Explorer le sujet de la gestion des identités et des accès ou « Identity and Access Management », revient avant tout à s’interroger sur les relations des personnes physiques au Système d’Information. D’une part, les personnes peuvent représenter des objets de gestion pour certaines applications : par exemple, une application de Ressources humaines gère les salariés de l’entreprise. D’autre part, la notion d’individu est omniprésente dans le Système d’Information sous la forme des utilisateurs des ressources informatiques de l’entreprise : cette même application de Ressources humaines utilise les données de la personne pour authentifier, autoriser un accès partiel ou total, tracer ses actions, envoyer des messages scellés, voire confidentiels…
Gérer les identités du SI c’est donc fournir aux utilisateurs l’accès aux ressources qui leur sont nécessaires pour accomplir leur travail dans l’entreprise.
Cette problématique existe depuis les débuts de l’informatique : rien de bien neuf donc ! Alors, pourquoi ce sujet est-il toujours sous les feux de l’actualité en 2008, tandis que d’autres sujets qui avaient passionné la communauté informatique sont aujourd’hui tombés dans la commodité (réseaux, firewall, antivirus…) ?
Une partie de l’explication tient à ce que l’on a changé d’échelle dans la complexité. Aujourd’hui, presque toutes les personnes de l’entreprise sont concernées par l’outil informatique. En outre, de nouvelles populations utilisatrices apparaissent : partenaires, clients, prestataires… Parallèlement, les applications, hétérogènes et en plus grand nombre couvrent un spectre fonctionnel de plus en plus large.

La fiche d'identité au coeur des fonctions de sécurité

Il est communément admis que la sécurité du Système d’Information s’appuie sur deux niveaux d’architecture :

• la sécurité système s’attache à protéger des zones réseaux et des machines, serveurs ou postes de travail (protection du réseau interne contre les attaques menées depuis Internet par des hackers, protection du poste de travail contre les virus…) ;
• la sécurité applicative vise à protéger des applications utilisées par des humains (exemples : limiter la population accédant à une information, tracer le qui a fait quoi…).

Ces deux niveaux d’architecture sont évidemment très complémentaires. Pour autant, l’identité est une notion essentiellement utilisée dans le monde de la sécurité applicative. Ainsi, une application s’attachera généralement à :

• connaître les acteurs interagissant avec l’entreprise et vérifier leur identité (authentification) ;
• protéger les biens contre les accès et manipulations non souhaités de certains (habilitation) ;
• savoir qui a effectué des actions sur des biens (imputabilité) ;
• vérifier qu’un document a été approuvé par une personne et qu’il n’a pas été falsifié depuis (signature) ;
• s’assurer que seule une personne peut lire le contenu d’un document confidentiel (chiffrement).

Les services de sécurité remplissant ces objectifs s’appuient sur des mécanismes techniques qui utilisent intensément les données informatiques liées à une personne : identifiants, mots de passe, rôle métier, entité organisationnelle, site géographique d’appartenance, clé publique du certificat personnel, etc. Pour une personne, l’ensemble de ces données constitue, vu du Système d’Information, sa fiche d’identité.

La fiche d’identité est une notion logique, les données qui la constituent sont le plus souvent réparties sur différents référentiels et différentes applications : les référentiels de sécurité bien entendu, mais aussi les gestionnaires de ressources humaines, les outils de la direction de la communication, les moyens généraux, etc.

L’Identifiant Unique Personnel, pierre angulaire de la gestion des identités

Comment parler d’identité ou de fiche d’identité dans le Système d’Information si l’on ne peut désigner chaque personne de l’entreprise de manière unique ? Dans notre vie quotidienne, nous utilisons un numéro de sécurité sociale qui nous est personnel et nous désigne de manière univoque auprès des Caisses Maladie et Retraite. De même, la plaque d’immatriculation repère notre véhicule. On peut parler alors d’identifiant unique. Cette notion, fondamentale dans notre vie de tous les jours, l’est tout autant dans le Système d’Information.

Cette histoire illustre l’intérêt pour une entreprise de posséder un Identifiant Unique Personnel (IUP). Un SI n’est pas monolithique : l’IUP assure de pouvoir rapprocher des informations sur une personne (en tant qu’utilisateur ou objet de gestion), provenant d’applications différentes. Dans un jargon « base de données », on peut dire que l’IUP sert de clé de jointure. À l’instar du numéro de sécurité sociale qui permet de rapprocher les cotisations maladies versées par un employeur, des remboursements de soins médicaux dont un employé bénéficie, les protagonistes de l’histoire précédente peuvent établir que le compte de Jérôme Durant dans « Moteurs » est jd1 (et non jd7 !).

Cette clé de jointure trouve bien évidemment sa place dans la fiche d’identité de la personne. Pour poursuivre la métaphore de la « base de données », on peut dire que l’IUP constitue la clé primaire de la fiche d’identité : il ne peut pas exister deux fiches d’identité avec le même IUP.
S’il est unique par nature, l’IUP se doit également d’être :

• inaliénable : même après le départ d’une personne, il ne doit pas pouvoir être affecté à une autre personne
• stable : c’est-à-dire sans évolution durant la vie de la personne dans l’entreprise, et ce, indépendamment des déménagements, mutations, changements de nom (ex : mariage)…