Expliquer l’audit dans l’identité

  • 3 minutes

Il est nécessaire de comprendre la valeur et l’objectif des audits dans votre solution d’identité. L'audit permet à un administrateur de détecter une attaque que s'est déjà produite ou qui est en cours. En outre, l’audit est un outil pour la conformité et le suivi de ce qu’a fait chaque identité. En outre, l'audit permet de déboguer des problèmes relatifs à la sécurité. Par exemple, si une erreur dans la configuration de la stratégie d'autorisation ou de vérification refuse accidentellement l'accès à un utilisateur autorisé, un développeur peut la détecter rapidement et en isoler la cause en examinant le journal des événements.

Chaque activité, de la connexion à un changement de mot de passe en passant par la configuration et l’utilisation de l’authentification multifacteur, peut être journalisée, signalée et supervisée. Ces journaux donnent à l’administrateur d’identité une ressource pour examiner la façon dont la solution d’identité et d’accès s’exécute. Des pratiques d’audit saines permettent de sécuriser vos identités, et donc vos données et solutions. Parmi les différents journaux à connaître pour réaliser un audit figurent les journaux d’activité Microsoft Entra, les journaux de connexion, les journaux de provisionnement et les journaux d’audit. Vous pouvez utiliser plusieurs outils, d’Azure Monitor à Microsoft Sentinel, pour la création de rapports et la supervision.

Comprendre le concept de gouvernance

Le dictionnaire Merriam-Webster indique que la gouvernance est l’acte ou le processus de superviser le contrôle et la direction d’un système. Ce système peut être un gouvernement, un budget ou une solution d’identité sur Azure. La gouvernance dispose de processus et de contrôles pour exploiter les systèmes et évaluer leur exécution responsable. Le simple fait de créer une solution n’est jamais suffisant. Vous devez superviser son exécution, mettre à jour régulièrement les processus, supprimer ou remplacer les fonctionnalités obsolètes, et ainsi de suite. Si vous ne le faites pas, le système finit par se dégrader et échouer. La gouvernance est identique avec une solution de gestion des identités que vous créez sur Azure. Vous devez superviser, évaluer et mettre à jour le système au fil du temps.

Scénario Une histoire simple mais probable
Juan, développeur d’applications Vous avez un utilisateur nommé Juan. Juan se voit attribuer un compte dans votre entreprise et travaille pendant plusieurs années. Au fil de ce temps, l’utilisateur bénéficie d’un accès administrateur pour déployer une application que Juan a aidé à créer. Plus tard, Juan quitte la compagnie en laissant de bonnes impressions ; toutefois, le compte d’utilisateur n’est jamais supprimé du système. Le responsable de Juan a oublié de soumettre les documents pour fermer le compte. Il n’existe aucun système de gouvernance pour remarquer que le compte n’est pas utilisé et que Juan n’est plus listé dans les systèmes RH. Un an plus tard, Juan est victime d’un e-mail de hameçonnage et ses nom d’utilisateur et mot de passe personnels sont volés. Comme beaucoup de gens, Juan a utilisé un mot de passe similaire pour les comptes personnel et professionnel. Vous avez ainsi un scénario dans lequel vos systèmes peuvent être victimes d’une intrusion par le biais de ce qui semble être un compte valide.

Pourquoi la gouvernance ? Dans ce scénario, la gouvernance peut aider dans de nombreux domaines différents :

  • Vérifier régulièrement avec la direction des ressources humaines si tous les comptes existent toujours dans la base de données RH en tant qu’employés.
  • Vérifier quand un compte a été connecté pour la dernière fois.
  • Vérifier si le compte a besoin de tous les droits dont il dispose.
  • Vérifier que les mots de passe sont régulièrement changés ou, mieux encore, que vos employés utilisent l’authentification multifacteur.
  • Et bien d’autres façons.

