La gestion des identités et des accès est au cœur des enjeux de sécurité du système d’information pour toutes les organisations. La discipline recouvre de nombreux acronymes voire même son propre vocabulaire, et les explications de ce glossaire sont là pour vous permettre d’en comprendre toutes les subtilités pour votre stratégie IAM.
AM (Access Management ou Gestion des Accès)
La gestion des accès est le processus d’identification, de suivi, de contrôle de l’accès des utilisateurs à un système d’information, une application ou toute ressource informatique. Elle offre une réponse à l’ensemble des problématiques d’authentification forte, de contrôle d’accès logique, de SSO (Single Sign-On) et fédération d’identité, et de traçabilité des accès au système d’information de l’organisation.
La gestion des accès ne se limite pas à la simple mise en place d’un login/mot de passe pour l’ensemble des utilisateurs. Dans le cadre d’une stratégie de cybersécurité, il est fondamental de renforcer les mécanismes d’authentification et les règles de contrôle d’accès aux applications du SI afin de supprimer l’utilisation de mots de passe triviaux et d’adapter le niveau de sécurité requis au contexte d’utilisation (environnement de travail, sensibilité des applications, métier de l’utilisateur et ergonomie attendue, …).
Une plateforme de gestion des accès complète permettra de prendre en compte différents moyens d’authentification et d’adapter le niveau de sécurité au contexte, tout en garantissant un contrôle des accès et une traçabilité de l’ensemble des opérations effectuées depuis n’importe quel point d’entrée. Elle permettra également de garantir la cohérence de la politique de sécurité.
CIAM (Customer Identity and Access Management)
Le Customer IAM désigne la gestion des identités et des accès des clients d’une entreprise. Il permet aux entreprises de gérer les identités de leurs clients et de verrouiller ou déverrouiller leurs accès aux services et applications en fonction du contexte. Il permet également aux entreprises de gérer l’authentification et l’autorisation des clients, ainsi que d’appliquer des politiques de sécurité et de confidentialité pour protéger les données sensibles.
Les avantages du CIAM sont nombreux. Il permet notamment d’offrir une expérience utilisateur optimale grâce à une inscription simplifiée et un parcours d’accès fluide et sécurisé. Il offre également aux entreprises une vision 360° des accès à leurs sites et services clients afin de créer de nouvelles opportunités commerciales et marketing.
En offrant la possibilité à chaque utilisateur de gérer son profil et de contrôler les données personnelles qu’il souhaite ou non partager, il permet aux entreprises de se conformer au Règlement Général sur la Protection des Données (RGPD) et de créer ainsi une réelle relation de confiance entre l’entreprise et ses clients.
En positionnant l’identité du client au centre de l’organisation, le CIAM répond à des besoins tant métiers que sécuritaires et réglementaires.
CMS (Card Management System)
Un CMS est un logiciel permettant à l’organisation d’administrer son parc de supports d’authentification. Il permet de gérer de manière centralisée le cycle de vie et le déploiement de tous leurs supports d’authentification.
Les supports d’authentification sont vastes et comprennent par exemple :
- Les moyens d’authentification sur les postes de travail et applications du SI : cartes à puce, token FIDO2, certificats numériques
- Les cartes Agents (collectivités), Cartes de Professionnels de Santé (CPS), etc.
- Les cartes de vie quotidienne qui mutualisent sur un seul support l’ensemble des services proposés à ses habitants par une collectivité : transports, crèches, piscines, bibliothèques, etc.
- Les badges de contrôle d’accès aux locaux d’une entreprise
Tout au long de son cycle de vie, un support d’authentification change d’état (émission, blocage, révocation…). Le CMS permet d’assurer cette gestion. Il offre à tous les utilisateurs, y compris non informaticiens, des processus simples et des interfaces ergonomiques de demande et de récupération de leurs supports physiques personnalisés et de leurs certificats numériques.
Un tableau de bord complet permet d’assurer un suivi rigoureux sur les opérations réalisées par les porteurs de supports d’authentification en réponse aux enjeux de traçabilité et de conformité.
