n’en sommes qu’au début de ces transformations.

Sous l’impulsion du Cloud d’une part, nous allons vers encore plus de SaaS, une utilisation du IaaS majoritaire par rapport aux datacenters historiques, une réelle adoption du PaaS (sous la forme d’applications conteneurisées, et server-less apps), des utilisateurs internes accédant majoritairement depuis l’extérieur et une explosion du nombre de terminaux accédant au SI (toujours plus de clients dont le parcours est digitalisé, explosion à venir du nombre d’objets connectés, OpenData, etc.)

Et sous l’impulsion de nouvelles méthodologies agiles et DevOps, le SI n’évolue plus de la même manière. Les cycles de développement et déploiement se sont considérablement raccourcis, les interactions entre le métier et la DSI se heurtent de moins en moins à l’opposition historique, et traditionnellement française, entre MOA et MOE. Ces nouvelles méthodes se sont d’ores et déjà répandues dans l’entreprise et il est difficile d’y résister.

Si la mission de l’IAM n’a guère changé : maîtriser qui accède à quoi dans le SI, il y aura beaucoup plus de « qui », de « quoi » et le SI ne sera plus qu’une bulle parmi d’autres interagissant avec son environnement et devant maîtriser, à distance, des interactions entre des composants décentralisés.

L’IAM de demain

Dans ce nouvel environnement où les métiers pilotent l’innovation technologique et imposent leurs exigences, où il est même parfois prescripteur de solutions technologiques, l’IAM doit se faire une nouvelle place. Dans ces architectures majoritairement Cloud, l’IAM doit démontrer qu’elle permet de maîtriser cette orientation et même d’apporter des plus-values par rapport à la situation précédentes.

Notre vision de l’IAM de demain s’articule autour de sept thèmes. Trois besoins exprimés par le métier et quatre nouvelles disciplines au sein de l’IAM.

L’agilité

Le métier attend de pouvoir proposer de nouveaux produits en un temps toujours plus court et ce qu’il a obtenu sur les applications métier est aujourd’hui attendu de tout le SI, y compris les services d’infrastructure et de sécurité et donc de l’IAM.

C’est l’occasion de passer d’un IAM monolithique, complexe à sortir de terre et très difficile à manœuvrer pour embrasser une architecture plus légère basée, par exemple, sur des micro-services.

La gestion des identités clients (Customer IAM ou CIAM)

La transformation numérique engagée par de nombreuses entreprises aujourd’hui a poussé le métier à interagir avec ses clients de plein de manières différentes et via toujours plus de canaux différents.

Une expérience utilisateur parfaite et la simplification du parcours client sont requis. L’optimisation des conversions clients et les taux de retours deviennent des indicateurs clés sur lesquels le métier insiste pour obtenir de l’IAM plus d’efforts.

Les objets connectés (Internet of Things ou IoT)

Que votre entreprise se lance dans la fabrication d’objets connectés ou qu’elle ne fasse que fournir des services consommés par ces objets, un certain nombre de questions vont devenir incontournables :

• Comment s’assurer que l’objet avec lequel je communique et celui qu’il prétend être ? Dans mon cas d’usage, est-ce finalement si important de le savoir ?
• Comment m’assurer de tenir la charge face au volume d’objets déployés ?
• Comment assurer la sécurité de bout en bout ?
• Quel cycle de vie doit-on anticiper ?

Ce sont des questions passionnantes qui imposent de savoir revenir à la planche à dessin et prendre en compte des hypothèses extrêmement différentes de celles de l’IAM classique.

IDentity as a Service

Comme nous l’avions prédit il y a quelques années, les entreprises n’hésitent plus à exporter leur IAM dans le cloud pour des questions de sécurité mais reviennent à la bonne question : en ai-je besoin ? Que vais-je gagner ?

Si le marché de l’IDaaS est encore jeune, les offres actuelles ne couvrant que très partiellement le spectre de l’IAM, tous les indicateurs montrent que cela ne va pas durer et que toute la gamme de fonctionnalités de gestion des identités aujourd’hui manquantes (provisioning on-premises, demande et approbation de droits, gouvernance des identités, etc.) sera bientôt couverte. Il reste à savoir si gestion des identités et contrôle d’accès seront packagés ou proposés par des acteurs différents et à choisir le(s) bon(s) acteur(s)…

APIs

Les APIs représentent déjà un format de communication prépondérant et incontournable pour toute entreprise lancée dans sa transformation numérique : échange avec les partenaires, applications mobiles, applications IHM client-side, OpenData, etc. Si vous ne vous êtes pas encore lancés, il va falloir sérieusement songer à plonger dans ce sujet !

Malgré des manques perçus par rapports aux standards des web-services des années précédentes (spécifiquement aux nostalgiques de la suite WS-*), il faut se résoudre à embrasser la vague REST/JSON, il faut se lancer dans Oauth2 et vous poser la question du API first pour tous vos projets.

Standards

La guerre des standards est éternelle. Et tout standard qui s’impose aujourd’hui a vocation à être challengé et remplacé plus tard par un autre. Cela n’empêche pas de bons standards de voir le jour, d’être adoptés et de permettre de correctement répondre aux problématiques de l’IAM.

