Xavier Lorenzo - stock.adobe.com
L'identité s'impose progressivement comme le plan de contrôle de l'informatique d'entreprise
Les politiques d'identité régissent de plus en plus la manière dont les utilisateurs accèdent aux applications, aux appareils et aux outils de collaboration de l'entreprise, ce qui fait passer le contrôle de l'infrastructure vers les systèmes d'identité.
Les employés des entreprises accèdent désormais couramment aux systèmes de leur entreprise à partir d'appareils et d'applications qui fonctionnent bien au-delà des limites traditionnelles du réseau.
Ils se connectent à partir d'ordinateurs portables personnels, d'appareils mobiles et de services cloud situés au-delà des limites du pare-feu d'entreprise traditionnel. Dans de nombreux environnements, l'infrastructure elle-même ne définit plus les limites des systèmes d'entreprise.
En conséquence, la gouvernance s'oriente vers des systèmes d'identité et des cadres stratégiques qui définissent la manière dont les utilisateurs, les appareils et les applications interagissent avec les ressources de l'entreprise. À mesure que les frontières traditionnelles des réseaux s'estompent, l'identité devient de plus en plus le nouveau périmètre de sécurité des systèmes d'entreprise.
Les politiques d'identité régissent de plus en plus l'accès aux applications
Les entreprises n'ont plus besoin d'exercer un contrôle total sur un terminal pour protéger leurs données sensibles dans les environnements BYOD. Prenons l'exemple de la gestion des applications mobiles Intune sans enregistrement : elle permet aux équipes informatiques de donner accès aux données de l'entreprise, mais uniquement au sein des applications approuvées. Cela crée une sorte de pare-feu entre les applications approuvées et celles qui ne le sont pas, tout en permettant aux utilisateurs de conserver leurs appareils sans autre forme d'administration.
Permettre la coexistence des environnements professionnels et personnels sur un même appareil peut être une solution avantageuse pour tous, car elle renforce la gouvernance et la protection des données tout en laissant aux employés la liberté d'utiliser leurs appareils personnels sans subir de contrôles intrusifs de la part de l'entreprise.
La protection des applications Intune limite l'accès aux ressources de l'entreprise aux seules applications autorisées par la politique informatique. Pour ce faire, elle applique des contrôles basés sur l'identité, liés aux identifiants de chaque utilisateur plutôt qu'à l'appareil lui-même.
Plutôt que de vérifier la conformité des appareils, le service informatique peut exiger que seules les applications soumises aux stratégies de protection d'Intune puissent accéder aux ressources de l'entreprise via l'accès conditionnel. Dans ce modèle, l'appareil passe au second plan par rapport à l'identité et aux stratégies régissant l'accès des applications aux données de l'entreprise.
La gouvernance s'étend aux plateformes de collaboration
Les plateformes de collaboration et de communication deviennent des pivots essentiels du travail, dont le rôle va bien au-delà des simples discussions, messages et appels. Elles constituent de plus en plus le lieu où se déroulent les processus métier et où circulent les données organisationnelles importantes.
Cette réalité implique que les informations transitant par ces plateformes doivent respecter les obligations réglementaires, légales et de sécurité.
Par conséquent, la surveillance à des fins de conformité, de sécurité et d'enquête devient un élément indispensable de ces outils et des workflows qu'ils prennent en charge. Ces considérations de gouvernance font partie intégrante de la réalité de tout système d'entreprise central – ce que sont de plus en plus les plateformes de collaboration.
Alors que Teams occupe désormais une place centrale dans les communications d'entreprise, les organisations doivent trouver un équilibre entre la collaboration et leurs obligations réglementaires, juridiques et de sécurité.
Cette supervision peut également s'appuyer sur des contrôles basés sur les rôles. Les rôles permettent de déterminer à la fois qui peut accéder aux communications et y participer, et qui est habilité à surveiller l'activité ou à faire respecter les politiques de conformité au sein de l'environnement de collaboration.
L'identité est en train de devenir le nouveau périmètre de sécurité
Les stratégies de sécurité d'entreprise reposaient autrefois sur des limites réseau clairement définies. Les entreprises protégeaient leurs systèmes internes à l'aide de pare-feu et partaient du principe que les utilisateurs présents au sein du réseau étaient dignes de confiance.