DAG (Data Access Gouvernance ou Gouvernance des accès aux données non structurées)
Avec l’expansion des nouveaux outils collaboratifs, les échanges de données non structurées n’ont cessé d’augmenter ces dernières années. Les documents bureautiques, tableurs, présentations ou e-mails qui ne sont pas stockés dans des systèmes transactionnels sont toujours plus nombreux et contiennent des informations sensibles qui doivent être protégées. Contrôler et sécuriser les droits d’accès à ces données non structurées est indispensable et c’est précisément l’objet de la DAG (Data Access Gouvernance). Elle est étroitement liée aux différentes solutions en place au sein de l’organisation pour gérer les documents, qu’il s’agisse de logiciels de GED (Gestion Électronique de Documents), de serveurs de dossiers et fichiers partagés sur le réseau local ou dans le Cloud, de portails documentaires de type SharePoint, etc. La DAG doit également prendre en compte le fait que ces données sont par nature très évolutives, les fichiers changent et sont constamment partagés entre utilisateurs internes ou externes. Gérer et sécuriser les droits d’accès à ces serveurs de fichiers est primordial pour toute entreprise cherchant à contrôler les risques de fuite de données.
La gouvernance du contrôle d’accès aux données non structurées doit être combinée à une plateforme IAM, l’identité de l’utilisateur étant le dénominateur commun. Ceci permettra une gestion « de bout en bout » des droits d’accès de l’utilisateur.
FIDO (Fast Identity Online)
Lancée en 2013, l’alliance Fast Identity Online (FIDO) réunit plus de 250 membres (entreprises, agences gouvernementales, fournisseur de services…) au sein d’un consortium technologique qui vise à développer des protocoles standards et ouverts pour l’authentification en ligne. L’objectif est de réduire l’utilisation des mots de passe tout en garantissant un haut niveau d’authentification sur les postes de travail, ordinateurs de bureau ou appareils mobiles. Le protocole CTAP (Client to Authenticator Protocol) permet par exemple aux utilisateurs de se connecter sans mot de passe en utilisant une clé de sécurité ou leur téléphone portable. Le mot de passe est remplacé ici par une empreinte digitale, la reconnaissance faciale ou par le recours à un code PIN à usage unique, par exemple. Il faut noter que FIDO est également associé à la spécification WebAuthn utilisée par les navigateurs web pour l’authentification en ligne. L’alliance a développé récemment le protocole d’authentification FIDO2, approuvé par le World Wide Web Consortium (W3C), et qui est pris en charge par les principaux navigateurs et systèmes d’exploitation, comme Windows 10 et Android, Google Chrome, Mozilla Firefox, Microsoft Edge, ainsi que le navigateur Apple Safari.
IAG (Identity and Access Governance ou Gouvernance des identités et des accès)
L’IAG (Identity and Access Governance) vise à organiser la gestion des identités et des accès des utilisateurs aux ressources informatiques, elle est donc très proche de l’IAM (Identity and Access Management ou gestion des identités et des accès) mais en quoi diffère-t-elle ? Pour faire simple, on peut dire que l’IAG est un peu « l’instance supérieure » qui permet de piloter la gestion des identités et des accès au sein d’une organisation. Elle répond aux besoins de contrôle en complément naturel de l’IAM pour s’assurer de la légitimité des identités créées, de l’absence de comptes orphelins, vérifier les règles de séparation des droits (SoD) ou encore contrôler les comptes de techniques hors scope de l’IAM.
Les solutions d’IAG vont donc intégrer des outils de supervision et de surveillance des activités des utilisateurs avec tout le reporting nécessaire. Parmi les composantes principales de l’IAG, on compte notamment le rôle mining, la revue des habilitations ou encore la séparation des droits (SOD). Elle permet ainsi de mieux répondre aux enjeux de conformité réglementaire.
IAM (Identity and Access Management ou Gestion des identités et des accès)
L’IAM, ou la gestion des identités et des accès, permet de savoir qui a accès à quoi sur son système d’information via un ensemble de processus visant à rationaliser, administrer et sécuriser l’ensemble des identités numériques des utilisateurs et leurs droits.
La gestion des identités et des accès englobe différentes composantes/technologies :
- Authentification forte – MFA – Adaptative
- Fédération d’identité
- Web SSO
- Enterprise SSO
- Self-Service Password Reset
- Cycle de vie des utilisateurs
- Revue des droits
- Provisioning
Les différentes fonctionnalités de la gestion des identités et des accès apportent de nombreux bénéfices à tous les utilisateurs qui gravitent dans l’écosystème de l’organisation, quel que soit le secteur d’activité. Avant de se lancer dans un projet IAM induisant une ou plusieurs de ces composantes, il est fondamental de définir sa stratégie.
Pour déployer sa stratégie IAM, la meilleure approche est de s’appuyer sur une plateforme capable d’accueillir l’ensemble des services IAM prévus.
