GIA
La gestion des identités. GIA. IAM. IDM. Un petit festival d’acronyme qui désigne l’épineuse gestion des identités. L’identité, l’un des piliers importants de la sécurité, puisque toutes les décisions prises par les systèmes dépendent de l’identité qui est présentée. Malgré son importance, c'est le plus mal aimé de domaines de sécurité, peut-être parce que ça ne semble pas un domaine aussi sexy que les intrusions.
Pourtant, la question posée par la gestion d’identités (qui nous sommes) est fondamentale dans la plupart des systèmes qui sont utilisés. Il est important de s’identifier à notre institution financière avant d’accéder au contenu de notre compte. Cette identification se fait par un processus d’authentification (mot de passe par exemple), qui sert à déterminer que la personne est bien celle qu’elle prétend être. Dans le cas classique avec mot de passe, c'est un secret partagé entre l’utilisateur et le système. Ce secret est la base de la vérification de l’identité, soit l’authentification (il existe trois facteurs, ce que l’on sait, ce que l’on possède, ce que l’on est).
Sous l’angle des mots de passe, j’ai commencé à aborder le sujet. C’est d’ailleurs le volet le plus apparent de la gestion des identités auquel les utilisateurs sont confrontés et haïssent le plus. C’est souvent là que les organisations vont arrêter leur effort en gestion des identités et des accès.
Je vais poursuivre ma série sur les mots de passe (Fraude, maudite fraude! à remis le sujet en avant plan), cette fois avec un regard plus grand que seulement les mots de passe. Ceux-ci s’inscrivent dans une démarche plus grande de gestion des identités et des accès.
La GIA est cruciale pour les organisations, puisque comment peut-on prétendre contrôler les systèmes, quand on n’a aucun contrôle sur les personnes et systèmes qui les utilisent?