L’Identity and Access Management ou IAM est un support numérique qui gère les flux d’information dans une entreprise, en mettant au clair quelle personne pourra accéder à quelle ressource. Il procède par étapes : recueil de renseignements sur les personnes, création des comptes d’utilisateur, définition des profils métiers. Les normes ISO explicitent la procédure.
Principe général de l’Identity Management
L’IAM : Identity and access Management selon www.tools4ever.fr/ désigne un projet informatique par le biais duquel une compagnie met au clair les procédures qui définissent les identités d’une personne ayant un accès légitime à des applications ou à des ressources documentaires de l’établissement. Le droit de lire, d’analyser ou de s’approprier d’une information n’est attribué qu’à certaines entités ; dans le même ordre d’idées, une entité ne peut accéder qu’à une quantité restreinte de renseignements. L’IAM s’attache à mettre en œuvre les conditions d’accès pour fournir les données uniquement nécessaires à chaque compte d’utilisateur.
Gestion d’un compte d’utilisateur
L’identité décrit les caractéristiques propres d’un individu qui permettent de le distinguer d’une manière absolue et sans équivoque. Le processus d’identification fait intervenir plusieurs informations :
- des identifiants: conçus pour différencier une identité par rapport à une autre
- des attributs: l’attribut spécifie la valeur d’une identité dans une unité d’information donnée.
- un identifiant unique personnel (IUP): sert à distinguer une entité. Toutes les identités d’une même entité auront le même IUP.
- un identifiant de référence : une valeur immuable pour tout le temps où l’entité travaille dans la société.
La tenue d’un annuaire d’identités est de rigueur, en vue de mettre en place une gestion performante des comptes d’utilisateurs. On constate l’utilisation dominante du référentiel LDAP, dans le dressage des nomenclatures d’identités.
Identity Management, encadré par les normes ISO :
Se conformer aux préceptes de l’ISO aidera la firme à diriger les flux de données en direction des seuls acteurs qui en ont besoin et protègera des fuites d’information.
- la norme ISO-24760 : définit les concepts et les vocabulaires spécifiques aux identités, explicite la marche à suivre pour implémenter une politique de gestion des accès et des identités au sein d’une entreprise
- la norme ISO-2700x : renvoie à une famille de normes qui abordent le système de management de sécurité de l’information SMSI).
- ISO/IEC 27001:2005 : édicte les exigences pour la mise sur pied d’un SMSI
- ISO/IEC 27002:2005 : énonce les bonnes pratiques sur l’archivage des informations.
- ISO/IEC 27004:2009: traite des outils d’évaluation pour mesurer le niveau d’efficience d’un SMSI.