La gestion des identités est un problème que doivent affronter les responsables de sécurité des systèmes d’information. Avec le développement du numérique, les identités nécessitent la mise en place de procédure de gestion pour préserver la sécurité. Six sources de problèmes liés à des identités sont souvent rencontrées dans les organisations.
Des employés au même nom
Dans une organisation, les adresses e-mail sont généralement composées du prénom et du nom, dans un sens comme dans l’autre. Plusieurs comptes peuvent avoir le même nom. L’ajout d’un chiffre ou d’une lettre permet de les différencier. L’identification d’un destinataire d’un courrier devient alors plus compliquée pour l’expéditeur. Aussi, est-il conseillé de créer une nomenclature de création de comptes au sein d’une même entreprise pour éviter les conflits. Celle-ci permettra de bien identifier les destinataires et de ne pas s’exposer à des problèmes de respect de confidentialité.
La mobilité des employés
La mobilité des employés dans les services d’une entreprise peut entraîner des problèmes de classification d’identité. Des catégories d’employé peuvent en effet changer fréquemment de service. La question des permissions, des privilèges et des rôles qui changent à chaque nouvelle affectation, se pose. Cette situation peut aboutir à l’attribution de droits d’accès excessifs à une personne.
Les privilèges excessifs
Un compte administrateur qui possède des droits excessifs n’est pas la meilleure solution. Pour permettre un reporting des personnes qui ont un ou plusieurs accès, un administrateur doit être systématiquement membre d’un groupe de compte admin. La possession de droits excessifs est un problème courant dans les organisations. Le partage des comptes doit être associé à des identités.
Fusions et acquisitions
Les fusions et acquisitions présentent aussi couramment des problèmes de sécurité des identités. Plusieurs comptes qui coexistent et des noms de domaines non conformes sont des problèmes liés à l’identité, lors des opérations de fusions-acquisitions. La standardisation des procédures de fonctionnement, l’établissement d’un état de référence de l’IT sont inévitables pour que les initiatives ultérieures de gestion des identités n’en souffrent pas.
Quid des Identités non humaines
La multiplication des identités machines est une conséquence de l’évolution du numérique. La gestion de ces identités non humaines peut poser de sérieux problèmes. Les identités machines doivent donc être classées selon leur fonctionnement. La meilleure solution est de classer correctement leurs identités comme celles réservées à la robotique, à l’automatisation, etc. Les identités machines doivent avoir une attribution de propriété, comme dans le cas des relations entre compte et identité.
Identités de tiers
Il est courant pour les entreprises de faire appel à des prestataires extérieurs dans la poursuite de leurs activités. Pour gérer les identités de ces prestataires, il est important d’imposer des contrôles spécifiques lorsqu’ils doivent accéder à l’environnement de l’entreprise. La meilleure option est d’attribuer des noms de comptes valides pour la durée de leur mission aux personnes tierces. Il faut aussi gérer le cycle de vie des identités depuis leurs attributions en passant par les mutations internes, jusqu’à la fin de la mission du tiers.