Ce modèle a pratiquement disparu.
Les employés travaillent désormais à domicile, sur des appareils mobiles et via des services cloud, en dehors des réseaux traditionnels. Ce sont désormais les identifiants et les systèmes d'authentification qui déterminent qui peut accéder aux ressources de l'entreprise.
Les architectures de sécurité modernes, telles que le modèle « zero trust » (ou sans confiance), reposent sur la vérification de l'identité et l'évaluation du contexte pour chaque demande d'accès, plutôt que sur la confiance accordée à l'emplacement réseau de l'utilisateur.
Les systèmes de gestion des effectifs contribuent à définir l'identité de l'entreprise
Les systèmes d'information sur les ressources humaines (SIRH) ne sont pas seulement des référentiels contenant les dossiers des employés utilisés pour l'intégration, la gestion des avantages sociaux, la gestion des talents ou le départ des collaborateurs. En tant que système de référence pour les données relatives aux employés, un SIRH transmet fréquemment ces informations à d'autres systèmes au sein de l'organisation, notamment aux applications utilisées par les services financiers et informatiques.
En ce sens, les systèmes de gestion des effectifs ne se contentent pas de recenser les informations relatives aux employés ; ils contribuent à définir le contexte identitaire dans lequel s'inscrivent les décisions d'accès au sein de l'entreprise. Les dossiers des employés définissent les rôles, les responsabilités et les relations organisationnelles sur lesquels les systèmes d'identité s'appuient pour déterminer à quels systèmes les utilisateurs peuvent accéder et quelles actions ils sont autorisés à effectuer.
Comment les systèmes RH influencent les décisions en matière d'accès au sein de l'entreprise
Dans de nombreuses organisations, les plateformes RH constituent la source de référence en matière d'informations d'identité du personnel. Les dossiers des employés définissent des attributs tels que l'intitulé du poste, le service et la hiérarchie. Les plateformes d'identité utilisent ces informations pour créer des comptes et attribuer des autorisations dans l'ensemble des systèmes de l'entreprise.
Lorsque des employés changent de poste ou quittent l'entreprise, ces dossiers RH peuvent déclencher des mises à jour automatiques des droits d'accès aux applications dans l'ensemble de l'environnement de l'entreprise. Cette approche aide les entreprises à maintenir une gouvernance cohérente sur l'ensemble des plateformes cloud, des outils de collaboration et des applications d'entreprise.
L'identité en tant que couche de contrôle de l'entreprise
Considérées dans leur ensemble, ces évolutions témoignent d'un changement structurel plus profond : la gouvernance d'entreprise n'est plus définie uniquement par les limites de l'infrastructure, les appareils ou les déploiements d'applications. Au contraire, les systèmes d'identité jouent de plus en plus le rôle de couche de politiques qui les relie entre eux.
Les politiques d'identité permettent de déterminer les applications auxquelles les utilisateurs peuvent accéder, les appareils autorisés à se connecter, les modalités de gestion des environnements de collaboration et la manière dont les décisions d'accès sont répercutées dans l'ensemble des systèmes de l'entreprise.
À mesure que les environnements technologiques des entreprises continuent de s'étendre aux services cloud, aux appareils personnels et aux outils basés sur l'IA, l'identité s'impose progressivement comme le plan de contrôle opérationnel de l'informatique d'entreprise.
James Alan Miller est un rédacteur et journaliste chevronné spécialisé dans les technologies, qui dirige le groupe « Logiciels d'entreprise » chez Informa TechTarget. Il supervise la couverture des thèmes suivants : ERP et chaîne logistique, logiciels RH, expérience client, communications et collaboration, ainsi que l'informatique pour les utilisateurs finaux.
Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)
-
![]()
Qu'est-ce que la gestion unifiée des terminaux (UEM) ? Guide complet
Par: Brien Posey
-
![]()
Qu'est-ce que l'authentification multifactorielle (MFA) ?
Par: Mary Shacklett
-
![]()
Qu'est-ce que la gestion des identités et des accès ? Guide sur l'IAM
-
![]()
Services de sécurité managés, XDR : Sophos s’offre Secureworks
Par: Valéry Rieß-Marchive
