Parcours

AHA

La gestion des identités et l’AHA (Autorisations, Habilitations Accès) sont au cœur des problématiques de sécurité des entreprises. En suivant ce parcours, vous en aborderez tous les domaines, depuis la conception des annuaires LDAP et la cryptographie, jusqu’à la fédération d’identités, en passant par les SSO, WebSSO et le traitement spécifique des mots de passe. Le sujet est à la fois très technique : SAML, Kerberos et fonctionnel, car il comporte une part importante d’organisation, que l’on confiera plus aux utilisateurs qu’au TI. Signe des temps, c’est surtout dans le monde des mobiles que le paysage change le plus, avec des spécificités particulières d’authentification forte et à court terme, disparition des mots de passe.vingt-six capsules, qui nous vous le rappelons est mis à jour régulièrement pour tenir compte des évolutions du marché.
Claude Marson
Formateur
Claude Marson
Claude Marson a fondé CMC , société d’assistance technique spécialisée dans les architectures informatiques modernes et MECI à Montréal, dédiée au consulting auprès des grands comptes. C’est dans ce cadre qu’est lancé LeMarson, réseau francophone dédié aux tendances technologiques informatiques. Associé et cofondateur de Synthèse Informatique, cabinet français spécialisé dans les tendances et stratégies en matière de technologies de l’information.

Directeur informatique, puis responsable du groupe d’experts informatiques du groupe pétrolier Elf Aquitaine, il a assumé différentes responsabilités. Il a créé et dirigé Production Communication Numérique (PCN), compagnie spécialisée dans la conception, la réalisation et l’hébergement de portails Internet transactionnels à forte valeur ajoutée, banques virtuelles, sites d’enchères financières et de gestion de patrimoines, places de marché et sites de commerce électronique. Egalement collaborateur permanent et membre du comité de rédaction de plusieurs magazines techniques spécialisés, il a écrit plus de 3 000 articles, quatre ouvrages consacrés aux réseaux et désormais chaque année, le livre LeMarson qui fait le point des tendances technologiques.
23 Capsules - Durée totale 07:37:24

Bienvenue dans le monde de la gestion d'identité

Gratuit

La gestion d’identité est un mal nécessaire. Avec une criminalité qui explose et des protocoles issus d’Internet qui ont « oublié » les fondamentaux de la sécurité, il est indispensable de traiter correctement les aspects AHA que sont l’Authentification, les Habilitations et les Accès au système d’information. Tout le monde est concerné, les développeurs, les responsables d’infrastructures et les utilisateurs, qui ne devraient pas oublier…que l’on travaille pour eux.

  • Durée 17:24

Pourquoi la gestion des identités est-elle nécessaire ?

Le responsable TI et son spécialiste sécurité sont au cœur de la problématique d’identité. D’abord parce qu’il y a pléthore d’annuaires dans l’entreprise qui ne se « comprennent » pas, qu’il leur faut tenir compte des nouvelles méthodes de travail, tout en se protégeant des failles les plus criantes du système d’information. Il leur faut s’aligner sur des pratiques curieuses, telles le BYOD, imaginées par des gens qui n’ont qu’une vague idée de ce qu’est la sécurité et sur de nouvelles contraintes règlementaires telles le RGPD, la règlementation européenne. C’est tout sauf un long fleuve tranquille.

  • Durée 23:21

La situation de la gestion d'identité

Commençons par fixer le décor. Où en est la gestion d’identités aujourd’hui et quelles sont les domaines où elle devrait évoluer de manière durable. On évoquera la fin des mots de passe, définitivement rangés au rayon des contraintes, bien qu’ils soient là pour nous protéger. On notera la montée en puissance de l’authentification forte et des techniques de biométrie, dans un contexte de SSQO et WebSSO, censé alléger les procédures d’identification. Sans oublier l’incontournable Intelligence Artificielle et Machine Learning dont on attend là aussi, monts et merveilles.

  • Durée 11:40

Les concepts de base

La gestion d’identités est un monde où les mots ont des sens parfois contradictoires. D’où la nécessité de définir ce qu’est une entité, un rôle, un profil, etc, et de lever toute ambigüité quant à ces définitions. Nous en profiterons pour préciser le périmètre exact que recouvrent les trois piliers de l’AHA, Authentification et Habilitations, essentiellement.

