Identity Governance and Administration (IGA) La gestion des identités des utilisateurs et de leurs habilitations. L’IGA concerne la gestion des identités des utilisateurs et de leurs habilitations (leurs droits dans les applications du système d’information), et le fait que ces habilitations soient, à tout moment, déployées dans les applications conformément à la situation business présente. Par exemple, un collaborateur qui a quitté l’entreprise ne devrait plus avoir de droits sur les applications qu’il utilisait. La gouvernance et la gestion des identités est la convergence de deux segments technologiques : la gouvernance des identités et des accès d’une part, la gestion, le “provisioning” des comptes et des “credentials” des utilisateurs dans le système d’information d’autre part. L’IGA comporte les éléments suivants :Identity provisioning : référentiel d’informations relatives à l’identité de personnes ou d’applications et le déploiement des paramétrages associés dans l’infrastructure IT, permettant à ces personnes ou ces applications d’utiliser des ressources IT grâce aux identifiants positionnés.Access Governance : référentiel de droits d’accès (habilitations, “entitlements”) de personnes ou d’applications et le déploiement des paramétrages associés dans l’infrastructure IT, de manière à leur autoriser l’accès à des capacités de ressources IT au regard des droits positionnés. Différentes approches existent (via des groupes, via des rôles – RBAC, via des attributs – ABAC, via des structures – OrBAC, etc.).Entitlement analytics : les outils de découverte, d’analyse, de contrôle et de surveillance des habilitations configurées et effectivement appliquées dans le système d’information, de manière à détecter les écarts par rapport à la politique de sécurité voulue par l’entreprise et par rapport aux obligations réglementaires en vigueur. Il s’agit de répondre aux questions : “Qui a accès à quoi ? Est-ce conforme ? Puis-je le prouver ?”. Cette fonctionnalité permet de faire de l’audit et du contrôle, du “role mining”, de la “segregation of duty”, de la certification de droits, etc.
Blog Gestion des accès fournisseurs : pourquoi faut-il déployer un Vendor Privileged Access Management (VPAM) ?
Blog Comment mettre en œuvre simplement la PGSSI-S pour les responsables de SI et les utilisateurs ? Quel calendrier pour le Référentiel d’identification électronique?