Sur le sujet du contrôle d’accès en particulier, tant sur le volet de l’authentification proprement dite que de la propagation de cette authentification au travers du SI, plusieurs standards et protocoles sont matures et d’ores et déjà adoptés par une bonne part du marché. FIDO, U2F, OpenID Connect pour ne citer que ceux-là sont parmi les plus prometteurs de par leur ouverture, la maturité des technologies sous-jacentes ou encore les acteurs qui les ont conçus collectivement.

Identity & Access Intelligence

C’est sans doute le domaine de l’IAM qui offre les perspectives les plus excitantes. L’application des algorithmes du machine learning, la détection de signaux faibles, des réseaux neuronaux et bien d’autres encore pour faire émerger de nouveaux usages, de nouvelles possibilités en lien avec les identités de nos utilisateurs (ou objets) et leur comportement.

Détecter les scénarios de fraude avant même qu’ils ne se concrétisent, anticiper les risques et fermer la porte avant même que quelqu’un ne l’emprunte réellement. Il y a sans doute encore un peu de science-fiction dans les scénarios présentés par les éditeurs mais ce marché en pleine ébullition regorge de pépites et de bonnes surprises.

En synthèse

Ces sept thèmes, incontournables selon nous, requièrent d’ores et déjà une expertise à la fois pointue et très spécifique. Dans les prochaines semaines, nous éclairerons progressivement ces différents sujets pour donner les clés d’analyse et d’action sur l’IAM de demain, que ce soit en phase de cadrage, d’expérimentation ou de premières mises en œuvre.

Cet article Quel IAM pour demain ? est apparu en premier sur RiskInsight.

Qu’en est-il des aspects sécurité de la dernière mouture de l’OS ?

Les deux versions précédentes (Vista et Windows 7) avaient fait l’objet d’une communication sécurité appuyée.

Windows 8 ne déroge pas à la règle, et de nombreux détails sont d’ores et déjà connus : Microsoft annonce plusieurs évolutions substantielles des outils de protection, mais ce n’est pas là que se trouve la vraie révolution qui se prépare.

Des évolutions et de nouvelles fonctions de sécurité

Tout d’abord, les mécanismes existants sont presque tous améliorés (chiffrement BitLocker, contrôle des logiciels AppLocker, ainsi que l’ASLR qui charge le système dans des zones mémoire aléatoires pour éviter les attaques). L’antimalware Windows Defender sera capable de détecter de nouveaux types de logiciels malveillants, et le navigateur Internet Explorer 10 gagnera en robustesse.

Ces annonces ne changeront pas à elles seules le paysage sécuritaire de Windows. Une fonction faisant son apparition méritera tout de même une attention particulière : Windows-to-Go.

Elle permettra d’utiliser une version portative du poste de travail Windows 8 de l’entreprise, sur clé USB. Les opportunités d’usage sont multiples : fourniture d’un « poste virtuel » entreprise aux prestataires à moindre coût, tests applicatifs, clés prêtes à l’usage en cas de déclenchement d’un plan de continuité informatique… Il s’agit même d’une réponse possible aux problématiques de BYOD.

Malgré ces évolutions, les cellules de veille et de gestion de la sécurité, ainsi que les éditeurs de solutions ont encore de beaux jours devant eux : les failles de sécurité ne disparaîtront pas par magie à court terme !

Un renouveau par les fondamentaux

La base de l’OS a cependant pris un tournant significatif vers une sécurité plus moderne.

Si l’on peut se féliciter des améliorations apportées aux fonctions de sécurité, il faut reconnaître que d’autres changements touchant au fonctionnement-même de Windows, vont être les porteurs d’une sécurité « by design », moins monolithique, et intégrée au cœur du système.

Windows 8 adopte en effet une approche qui rappelle celles des principales plates-formes mobiles du moment :

• L’utilisation d’un « magasin » d’applications vérifiées, qui va tendre à assainir l’écosystème Windows, en tentant de trouver un équilibre entre contrôle des applications et liberté d’installation.
• Une  isolation inter-applicative permettant d’éviter qu’un programme malveillant en contamine un autre.
• Le Secure Boot, mécanisme n’autorisant Windows à se lancer que si la séquence de démarrage est vérifiée comme étant  intègre, offre une piste de réponse aux rootkits (ces virus furtifs qui s’installent dans les couches basses du système, et qui ont causé des dégâts dans plusieurs grandes sociétés ces dernières années). Windows 8 abandonne par ailleurs l’utilisation du BIOS historique, pour son successeur, l’UEFI.

C’est ici que se joue le futur de la sécurité de l’OS. Microsoft tente ainsi de se mettre à la page, y compris dans le monde de la mobilité après le démarrage poussif de Windows Phone 7.

La disponibilité de Windows 8 sur les PC et tablettes (peut-être les smartphones ?) sera donc un argument de poids, en particulier pour les entreprises souhaitant éviter une trop grande fragmentation de leur parc, et donc de leur sécurité.

Reste un obstacle de taille : la rétrocompatibilité. Même si Microsoft fait des efforts importants dans ce domaine, il faudra a minima des années pour que le parc, matériel mais surtout applicatif (en particulier les applications métier) s’adapte à ce modèle de sécurité, qui est donc plutôt une cible à long terme.

En attendant la sortie du système à l’automne, il est déjà possible de le tester facilement, par exemple sur une machine virtuelle, et se faire son avis sur les avancées et les opportunités à venir !

Cet article Windows 8 : des évolutions sécurité à court terme, une révolution à long terme ? est apparu en premier sur RiskInsight.