Comprendre le concept de gestion du cycle de vie des identités

La gestion du cycle de vie des identités constitue le fondement d’Identity Governance. Une gouvernance efficace à grande échelle implique la modernisation de l’infrastructure de gestion du cycle de vie des identités pour les applications. La gestion du cycle de vie des identités vise à automatiser et à gérer l’intégralité du processus de cycle de vie des identités numériques.

La gestion des identités numériques est une tâche complexe. Vous devez mettre en corrélation des objets réels, tels qu’une personne et sa relation, avec une organisation. Considérez l’utilisateur comme un employé de l’organisation, avec une représentation numérique. Dans les petites organisations, la représentation numérique des individus qui nécessitent une identité peut être un processus manuel. Quand quelqu’un est embauché ou qu’un partenariat est conclu avec un prestataire, un spécialiste informatique peut créer un compte pour eux dans un annuaire. Ensuite, ils se voient affecter l’accès dont ils ont besoin. Toutefois, dans les organisations de taille moyenne et grande, l’automatisation peut permettre à l’organisation de se mettre à l’échelle. L’automatisation permet au service informatique d’assurer la précision des identités.

La procédure classique d’établissement de la gestion du cycle de vie des identités dans une organisation est la suivante :

  1. Existe-il déjà des systèmes d’enregistrement (sources de données que l’organisation considère comme faisant autorité) ? Par exemple, l’organisation peut disposer d’un système de RH. Le système fait autorité pour fournir la liste actuelle des employés et certaines de leurs propriétés telles que le nom ou le service de l’employé.
  2. Comparez le système d’enregistrement à un ou plusieurs annuaires et bases de données utilisés par les applications, puis résolvez les incohérences entre les annuaires et les systèmes d’enregistrement.
  3. Identifiez les processus qui peuvent être utilisés pour fournir des informations faisant autorité pour les visiteurs. Il est crucial de trouver une autre façon de déterminer quand l’identité numérique d’un visiteur n’est plus nécessaire.

Stratégie pour la gestion du cycle de vie des identités

Vous devez planifier la gestion du cycle de vie des identités pour les employés ou d’autres personnes ayant une relation organisationnelle. Avec chaque prestataire ou étudiant, de nombreuses organisations modélisent le processus « rejoindre, bouger et quitter ». Les définitions de « rejoindre », « bouger » et « quitter » sont les suivantes :

  • Rejoindre : quand une personne a besoin d’un accès, une identité est requise par ces applications et une identité numérique doit peut-être être créée si aucune n’est déjà disponible.
  • Bouger : quand une personne se déplace entre des limites, il est nécessaire d’ajouter une autorisation d’accès à son identité numérique ou d’en en supprimer une.
  • Quitter : quand une personne n’a plus besoin d’un accès, il est possible que celui-ci doive être supprimé et l’identité n’est plus requise par les applications, si ce n’est à des fins d’audit ou d’investigation.

Par exemple, si un nouvel employé qui n’a jamais été affilié à votre organisation auparavant la rejoint, il aura besoin d’une nouvelle identité numérique, représentée sous la forme d’un compte d’utilisateur dans Microsoft Entra ID. La création de ce compte relève d’un processus « Rejoindre », qui pourrait être automatisé. Par la suite, si un employé de votre organisation passe par exemple du service Ventes à Marketing, cette opération relève d’un processus « Bouger ». Un processus « Bouger » nécessite la suppression des droits d’accès que l’utilisateur avait dans l’organisation Ventes, dont il n’a plus besoin. Puis l’octroi de droits dans l’organisation Marketing dont il a maintenant besoin.

Outils de supervision

Ayez toujours à l’esprit la Confiance Zéro : Vérifier explicitement - Utiliser l’accès le moins privilégié - Supposer une violation

Supervision des services :

  • Azure Monitor
  • Application Insights
  • Azure Service Health
  • Azure Resource Health
  • Azure Resource Manager
  • Azure Policy