Authentification, Habilitations, Accès :
l'état de l’art

Ce séminaire, très pratique et illustré de nombreux exemples et cas concrets, s’appuie sur une expérience et un savoir-faire acquis sur des projets de tailles variées au sein d’établissements publics et privés et d’entreprises de différents secteurs.

Un regard critique étayé par l’expérience acquise, permet de mesurer les apports des différents outils, techniques, standards et approches, aujourd’hui préconisés en matière de gestion des identités et habilitations.

Une analyse pragmatique de l’évolution des besoins à court et moyen terme est proposée pour anticiper sur les futures transformations et architectures à mettre en œuvre.

Sur deux journées, un état de l’art complet des meilleures pratiques en matière de gestion des identités et d’accès au SI, sous tous leurs aspects : architectures, sécurité, interfaces applicatives et administration :

• Les tendances en matière d’identités.
• L’importance des annuaires et du standard LDAP.
• L’obligation sécuritaire de consolidation autour d’un point central de contrôle : SSO.
• La gestion des accès liée aux identités.
• La fédération des annuaires.
• La gestion des identités et le Cloud.
• Les intégrés de la gestion d’identités (IAM).
• Les nouveaux protocoles OAuth et OpenID Connect.
• L’authentification forte et l’apport de la biométrie.

Insertion de la gestion des identités et des accès dans le SI

Les problèmes à résoudre

• Les processus de création des identités en entreprise.
• Multiplicité des annuaires incompatibles, gérés indépendamment : mises à jour et saisies multiples, pertes de temps.
• Identités et failles de sécurité.
• Protection des ressources.
• Sécurisation des points d’accès (EDP).
• Organisation de l’équipe chargée de la gestion des identités et accès.
• Les facteurs clés de réussite d’un projet d’identités.

Les bases de la gestion des identités

• La notion d’identité.
• Les différents types de comptes, rôles et profils.
• Les habilitations liées à une identité.
• Les jetons.
• Le processus d’authentification.
• Le couple identifiant / mot de passe.
• La cryptographie incontournable :

- Algorithme de chiffrement.

- Chiffrement, déchiffrement, décryptage.

- Chiffrement symétrique, asymétrique et mixte.

- Hashage et signature électronique.

• PKI : architecture à clé publique, certificats.

Les justifications d’un projet de gestion des identités

• Justification financière.
• Justification sécuritaire.
• Justification d’efficacité opérationnelle.

De l’habilitation à la gestion des identités

Les habilitations en général

• L’insertion de l’authentification dans une politique globale de sécurité.
• Les problèmes liés aux smartphones et tablettes, le mode déconnecté pour les mobiles avec bases de données intégrées.
• La mode du BYOD et ses conséquences.
• La mode du BYOID : «  Apportez votre identité  ».

La gestion des identités

• Ce que recouvre la gestion des identités.
• Les obligations légales : audit, traçabilité, etc.
• Les principales phases de mise en œuvre d’une infrastructure de gestion des identités.
• Les fonctions de la gestion des identités :

- Gestion des personnes et de leurs rattachements.

- Gestion des applications et de leurs rattachements.

- Provisionnement des habilitations : création, modification, suppression, processus automatiques, rapports de fonctionnement, etc.

• Les mots de passe et leur sémantique. Faut-il continuer à leur faire confiance. Disparition à terme.
• Les politiques de gestion du couple identifiant / mot de passe : renouvellement, moyens mnémotechniques.
• Les habilitations et identités appartiennent au domaine des données patrimoniales (MDM : Master Data Management).

Sécurité et identités

• Les faiblesses liées à la gestion des identités et des habilitations.
• Les principales failles et comment s’en protéger.
• Les techniques utilisées par les hackers.
• Les outils à mettre en œuvre et les coûts induits.
• Les bonnes pratiques.

La gestion des accès issue de la gestion des identités

• L’attribution des habilitations et privilèges d’accès aux ressources.
• Les modèles de contrôle d’accès : centralisé SSO, fédération, distribution.
• Les bonnes pratiques.