  • Durée 19:23

Le projet identité

Pour être efficace, la gestion d’identités doit être traitée avec un maximum de rigueur, dans le cadre d’un projet, dont il est souhaitable, qu’il soit mené par un utilisateur. Nous vous en proposons ici une organisation, l’important n’étant pas technique, mais sur l’idée que le responsable de l’équipe ait l’ « oreille » de la direction générale. Autrement dit, que celle-ci ne passe pas son temps à lui demander des comptes. La gestion d’identités est un projet pérenne dans le temps, fondée sur une équipe permanente. Elle est tout sauf un « one shot », mais tout le monde n’est pas d’accord avec cette idée…

  • Durée 16:15

L'architecture AHA

C’est le cœur du projet. Comment construit-on une architecture AHA ? Quels sont ses constituants et comment les mettre en place ? L’AHA est un projet aux multiples facettes, qui déborde largement les frontières de l’entreprise, avec une part de plus en plus grande prise par les techniques de fédération d’identités. Tant il est vrai qu’il n’est plus possible de travailler en « autarcie » et qu’il nous faut collaborer, coopérer, communiquer avec des partenaires externes. Sans pour autant complexifier l’infrastructure de gestion d’identités. Un art difficile…

  • Durée 15:19

Les technologies à connaître

Plusieurs technologies vont nous accompagner tout au long de ce parcours : XML, le format JSO JavaScript et le protocole REST de sollicitation. XML est indispensable si l’on veut bien comprendre les mécanismes propres à la fédération SAML et JSON est, de plus en plus, le format d’échange préféré par les fournisseurs et développeurs. Il faut impérativement comprendre à quoi on a affaire, ne serait-ce que pour tirer le meilleur parti des solutions du marché, qui ont fait ce choix depuis longtemps.

  • Durée 14:56

Les fondements cryptographiques

La gestion d’identités fait un usage systématique des technologies cryptographiques. D’où, là encore, la nécessité de faire un effort de compréhension. Sans entrer dans les détails algorithmiques des techniques de cryptographie, mais en précisant ce qu’elles recouvrent et à quoi elles servent. On évoquera donc les techniques de chiffrement, symétriques, asymétriques et mixtes, qui permettent de distinguer SMAL de Kerberos, le principe des hash (empreintes) et donc de signature électronique et bien entendu, les certificats PKI. Il n’y a rien de compliqué dans cette approche et les mots, très abscons il est vrai, recouvrent une réalité beaucoup plus simple et pragmatique.

  • Durée 28:35

Les annuaires LDAP

Le standard LDAP des annuaires est au centre de toutes les architectures d’identités. Contrairement à ce que sous-entendent certaines idées reçues, ce n’est pas une base de données, mais la représentation d’une infrastructure d’entreprise, constituée d’hommes, de femmes et de ressources machines, qu’il convient de regrouper, pour en modéliser les accès. Nous passons ici en revue les différents aspects de ces annuaires LDAP, l’arbre DIT, les notions d’objets et d’attributs et bien entendu le langage, car LDAP c’est avant tout un langage de description. Le sous-projet LDAP, comme son contenant, doit lui-aussi être confié à un utilisateur, à qui on demandera seulement de bien connaître son entreprise.

  • Durée 31:53

Vers un système sans mots de passe

Depuis toujours, les systèmes d’authentification sont basés sur la connaissance d’un ou plusieurs mots de passe. Cette pratique va disparaître à terme, car le concept a été dévoyé, insuffisamment expliqué aux utilisateurs qui se sont empressé de le « bypasser ». D’où des mots de passe en « postit » sur les écrans, des mots de passe durcis inutiles et des techniques de renouvellement qui conduisent invariablement à réutiliser les mêmes racines. En attendant cette disparition annoncée, il nous faut quand même tenir compte des besoins présents. Et sans trop se faire d’illusions, nous vous suggérons quelques bonnes pratiques qui peut-être pourront vous aideront à limiter les dégâts.

  • Durée 19:17

La gestion des identités

Au-delà de la justification d’un projet d’identités, un projet AHA met en scène différents acteurs que l’on retrouvera toujours : le client, le fournisseur de services et le fournisseur d’identités, l’IdP, personnage clé de la technologie. Faisons connaissance avec eux, car ils vont jouer un rôle essentiel dans les mécanismes SSO et de fédération d’identités.