Les DSI et RSSI doivent privilégier des fondations solides, car cette plateforme IAM sera le socle sur lequel ils s’appuieront demain pour répondre à tous les besoins de gestion des identités et des accès de l’organisation.
IDaaS (Identity as a Service)
L’IDaaS (Identity as a Service) désigne la gestion des identités et des accès (IAM) en mode SaaS (Software-as-a-Service), hébergée par un fournisseur de services dans le cloud, à laquelle les entreprises peuvent souscrire par le biais d’un abonnement.
L’IDaaS répond aux exigences actuelles de la gestion des identités et permet aux entreprises et DSI de se libérer de certaines contraintes du modèle on-premise. En adoptant ce modèle, les entreprises bénéficient de certains avantages : rentabilité de la solution plus rapide, réduction des coûts et des délais de déploiement de la solution, offre flexible et scalable, …
Les solutions IDaaS reposent généralement sur quatre éléments : l’annuaire, l’authentification unique (SSO), l’authentification multifacteur (MFA) et enfin la partie provisioning et workflows.
L’IDaaS contribue à l’accélération de la transformation digitale et l’ouverture sécurisée du SI.
IdP (Identity Provider ou fournisseur d’identité)
Un fournisseur d’identité (IdP ou encore Identity Provider) crée, maintient et gère les identités numériques des utilisateurs ainsi que leurs facteurs d’authentification. Pour ces derniers, l’IdP s’appuie généralement sur un serveur d’authentification.
Google, Facebook et Amazon Web Services (AWS) font partie des IdP les plus populaires en BtoC. Pour les entreprises, citons par exemple les fournisseurs d’identité Microsoft Active Directory et OpenLDAP.
L’IdP peut gérer et vérifier diverses informations sur l’identité, comme les noms d’utilisateur, les mots de passe ou les informations biométriques pour se porter garant de l’identité d’un utilisateur envers une application ou un SP (Service Provider).
On trouve ainsi régulièrement les IdP dans les environnements de fédération d’identité et de SSO (Single Sign-On) pour permettre aux utilisateurs d’accéder à plusieurs applications avec un seul nom d’utilisateur et mot de passe. La fédération d’identités permet de définir une relation de confiance dans laquelle le Service Provider fournit un accès aux ressources en utilisant les informations sur l’identité données par l’IdP.
Lorsqu’un IdP est utilisé pour superviser la gestion et la vérification des identités de l’utilisateur, il libère le SP de cette responsabilité.
IM (Identity Management ou Gestion des Identités)
La gestion des identités consiste à gérer de manière centralisée les données d’identité des utilisateurs, leurs profils et leurs rôles dans le réseau. Elle comprend la gestion du cycle de vie des utilisateurs, le provisioning des comptes et des droits des utilisateurs et la gestion des habilitations.
À l’heure où le système d’information se complexifie, gérer efficacement l’ensemble des identités des utilisateurs est un vrai défi pour les organisations. Il est nécessaire de consolider les informations liées à ses utilisateurs au sein d’un annuaire central, de modéliser et outiller la gestion des événements de la vie d’une identité au sein de l’entreprise.
La gestion des identités doit couvrir l’ensemble des populations qui doivent se connecter au SI (employés, prestataires, fournisseurs, partenaires, clients, etc.) et prendre en compte tous les événements associés (arrivée, changement de poste, départ, détachement, absence de longue durée, mission supplémentaire, etc.). L’identité numérique étant une notion clé, maîtriser son cycle de vie est indispensable.
La gestion de l’identité est au service de la gestion des habilitations et des accès au travers du provisioning. Les processus techniques de provisioning des comptes et des droits sur le SI garantissent que chaque utilisateur du SI ait les bons droits au bon moment.
Une plateforme de gestion des identités et des habilitations permet de gagner en productivité, limiter les risques opérationnels de sécurité et faciliter la traçabilité requise pour répondre aux enjeux de conformité et d’audit.
MFA (Multi Factor Authentication ou Authentification multifacteur)
L’authentification forte ou multifacteur consiste à prouver qui je suis en utilisant au moins 2 facteurs distincts parmi les suivants :
- Un facteur de propriété, c’est-à-dire un élément que je détiens comme par exemple ma carte d’identité, mon smartphone, une clé de sécurité USB (Yubikey, Winkeo, etc.), une carte à puce, etc.
- Un facteur d’inhérence, c’est-à-dire quelque chose qui me constitue comme par exemple mon empreinte digitale, veineuse ou rétinienne, ma voix, mon visage, etc.
