Conscience et rigueur. Cadres

IAL, Conformité et MSP

by Continuum GRC 0 Commentaires
Des symboles abstraits de cadenas, de loupes et d'icônes devant une personne floue.

Cette transition vers une sécurité basée sur l'identité a eu des conséquences majeures en matière de conformité. Des référentiels tels que FedRAMP, CMMC et les contrôles de la série NIST 800 reposent tous sur des pratiques d'identité rigoureuses. Pourtant, des domaines comme la garantie d'identité demeurent un défi constant.

De nombreuses organisations partent du principe que si un utilisateur peut se connecter via l'authentification multifacteur (MFA), son identité est sécurisée. En réalité, l'authentification prouve seulement qu'une personne possède des identifiants. La vérification d'identité détermine si le système sait réellement qui est cette personne.

 

Que sont les niveaux d'assurance d'identité ?

Les niveaux d'assurance d'identité sont définis dans Publication spéciale NIST 800-63« Lignes directrices relatives à l’identité numérique ». Elles définissent le degré de confiance qu’une organisation accorde à l’identité d’un utilisateur.

Les architectures natives du cloud, le télétravail, la prolifération des solutions SaaS et les intégrations tierces ont fait de l'identité la principale surface d'attaque. Les identifiants compromis restent la principale cause des violations de données, et les attaquants exploitent de plus en plus les faiblesses liées à l'intégration, à l'attribution des accès et à la gestion du cycle de vie des identités plutôt que les vulnérabilités techniques.

Les organismes de réglementation et les auditeurs ont pris note. Partout FedRAMP, CMMCDans le cadre des programmes du NIST et d'autres organismes, les attentes évoluent : on passe de simples contrôles d'accès à une gouvernance des identités démontrable. Les organisations doivent désormais prouver non seulement que l'accès est restreint, mais aussi que les identités sont correctement établies, vérifiées, maintenues et supprimées.

Il est important de noter que l'IAL mesure le degré de certitude du système quant à l'identité de l'individu. À ce titre, le NIST définit trois niveaux d'assurance d'identité :

  • IAL1 Ce niveau de confiance est le plus faible. À ce niveau, l'identité est auto-déclarée. Le système accepte l'identité de l'utilisateur sans la vérifier auprès de sources officielles. Ce niveau est courant dans les services grand public à faible risque, mais généralement inapproprié dans les environnements réglementés. 
  • IAL2 Ce niveau introduit la vérification d'identité. À ce stade, l'identité d'un utilisateur est vérifiée à l'aide d'une pièce d'identité officielle, de documents officiels ou de méthodes de vérification équivalentes. L'identité est liée au compte de manière à permettre à l'organisation d'affirmer avec certitude que le compte appartient à une personne physique. 
  • IAL3 Ce niveau de sécurité représente le plus haut niveau d'assurance. Il exige une vérification d'identité en personne ou supervisée, ainsi qu'une liaison cryptographique robuste entre l'individu et son identité numérique. Ce niveau est généralement réservé aux systèmes à haut risque ou de sécurité nationale.

La plupart des systèmes fédéraux et de défense fonctionnent au niveau IAL2, même sans le préciser explicitement. Le problème est que de nombreuses organisations ignorent qu'elles sont tenues de respecter cette norme.

 

Des symboles abstraits de cadenas, de loupes et d'icônes devant une personne floue.

Comment IAL s'intègre au modèle d'identité plus large du NIST

Le NIST divise l'identité numérique en trois composantes : Identity Assurance Level (IAL), Authentication Assurance Level (AAL) et Federation Assurance Level (FAL).

  • IALQui est cette personne, et pouvons-nous garantir sa présence et son identité ?
  • AALQuels sont les points forts des méthodes d'authentification utilisées pour vérifier cette personne, et pouvons-nous leur faire confiance pour garantir le niveau de sécurité de son accès ? 
  • FALDans quelle mesure transmettons-nous les données d'identité de manière sécurisée entre différents réseaux et systèmes ?

La plupart des organisations accordent une grande importance à l'authentification et à l'accès au compte (AAL). Elles déploient l'authentification multifacteur (MFA), appliquent des politiques de mots de passe et mettent en œuvre l'accès conditionnel. Bien que ces mesures de contrôle soient essentielles, elles ne permettent pas de vérifier si le compte lui-même est associé à une personne physique vérifiée.

Cette distinction devient cruciale lors des audits. Une organisation peut démontrer une application rigoureuse de l'authentification multifacteur (MFA) et pourtant échouer à une évaluation si elle ne peut pas prouver comment les identités ont été vérifiées, comment l'unicité est garantie ou comment les événements liés au cycle de vie des identités sont gérés.