  • Durée 15:32

SSO : architectures et projet

Le SSO (Single Sign On) est une architecture qui évite aux usagers d’avoir à se souvenir d’une multitude de mots de passe, qu’ils s’empressent d’écrire dans leurs agendas ou de se les envoyer sur leur propre messagerie, pour en garder la trace… La grande majorité des entreprises, qui ont compris les avantages qu’ils peuvent attendre de sa mise en œuvre, se sont lancés dans un projet de ce type, de plus en plus en mode décentralisé, de manière à laisser les décisions de gestion des authentifications au plus près de ceux qui en ont la charge métier. Nous en profitons pour suggérer quelques recommandations qui seront tout sauf inutiles…

  • Durée 35:42

Le SSO dans le cloud

Comme la plupart des fonctions vitales des entreprises, celles dont elles ne peuvent se passer, sosu peine de ne plus pouvoir exercer leur métier, le SSO pose le problème de l’hébergement des ressources. Constat : même si les annuaires comportent des données sensibles, la majorité des entreprises ont entrepris leur migration vers le Cloud. Il y a un risque évident à tout confier à un prestataire, mais nous disposons heureusement de techniques, de partitionnement des bases de données, par exemple, qui nous permettent de limiter les inconvénients et de conserver « sous bonne garde » en local, les données dont on veut conserver la maîtrise.

  • Durée 23:24

WEBSSO

Dans la mesure où toutes les applications se « webisent », le traitement des authentifications à partir d’un navigateur Internet, le WebSSO, prend une importance cruciale. Et le moins que l’on puisse dire est que ça bouge. La technologie des tokens JWT se répand, qui bientôt constituera le fondement de toutes les solutions commerciales, pendant qu’OAuth pour l’accès aux données patrimoniales, celles dont nous ne sommes pas propriétaires et OpenID Connect, son complément, prennent de plus en plus d’importance. Désormais, nous ne pouvons plus nous réfugier derrière le manque de standards et d’API. Le paysage s’est considérablement structuré.

  • Durée 28:07

Fédération d'identités, principes

La fédération d’identités est un chapitre important de la panoplie identitaire. Nous nous contentons ici d’en dérouler les principes et surtout de rappeler que la fédération consiste avant tout à regrouper sous une même « bannière » des technologies très différentes, dont il conviendra de gommer les incompatibilités structurelles.

  • Durée 08:29

Les architectures de fédération d'identités

Pleins feux sur deux technologies phares de la gestion d’identités : SAML et Kerberos. Pour un chef de projet, l’important n’est pas de connaître les détails de ces techniques, car il les percevra à travers des API qui lui en cacheront la complexité, mais il aura besoin de savoir ce qu’elles recouvrent et ce qui les différencie : chiffrement symétrique pour Kerberos et asymétrique pour SAML.

  • Durée 34:28

IAM

Plutôt que d’installer séparément les constituants « best of breed » d’une gestion d’identités, de nombreuses entreprises choisissent une solution intégrée, l’IAM. Ce qui n’exclut pas de lui appliquer quelques bonnes pratiques et de mettre en place les indicateurs qui prouveront avec le temps, que leur approche est la bonne et que chez eux, l’identité progresse dans le bon sens. Comme pour le SSO, les IAM ont pris le chemin du Cloud et c’est dans ce contexte qu’il faut trouver les réalisations les plus prometteuses.

  • Durée 30:04

IRM et CIAM

A côté de l’IAM classique d’intégration de la gestion d’identités, deux nouvelles branches sont apparues : l’IRM et le CIAM. La première concerne l’identité des objets et capteurs qui se répandent et dont le nombre pose des problèmes spécifiques. La seconde, CIAM, concerne les clients et non plus les employés et partenaires « métiers », dont on cherche avec le temps à dresser un profil, une sorte d’identité elle-aussi, dont l’objectif est de servir de base à une stratégie commerciale et marketing, mieux adaptées. L’objectif est de mieux vendre et pour cela on a besoin de connaître les clients et d’en dresser une fiche signalétique la plus fidèle possible.

  • Durée 12:50

La biométrie

La biométrie regroupe toutes les techniques qui permettent de reconnaître un individu à partir de ses caractéristiques physiques. En pleine expansion depuis vingt ans, elle vient en complément de technologies plus traditionnelles : passwords, certificats, etc et ne peuvent donc pas être considérés comme un moyen d’authentification primaire. Le moins que l’on puisse dire est que l’imagination est au pouvoir et les fournisseurs se départissent des solutions classiques, empreintes digitales, géométrie du visage ou de la main, etc, pour emprunter des voies très « curieuses » comme la répartition de la chaleur sur le visage, la forme de la langue ou des lèvres, voire du « postérieur », dont on peut imaginer que leur propriétaire n’en change pas tous les mois…

  • Durée 18:14

Authentification forte

Compte tenu de la faiblesse native des systèmes AHA basés sur les identifiants et mots de passe, la plupart des acteurs en contact avec les clients, ont choisi de les durcir avec des mécanismes d’authentification forte, qui intègrent une ou plusieurs autres techniques, dont certaines biométriques. : banques, prestataires de Cloud, tels Dropbox, etc. Bonne nouvelle : les API existent qui nous permettent de les intégrer dans nos applications, sans avoir à réinventer l’eau chaude.