- Un facteur de connaissance, c’est à dire un élément que je connais, comme par exemple un code PIN, un mot de passe ou encore le nom de jeune fille de ma mère associé à ma couleur préférée.
Pour réaliser une authentification forte, il faudra obligatoirement cumuler deux facteurs d’authentification parmi les trois ci-dessus. Et plus on cumule de facteurs, plus on sécurise l’accès en réduisant considérablement les risques d’usurpation d’identité.
L’authentification multifacteur est un must have dans sa stratégie IAM. Elle permet de répondre à des contraintes réglementaires, de renforcer la sécurité des accès au système d’information et d’améliorer l’expérience utilisateur en se débarrassant de l’usage des mots de passe.
Pour un éclairage complet sur l’authentification (authentification primaire, forte, MFA…), consultez notre dossier #BackToBasics : de l’identification à l’authentification forte, multifacteur et adaptative.
OAuth2
OAuth2 est un protocole libre qui sert à mettre en œuvre une délégation d’autorisation pour accorder un accès limité à une application ou une ressource, avec le consentement de l’utilisateur.
Le but du protocole est de permettre d’autoriser un site web, un logiciel ou une application (dit « consommateur ») à utiliser l’API sécurisée d’un autre site web (dit « fournisseur ») pour le compte d’un utilisateur.
OAuth2 n’est pas un protocole d’authentification mais de « délégation d’autorisation ». Pour se servir d’OAuth2 comme méthode d’authentification, deux étapes sont nécessaires. La première consiste à récupérer un token d’autorisation, nommé « accessToken », suite à l’authentification de l’utilisateur sur le SI du partenaire. La seconde permet, à partir de cet accessToken, d’appeler une API afin de récupérer les informations de l’utilisateur.
En résumé, OAuth 2.0 permet à une application d’accéder à une ressource protégée au nom de son propriétaire par la délivrance d’un token. Pour en savoir plus, lisez notre article Oauth2 vs OpenId Connect : qui gagne ?.
OIDC (OpenID connect)
OpenID Connect désigne un des standards utilisés dans la fédération d’identité. C’est la troisième génération du protocole mise en place par la fondation OpenID.
Ce protocole utilise les capacités d’OAuth2 en lui ajoutant une simple couche d’identification. Il permet de vérifier l’identité d’un utilisateur auprès d’un serveur d’autorisation afin d’obtenir des informations sur cet utilisateur.
OpenID Connect a été conçu pour répondre aux limites de OAuth2 dans le domaine de l’authentification forte. Le but est de permettre à des sites tiers d’obtenir une identité de façon plus sécurisée que ne peut le faire OAuth2.
Puisqu’il s’agit d’une surcouche de OAuth2, OpenID Connect est également capable de répondre à l’ensemble des cas d’utilisations de OAuth2.
OIDC est couramment utilisée pour permettre aux utilisateurs de se connecter à des applications mobiles ou à des sites web commerciaux.
Pour en savoir plus, lisez notre article sur Oauth2 & OpenId Connect.
PAM (Privileged Access Management ou gestion des comptes à privilège)
La gestion des accès à privilège ou PAM (Privileged Access Management) permet aux entreprises de gérer l’accès et l’authentification des utilisateurs disposant d’habilitations sur des ressources critiques ou des applications d’administration.
Les utilisateurs à pouvoir concernés par le PAM peuvent aussi bien être des utilisateurs internes du système d’information, comme des administrateurs systèmes ou des utilisateurs manipulant des données sensibles, que des utilisateurs externes comme des infogérant par exemple.
En plus de contrôler spécifiquement l’identité et les accès de ces personnes, une solution PAM va également surveiller leur activité une fois connectées pour suivre toutes les actions menées et données consultées. Elle intègre pour cela un gestionnaire des sessions qui permet de détecter en temps réel d’éventuels comportements suspects et de limiter les privilèges de manière préventive lorsque c’est nécessaire. La solution PAM peut alors recourir à des techniques d’authentification renforcée, notamment via l’authentification multifacteur (par certificat, biométrie…), afin d’éviter toute utilisation frauduleuse des accès privilégiés.
Pour une gouvernance unifiée de l’identité et des accès, il faut veiller à coordonner les politiques d’accès des solutions de PAM et d’IAM.
SAML (Security Assertion Markup Language)
SAML (Security Assertion Markup Language) désigne un des standards utilisés dans la fédération d’identité. Créé par le consortium à but non lucratif OASIS, SAML est plus ancien qu’OIDC, les spécifications de la version 2.0 datent de 2005 mais font régulièrement l’objet de mises à jour.