Autrement dit, l'authentification sans garantie d'identité crée un faux sentiment de sécurité.

 

FedRAMP exige-t-il un niveau IAL spécifique ?

FedRAMP n'exige pas explicitement des organisations qu'elles mettent en œuvre une IAL spécifique. Cependant, ses référentiels de contrôle s'appuient sur NIST800-53, qui considère une gestion rigoureuse des identités comme une condition préalable au contrôle d'accès, à l'audit et à la responsabilisation.

En pratique, les évaluateurs FedRAMP attendent des organisations qu'elles démontrent :

  • Création et suppression contrôlées de comptes.
  • Traçabilité entre les utilisateurs et les actions.
  • Des processus de gouvernance d'identité robustes.
  • Séparation claire des tâches.
  • Preuve que l'accès n'est accordé qu'aux personnes vérifiées. 

Par exemple, les contrôles FedRAMP relatifs à la gestion des comptes, à l'identification et à l'authentification, ainsi qu'à la journalisation des audits, reposent tous sur la connaissance précise de l'identité de l'utilisateur. Si une organisation ne peut démontrer comment les identités sont vérifiées lors de l'intégration, il devient difficile de prouver sa conformité aux exigences du moindre privilège et de la responsabilité.

Ces attentes nécessitent implicitement une assurance d'identité de niveau IAL2.

 

La certification CMMC exige-t-elle un niveau IAL spécifique ?

Le CMMC présente un défi similaire, même s'il est souvent abordé sous un angle différent. Le CMMC ne fait pas explicitement référence aux niveaux d'assurance d'identité, mais ses pratiques reposent largement sur l'intégrité de l'identité.

À partir du niveau 2 du CMMC, les organisations doivent démontrer :

  • Accès contrôlé aux systèmes contenant des informations confidentielles
  • Identification et authentification des utilisateurs
  • Fin d'accès appropriée
  • Responsabilité des actions des utilisateurs
    Protection contre les accès non autorisés 

Les lacunes courantes en matière de CMMC proviennent souvent de pratiques d'identité défaillantes. Les comptes partagés, l'intégration mal documentée, les contrôles d'accès incohérents et l'absence de vérification d'identité figurent parmi les problèmes les plus fréquemment rencontrés lors des évaluations.

Avec le renforcement des contrôles CMMC, les évaluateurs examinent de plus en plus la gestion des identités. Pour les fournisseurs de services gérés qui accompagnent les entreprises de défense, cela signifie que les pratiques en matière d'identité sont désormais concernées, qu'elles soient explicitement mentionnées ou non.

 

Meilleures pratiques pour les programmes IAL

D’ici 2026, les organisations matures aborderont la garantie d’identité comme un cycle de vie plutôt que comme un événement ponctuel.

  • Un programme IAL solide comprend vérification d'identité documentée lors de l'intégrationCes identités sont généralement liées aux processus de gestion des ressources humaines ou des fournisseurs. Elles sont validées auprès de sources fiables, associées à des personnes physiques et font l'objet d'un examen périodique afin d'en vérifier l'exactitude. 
  • L'accès est accordé en fonction de identité et rôle vérifiésL’accès privilégié est strictement contrôlé et limité dans le temps. La désactivation des comptes est automatisée et auditable. Les événements liés à l’identité sont consignés et intégrés aux systèmes de surveillance de la sécurité. 
  • Les programmes plus avancés intègrent contrôles d'identité basés sur les risquesLa surveillance continue et l'analyse des identités permettent de détecter les anomalies ou les utilisations abusives. Ces fonctionnalités contribuent à la fois à la conformité et à la sécurité opérationnelle.

 

Les fournisseurs de services gérés peuvent répondre aux exigences d'IAL. Continuum de confiance GRC

Les fournisseurs de services gérés (MSP) les plus visionnaires réagissent en proposant l'identité en tant que service. Cela inclut des processus d'intégration standardisés, des procédures de vérification d'identité, des contrôles d'accès et la collecte de preuves pour les audits. 

Nous fournissons un soutien en matière de gestion des risques et de conformité pour chaque cadre réglementaire et de conformité majeur du marché, notamment :

Et bien plus encore. Nous sommes la seule solution de gestion des risques et de conformité autorisée par FedRAMP et StateRAMP au monde.

Continuum GRC est une cybersécurité proactive® et le seul FedRAMP et Autorisé par l'ÉtatRAMP Plateforme mondiale d'audit de cybersécurité. Appelez le 1-888-896-6207 pour discuter des besoins de votre organisation en matière de cybersécurité et découvrir comment nous pouvons vous aider à protéger vos systèmes et à garantir votre conformité.

Continuum GRC

Site Web: