Authentification, Habilitations, Accès :
l'état de l’art

Technologies, architectures, méthodes, outils, bonnes pratiques
Sommaire

LE MOT DE L’INTERVENANT

La confiance dans un système d’information passe par celle que...

La confiance dans un système d’information passe par celle que l’on peut avoir dans son architecture de sécurité. Parmi les problématiques qui la concernent, figurent la gestion des identités, des habilitations et des accès. Le désormais célèbre AHA. Nous sommes ici à la fois dans un monde d’usagers, mais aussi très SI et technique, qui fait appel aux concepts de cryptogra-phie, d’annuaires LDAP, d’assertions SAML, de SSO, etc. Sans doute l’un des plus difficiles à pénétrer aujourd’hui. Nous allons nous employer à en briser les barrières.

Claude Marson
Claude Marson a fondé CMC, société spécialisée dans les architectures informatiques modernes et MECI à Montréal, dédiée au consulting auprès des grands comptes. Il est à l’origine du site et du livre « Le Marson », premier réseau social dédié aux tendances technologiques informatiques.
Lire la suite Cacher le texte

Ce séminaire, très pratique et illustré de nombreux exemples et cas concrets, s’appuie sur une expérience et un savoir-faire acquis sur des projets de tailles variées au sein d’établissements publics et privés et d’entreprises de différents secteurs. Un regard critique étayé par l’expérience acquise, permet de mesurer les apports des différents outils, techniques, standards et approches, aujourd’hui préconisés en matière de gestion des identités et habilitations.

Une analyse pragmatique de l’évolution des besoins à court et moyen terme est proposée pour anticiper sur les futures transformations et architectures à mettre en œuvre.

Sur deux journées, un état de l’art complet des meilleures pratiques en matière de gestion des identités et d’accès au SI, sous tous leurs aspects : architectures, sécurité, interfaces applicatives et administration :

  • Les tendances en matière d’identités.
  • L’importance des annuaires et du standard LDAP.
  • L’obligation sécuritaire de consolidation autour d’un point central de contrôle : SSO.
  • La mise en œuvre concrète d’un annuaire LDAP.
  • La gestion des accès liée aux identités.
  • La fédération des annuaires et le rôle de SAML.
  • La gestion des identités et le Cloud.
  • Les intégrés de la gestion d’identités.
  • Les nouveaux protocoles OAuth et OpenID Connect.
  • L’authentification forte et l’apport de la biométrie.


Insertion de la gestion des identités et des accès dans le SI


Les problèmes à résoudre

  • Les processus de création des identités en entreprises.
  • Multiplicité des annuaires incompatibles, gérés indépendamment : mises à jour et saisies multiples, pertes de temps.
  • Identités et failles de sécurité.
  • Protection des ressources.

Les bases de la gestion des identités

  • La notion d’identité.
  • Les différents types de comptes : rôles et profils.
  • Les habilitations liées à une identité.
  • Les jetons.
  • Le processus d’authentification.
  • Le couple identifiant/mot de passe.
  • La cryptographie.

- Algorithme de chiffrement.

- Chiffrement, déchiffrement, décryptage.

- Chiffrement symétrique, asymétrique et mixte.

- Hashage et signature électronique.

  • PKI : architecture à clé publique, certificats.

Les justifications d’un projet de gestion des identités

  • Justification financière.
  • Justification sécuritaire.
  • Justification d’efficacité opérationnelle.

De l’habilitation à la gestion des identités


Les habilitations en général

  • L’insertion de l’authentification dans une politique globale de sécurité.
  • Les problèmes nouveaux : les smartphones et tablettes, le mode déconnecté pour les mobiles avec bases de données intégrées.
  • La mode du BYOD et ses conséquences.
  • La restriction des périmètres fonctionnels.
  • La mode du BYOID : « Apportez votre identité ».

La gestion des identités

  • Ce que recouvre la gestion des identités.
  • Les obligations légales : audit, traçabilité, etc.
  • Les principales phases de mise en œuvre d’une infrastructure de gestion des identités.
  • Les fonctions de la gestion des identités.

- Gestion des personnes et de leurs rattachements.

- Gestion des applications et de leurs rattachements.

- Provisionnement des habilitations : création, modification, suppression, processus automatiques, rapports de fonctionnement, etc.

  • Les mots de passe et leur sémantique. Faut-il continuer à leur faire confiance. Disparition à terme.
  • Les politiques de gestion du couple identifiant/mot de passe : renouvellement, moyens mnémotechniques.
  • Les facteurs clés de réussite d’un projet de gestion des identités•
  • Les habilitations et identités appartiennent au domaine des données patrimoniales (MDM : Master Data Management).