  • Durée 11:11

Authentification des mobiles

Les mobiles, considérés à tort comme des objets de consommation courante, posent des problèmes redoutables de sécurité et sont à l’origine de nombreuses déconvenues dans les entreprises. Il n’est donc pas étonnant de constater que c’est dans ce domaine que les évolutions sont les plus marquantes, avec des techniques biométriques très efficaces, comme la reconnaissance de l’iris de l’œil et surtout les premières tentatives pour s’abstraire définitivement des mots de passe. Nous insistons particulièrement sur les méthodes FIDO et leur version WebAuthn pour les navigateurs, qui nous semblent être porteuses d’avenir.

  • Durée 19:34

Les apports de la blockchain

Sans vouloir mettre la Blockchain à « toutes les sauces », il faut admettre que la notion d’identité peut être considérée comme un actif, dont on voudra interdire la mise à jour incontrôlée. Il s’agira pour nous d’une sorte de « compte d’entreprise », que l’on pourra traiter avec des algorithmes de Blockchain, comme n’importe quelle monnaie cryptographique. C’est ce que pensent de nombreuses startups et universités qui se sont lancées dans des projets très concrets et pensent que la Blockchain trouvera dans ce contexte des applications très intéressantes. Il faudra simplement s’armer de patience et ne pas considérer que par la seule magie du mot, tous les problèmes vont se régler.

  • Durée 07:56

Futur et conclusion

Pour clore notre parcours, il était logique de nous interroger sur les évolutions envisageables de la notion d’identité. L’identité numérique, sournoise et incontrôlée, celle que patiemment les fournisseurs construisent sans nous demander notre avis (CIAM ?), n’est-elle pas en train de supplanter l’identité que nous véhiculons aujourd’hui. De même que le BYOID (Bring Your Own ID), que de plus en plus d’utilisateurs cherchent à nous imposer, sans que nous ayons la main sur la manière dont elle est constituée et gérée. En d’autres termes, n’avons-nous pas déjà une guerre de retard ? Ce qui ne nous empêchera pas, avant de nous quitter, de vous proposer quelques bonnes recommandations de bon sens…dictées par l’expérience.

  • Durée 13:50
Du même formateur
DQM/MDM, les données métiers

DQM/MDM, les données métiers

Dans l'optique du recentrage de l'entreprise autour de ses données, les aspects qualité et traitement des données de référence, deviennent essentiels. Les 22 ca...

22 Capsules

Durée totale 07:23:45

Progression 0%

Formateur Claude Marson
Big Data

Big Data

Le Big Data est avec l'IA et la Blockchain, l'un des trois thèmes majeurs du TI moderne. Le parcours que nous lui consacrons couvre tous ses aspects : motivati...

20 Capsules

Durée totale 06:02:24

Progression 0%

Formateur Claude Marson
Développement d'applications

Développement d'applications

Ce parcours s’adresse à tous les professionnels qui veulent synthétiser l’activité de leur métier, faire le point sur toutes les techniques et bonnes pratiques,...

46 Capsules

Durée totale 10:29:13

Progression 0%

Formateur Claude Marson
La gestion de projet agile

La gestion de projet agile

La gestion de projet, comme l’entreprise, se veut désormais agile. L’ouverture à cette forme de management se heurte cependant aux pesanteurs, habitudes et réti...

28 Capsules

Durée totale 06:40:41

Progression 0%

Formateur Claude Marson
NoSQL

NoSQL

L’écosystème NoSQL regroupe toutes les technologies qui s’appliquent aux nouvelles structures logiques de bases de données, qui ne sont plus accessibles avec le...

12 Capsules

Durée totale 04:04:34

Progression 0%

Formateur Claude Marson
Abonnez-vous
  • Suivez LeMarson en direct
  • Accédez à des centaines de dossiers et d'articles
  • Visionnez des dizaines d'heures de formations vidéos
  • Téléchargez le Livre des tendances de l'année
Annuel

648,00 €