SAML permet de mettre en œuvre une procédure visant à vérifier l’identité et les habilitations d’un utilisateur. Reposant sur le format Extensible Markup Language (XML), les applications Web utilisent la norme SAML pour transférer les données d’authentification entre deux parties : le fournisseur d’identités (IdP)et le fournisseur de service (SP).
Le recours au standard SAML offre aux entreprises de nombreux bénéfices : renforcement de la sécurité des accès, standardisation et interopérabilité, optimisation de l’expérience utilisateur…
Ce standard est plus généralement utilisé pour permettre aux utilisateurs d’entreprise d’accéder à plusieurs applications en se connectant une seule fois.
SLO (Single Logout ou déconnexion unique)
Le Single Logout (ou SLO) est un processus qui permet de déconnecter simultanément un utilisateur de toutes les ressources informatiques (applications, services web…) auxquelles il s’est connecté via un environnement SSO (Single Sign-On). Avec la déconnexion unique, l’utilisateur peut mettre fin à toutes les sessions sans avoir à se déconnecter activement de chaque application, même si elles ont été ouvertes sur différents postes de travail ou mobiles. En garantissant qu’aucune connexion reste active, le SLO renforce la sécurité et limite les risques d’exploitation malveillantes de sessions actives.
Il existe plusieurs façons de mettre en œuvre le SLO dans un environnement SSO. Certaines approches utilisent des protocoles de communication tels que SAML pour échanger des informations de sécurité entre la ressource informatique et l’Identity Provider. D’autres approches peuvent également recourir à l’utilisation de jetons d’authentification (tokens) pour gérer de manière centralisée les sessions d’utilisateurs.
SP (Service Provider ou fournisseur de service)
Un fournisseur de service, ou Service Provider (SP), fournit des services applicatifs à ses clients via un réseau, en général Internet. C’est par exemple le cas des services de l’Etat, de santé, les banques et assurances mais aussi de toutes les applications qui ne sont pas de confiance (réseaux sociaux, e-commerce…). Certains protocoles de sécurité utilisent des termes différents pour le rôle de fournisseur de service comme « relying party » (RP) ou consommateur.
La fédération d’identité permet de définir une relation de confiance entre un fournisseur d’identité et un fournisseur de service dans laquelle le SP accorde un accès aux ressources/services en utilisant les informations sur l’identité fournies par l’IdP.
Les fournisseurs de services n’authentifient pas les utilisateurs et comptent sur les fournisseurs d’identité pour vérifier l’identité d’un utilisateur, ainsi que certains attributs relatifs à l’utilisateur. Lorsque le SP reçoit le jeton d’authentification délivré par l’IdP, il contrôle les informations de l’utilisateur ayant été vérifiées puis il crée une session d’application pour l’utilisateur.
Le SP propose un service aux entreprises qui veulent simplifier l’accès des utilisateurs à leurs services et à leurs ressources, tout en se libérant de la responsabilité inhérente à la gestion des accès.
SSO (Single Sign-On)
Le Single Sign-on ou authentification unique, permet à un utilisateur de se connecter à l’ensemble des applications dont il a besoin par le biais d’une seule et unique authentification.
On adresse généralement le SSO via différentes approches : Web SSO (ou Web Access Management) et fédération d’identité si on s’inscrit uniquement dans le monde du web, Enterprise SSO (ou eSSO) pour la protection des postes de travail et des applications client lourd, et enfin mobile SSO pour les environnements mobiles.
Le SSO permet à l’entreprise de renforcer ses politiques de mots de passe et de faciliter le déploiement de technologies d’authentification multifacteur et adaptative. Il permet également un ROI rapide en réduisant significativement les appels au helpdesk liés à la perte et au renouvellement des mots de passe des utilisateurs.
Côté utilisateur, le SSO offre à l’utilisateur une expérience de navigation fluide et optimale en l’affranchissant de la saisie de dizaines de mots de passe différents. Tout comme le SLO (Single Log-out).
Pour découvrir quelles sont les bonnes pratiques pour mener à bien un projet SSO, consultez notre article dédié.
SSRPM (Self Service Reset Password Management)
Le Self-Service Reset Password Management est un processus permettant aux utilisateurs de réinitialiser eux-mêmes leurs mots de passe dans le cas d’un oubli ou d’un blocage de compte.