Sécurité et identités

  • Les faiblesses liées à la gestion des identités et des habilitations.
  • Les principales failles et comment s’en protéger.
  • Les techniques utilisées par les hackers.
  • Les outils à mettre en œuvre et les coûts induits.
  • Les bonnes pratiques.

La gestion des accès issue de la gestion des identités

  • L’attribution des habilitations et privilèges d’accès aux ressources.
  • Les modèles de contrôle d’accès : centralisé SSO, fédération, distribution.
  • Les bonnes pratiques.

Mise en œuvre des annuaires et des méta-annuaires


Les annuaires

  • Le langage LDAP.
  • L’architecture LDAP.
  • Conception d’un annuaire LDAP.

- Construction de l’arborescence : entités, attributs.

- Les bonnes pratiques.

  • Les éléments présents dans un annuaire : identifiants, mots de passe, certificats, clés publiques, jetons, etc.
  • Les frameworks d’accès à un annuaire LDAP.
  • Dispositions de sécurité liées aux annuaires : chiffrement, réplication.
  • Le format d’échange LDIF entre annuaires.
  • Exemple concret d’un annuaire LDAP.
  • Les solutions LDAP : Active Directory de Microsoft, IBM, OpenLDAP, etc.

SSO et les méta-annuaires

  • Les fondements des méta-annuaires : définition et contextes de mise en œuvre.
  • Les architectures : connexion directe ou non (annuaires virtuels) sur les habilitations individuelles et sur les annuaires déjà présents.
  • Les responsabilités des habilitations fédérées par un méta-annuaire.
  • Les solutions clés en mains : Microsoft, IBM, VMWare, etc.
  • Les Web SSO : OAuth, OpenID Connect

La fédération des identités


La fédération des identités

  • Ce que recouvre le concept de fédération.
  • La notion de domaine de sécurité.
  • Comment mettre en œuvre un système d’habilitations fédérées dans un domaine de sécurité.
  • Architectures et pratiques les plus courantes.
  • L’apport du standard SAML : lien statique hors ligne, pseudonymes persistants ou éphémères, par attributs.
  • Les autres standards et leurs liens avec SAML : Shibboleth (Open Source), WS-* (WS-Security, WS-SecurityPolicy, WS-Trust), etc., et leur compatibilité (transversalité).
  • L’exemple concret de Kerberos.
  • Les solutions du marché et les coûts de mise en œuvre.

Le standard SAML

  • Les fondements de Liberty Alliance.
  • Les différentes versions de SAML.
  • Les constituants de SAML : assertions, bindings, profils, métadonnées.
  • L’utilisation de SAML pour la mise en œuvre d’un SSO.
  • Exemple concret.

Les évolutions incontournables


La sécurité du Cloud

  • La gestion des identités dans le Cloud, peut-on lui faire confiance ?
  • Respect des contraintes propres aux entreprises.
  • Intégration d’une gestion des identités spécifique d’entreprise avec celle d’un Cloud : exemples concrets.
  • L’intégration d’Active Directory dans le Cloud.
  • Problèmes de sécurité et de réversibilité.

L’authentification forte

  • Les exigences de mise en œuvre d’une solution d’authentification forte : BYOD, mobiles.
  • Ce que recouvre le concept.
  • Les techniques utilisées : accès à un mobile, accès à une application depuis un mobile, certificats, cartes à puces, etc.
  • L’apport de la biométrie : empreintes digitales, visage, iris, rétine, etc.
  • Les systèmes d’authentification à une, deux ou trois passes : OTP (One Time Password).
  • Rôle du MDM : Mobile Device Management, pour les mobiles.
  • Les frameworks disponibles pour les applications.
  • Les solutions du marché et les coûts d’intégration.
  • Les compétences requises pour un projet d’authentification forte.
  • Les bonnes pratiques.

Le futur de la gestion des identités et des contrôles d’accès

  • La centralisation autour d’un "point de vérité" unique.
  • L’interopérabilité des annuaires fondés sur des standards de transfert et d’interconnexion (Cloud).
  • Renforcement des moyens de protection contre les attaques.
  • Prosélytisme auprès des utilisateurs.
  • Prise en charge des projets par la maîtrise d’ouvrage.

La nécessité des audits

  • Analyse du cycle de vie des identités.
  • Détection des comptes dormants, des doublons, des comptes incohérents, etc.
  • Interactions douteuses ou mal protégées avec les applications.
  • Analyse de la structure des annuaires.
  • Point de vue sur la politique de sécurité et sur la perception qu’en ont les utilisateurs.