Mise en œuvre des annuaires et des méta-annuaires

Les annuaires

• Le langage et l’architecture LDAP.
• Conception d’un annuaire LDAP :

- Construction de l’arborescence (arbre DIT) : entités, attributs.

- Les bonnes pratiques.

• Les éléments présents dans un annuaire : identifiants, mots de passe, certificats, clés publiques, jetons, etc.
• Les frameworks d’accès à un annuaire LDAP.
• Dispositions de sécurité liées aux annuaires : chiffrement, réplication.
• Le format d’échange LDIF entre annuaires.
• Exemple concret d’un annuaire LDAP.
• Les solutions LDAP : Active Directory de Microsoft, OpenLDAP, etc.

SSO et les méta-annuaires

• Les fondements des méta-annuaires : définition et contextes de mise en œuvre.
• Les architectures : connexion directe ou non (annuaires virtuels) sur les habilitations individuelles et sur les annuaires déjà présents.
• Les responsabilités des habilitations fédérées par un méta-annuaire.
• Les solutions clés en mains.
• Les Web SSO : OAuth, OpenID Connect.

La fédération des identités

La fédération des identités

• Ce que recouvre le concept de fédération.
• La notion de domaine de sécurité.
• Comment mettre en œuvre un système d’habilitations fédérées entre domaines de sécurité distincts.
• Architectures et pratiques les plus courantes.
• L’apport du standard SAML.
• Les autres standards et leurs liens avec SAML : Shibboleth (Open Source), WS-* (WS-Security, WS-SecurityPolicy, WS-Trust), etc., et leur compatibilité (transversalité).
• L’exemple concret de Kerberos.
• Les solutions du marché et les coûts de mise en œuvre.

Le standard SAML

• Les fondements de Liberty Alliance.
• Les différentes versions de SAML.
• Les constituants de SAML : assertions, bindings, profils, métadonnées.
• L’utilisation de SAML pour la mise en œuvre d’un SSO.
• Exemple concret d’une assertion SAML.

Les intégrés de l’IAM

• Ce que recouvre le concept d’intégré IAM, les perceptions de Microsoft et du Gartner.
• Les conditions d’une bonne organisation IAM.
• Les indicateurs clés d’un profil IAM.
• Les principaux prestataires du marché.
• Le problème spécifique des objets : IRM.
• La gestion des clients : CIAM.

Les évolutions incontournables

La sécurité du Cloud

• La gestion des identités dans le Cloud, peut-on lui faire confiance ?
• IDaaS : l’identité dans le Cloud.
• Respect des contraintes propres aux entreprises.
• L’intégration d’Active Directory dans le Cloud.
• L’exemple concret d’OKTA.
• Problèmes de sécurité et de réversibilité.

L’authentification forte

• Les exigences de mise en œuvre d’une solution d’authentification forte : BYOD, mobiles.
• Ce que recouvre le concept.
• Les techniques utilisées : accès à un mobile, accès à une application depuis un mobile, certificats, cartes à puces, etc.
• L’apport de la biométrie : empreintes digitales, visage, iris, rétine, etc.
• Les systèmes d’authentification à une, deux ou trois passes : OTP (One Time Password).
• Les techniques récentes destinées aux mobiles : FIDO, FIDO2, Connect Mobile. Disparition programmée des mots de passe.
• Rôle du MDM : Mobile Device Management, pour les mobiles.
• Les API disponibles.
• Les solutions du marché et les coûts d’intégration.
• Les bonnes pratiques.

Le futur de la gestion des identités et des contrôles d’accès

• La centralisation autour d’un «  point de vérité  » unique.
• L’interopérabilité des annuaires fondés sur des standards de transfert et d’interconnexion (Cloud).
• Renforcement des moyens de protection contre les attaques.
• Prise en charge des projets par la maîtrise d’ouvrage. Métier à part entière.

La nécessité des audits

• Analyse du cycle de vie des identités.
• Détection des comptes dormants, des doublons, des comptes incohérents, etc.
• Interactions douteuses ou mal protégées avec les applications.
• Point de vue sur la politique de sécurité et sur la perception qu’en ont les utilisateurs.