LE CONTRÔLE D’ACCÈS POUR PROTÉGER LES APPLICATIONS
En dehors des sites internet grand public, la plupart des applications contiennent des informations confidentielles à un titre ou à un autre, ou permettent de réaliser des opérations sensibles. Pour les protéger, on s’assure que seules les personnes habilitées puissent s’y connecter et on vérifie qu’elles ne pourront y réaliser que les opérations qui leur sont autorisées.
OUVRIR LES APPLICATIONS DU SYSTÈME D’INFORMATION SUR INTERNET
Le contrôle d’accès aux applications a commencé à être mis en place pour les applications locales accédées depuis le réseau local.
Depuis les usages se sont diversifiés : les employés doivent accéder aux applications non plus uniquement depuis leur bureau mais aussi depuis leur domicile en télétravail, sur leur smartphone ou depuis leur ordinateur portable en déplacement. Les applications se sont aussi ouvertes aux externes : les partenaires, les fournisseurs, les clients. Elles ont quitté le réseau local et ont investi le cloud.
Le VPN a trouvé ses limites dans ce débordement du système d’information de son périmètre initial.
Des remplaçants ont pris sa place, tous basés sur le contrôle strict de l’accès :
le ZeroTrust part du principe qu’il est aussi risqué de déployer une application localement que de l’ouvrir sur internet. La distinction entre les deux s’estompe et l’accent est mis sur la protection individuelle de chaque application et de chaque service
les anciens mécanismes de protection périmétrique sont devenus obsolètes, et seule la vérification de l’identité de ceux qui se connectent aux applications assure une protection efficace : « Identity is the new firewall ».
RÉFÉRENCER LES UTILISATEURS POUR CONTRÔLER LES ACCÈS
Pour être efficace, le contrôle de l’accès aux applications suit plusieurs étapes.
On commence par référencer les personnes habilitées à se connecter et à leur affecter leurs droits. Au lieu de recréer des annuaires locaux à chaque application, on s’appuie sur le référentiel des identités, soit en support de la création de comptes internes, soit en y récupérant directement les informations sur les utilisateurs lorsqu’ils se connectent.
L’attribution des droits demande souvent des décisions humaines. Une fois que l’on a défini qui peut accéder à l’application, on peut vérifier toutes les connexions pour ne faire passer que ces personnes (ou systèmes).
Cela commence par la phase d’authentification, qui consiste à déterminer avec assurance de l’identité de l’acteur qui se présente et qui est réalisée par les mécanismes de [gestion des accès]. Cette identité est confrontée à la liste des utilisateurs autorisés et si elle n’en fait pas partie, la connexion est rejetée. L’application tient alors compte de l’identité de l’utilisateur pour éventuellement lui limiter le périmètre des données sur lesquelles il peut agir, ainsi que l’étendue des opérations possibles.
Tous ces événements sont tracés afin de pouvoir faire des vérifications ultérieures ou pour remonter à l’origine des compromissions.
CHOISIR LA BONNE MANIÈRE DE CONTRÔLER LES ACCÈS
Les étapes du contrôle des accès peuvent prendre différentes formes. La connaissance des utilisateurs autorisés peut se faire à l’avance par création de comptes locaux en anticipation, par création des comptes à la volée (Just-In-Time), par le support d’un annuaire de comptes, par transmission d’un jeton sécurisé, etc.
L’authentification offre aussi des possibilités multiples et son traitement fonctionnel est primordial car il détermine l’acceptation des mesures de protection.
Aduneo tient compte de vos besoins, des contraintes techniques, du contexte fonctionnel pour définir le meilleur moyen de réaliser le contrôle des accès et pour le mettre en oeuvre.