Offrir aux utilisateurs une solution de Self-Service Password Reset (SSPR) permet de les rendre autonomes dans le renouvellement de leurs mots de passe. Cela permet également de libérer le helpdesk de cette tâche sans grande valeur ajoutée et contribue ainsi à un gain financier immédiat.
Pour être aboutie et complète, la solution SSRPM doit être disponible à la fois au niveau des postes utilisateurs (en tenant compte des contextes déconnectés) et via un navigateur web dans un portail ou une application dédiée. Sa configuration doit être centralisée et auditable.
Le SSRPM ne se limite pas au renouvellement des mots de passe, mais doit également prendre en compte l’ensemble des méthodes d’authentification forte déployées pour accéder au système d’information. Ainsi, il faut proposer différentes méthodes de déblocage et un « mode Secours » consistant à débloquer les utilisateurs qui ne possèdent pas leur moyen d’authentification principal (questions secrètes, OTP par SMS ou Mail, solution de MFA mobile, URL unique, parrainage par un autre utilisateur autorisé, etc.).
WebAuthn (Web Authentication)
WebAuthn est un standard élaboré par le World Wide Web Consortium (W3C) et issu des spécifications FIDO 2 de l’alliance FIDO. Il propose une interface d’authentification des utilisateurs aux applications Web à l’aide de clés asymétriques.
Il permet aux utilisateurs d’applications web de s’authentifier depuis différents terminaux préalablement enregistrés, comme des smartphones, des ordinateurs portables ou des périphériques de sécurité matériels (les clés USB sécurisées FIDO par exemple). Il a été conçu pour remplacer les méthodes d’authentification traditionnelles telles que les mots de passe et les codes d’authentification par SMS. Pour les entreprises et leurs collaborateurs, le principal avantage réside dans la prévention du piratage de comptes survenant lors d’usurpations d’identifiants par voie de phishing notamment. En effet, WebAuthn utilise des procédés tels que la reconnaissance biométrique, la cryptographie ou la certification pour s’assurer que l’utilisateur est bien celui qu’il prétend être. La prise en charge par Google Chrome, Mozilla Firefox, Microsoft Edge, Apple Safari et Opera, sans oublier l’adoption rapide par différentes plateformes (Windows Hello, Google Android…) montre à quel point WebAuthn est devenu un standard. Ce procédé s’inscrit dans la mouvance « passwordless » (plus de mot de passe) qui a le vent en poupe dans les entreprises.
WS-Federation
WS-Federation (parfois appelé chez certains éditeurs « Web Services Federation Language », ou « WS-Fed ») est un des standards utilisés dans la fédération d’identité. Il permet de partager des informations d’identités entre applications qui ont des spécifications de sécurité différentes. Pour communiquer avec des environnements hétérogènes, WS-Federation utilise un langage de description de règles de confiance basé sur WS-Trust (pour Web Services Trust Language), qui est également un protocole de sécurité. Les utilisateurs peuvent ainsi utiliser leurs identifiants et mots de passe pour accéder à des ressources dans différents systèmes avec la garantie que les informations d’identification sont gérées de manière sécurisée. WS-Federation peut être utilisé pour mettre en place une authentification unique (Single Sign-On) et faciliter l’accès aux différentes ressources pour les utilisateurs.
Tout comme SAML et OAuth, WS-Federation est une technologie mature.
ZTNA / Zero Trust (Zero Trust Network Access / Zero Trust)
Le Zero Trust est un modèle stratégique de cybersécurité qui part du principe qu’il n’existe aucune zone de confiance lorsqu’il s’agit de protéger le système d’information et les données de l’entreprise.
Par extension, le Zero Trust Network Access est un concept qui se base sur un principe simple : aucune confiance ne doit être accordée à un utilisateur et, de ce fait, aucun accès aux applications ne lui est accordé par défaut.
Cette approche repose sur de nombreuses composantes clés de l’IAM. En effet, en associant les technologies d’authentification multifacteur et contextuelle, de contrôle d’accès et de gestion des habilitations, il est possible de mettre en place une vérification systématique, continue et dynamique des accès, conforme à une politique de sécurité Zero Trust adaptée au contexte du monde numérique actuel.
Par son approche dynamique et transparente, l’approche Zero Trust Network Access sert les utilisateurs finaux en leur apportant une meilleure expérience utilisateur et une meilleure agilité. Le modèle ZTNA permet ainsi aux RSSI de faire converger leurs feuilles de route cybersécurité avec les attentes métier de leurs utilisateurs.
Pour en savoir plus, lisez notre article sur le Zero Trust Network Access (ZTNA).