🪪 Gestion des identités et des comptes
| Formation | BTS SIO option SISR — IRIS Mediaschool |
|---|---|
| Bloc | B3 — Cybersécurité des services informatiques |
| Module | M3.2 — Identité numérique et authentification |
| Durée | 7 heures |
| Prérequis | Administration Windows Server (Active Directory), notions de LDAP |
🎯 Objectifs
- Comprendre le cycle de vie d'un compte utilisateur (création, modification, désactivation, suppression)
- Maîtriser les concepts IAM (Identity and Access Management)
- Configurer et administrer Active Directory dans une optique de sécurité
- Comprendre les principes du Single Sign-On (SSO) et de la fédération d'identité
- Mettre en place des politiques de provisioning/deprovisioning automatisées
- Connaître les solutions IAM modernes (Azure AD, Okta, etc.)
📖 Savoirs associés
- Cycle de vie des identités numériques
- IAM (Identity and Access Management) — concepts et architectures
- Active Directory : structure, objets, attributs de sécurité
- Provisioning et deprovisioning automatisés
- Single Sign-On (SSO) et protocoles (SAML, OAuth 2.0, OpenID Connect)
- Fédération d'identité et identité dans le cloud
- Comptes de service et comptes à privilèges (PAM)
📖 Le cycle de vie des identités
La gestion du cycle de vie des identités (Identity Lifecycle Management) est au cœur de la sécurité des SI. Elle couvre toutes les étapes de la vie d'un compte, de sa création jusqu'à sa suppression définitive :
| Étape | Description | Risque si mal géré |
|---|---|---|
| Provisioning | Création du compte avec les droits appropriés lors de l'arrivée | Comptes créés avec trop de droits (sur-privilège) |
| Modification | Mise à jour des droits lors d'un changement de poste | Accumulation de droits non retirés (privilege creep) |
| Suspension | Désactivation temporaire (congé longue durée, enquête) | Compte actif utilisable pendant l'absence |
| Deprovisioning | Suppression ou désactivation définitive lors du départ | Compte fantôme exploitable après départ |
⚠️ Privilege Creep (dérive des privilèges)
Phénomène fréquent : un collaborateur change de poste plusieurs fois et accumule les droits de ses anciens rôles sans que les anciens accès soient retirés. Résultat : il dispose de droits bien supérieurs à ce que son poste actuel nécessite. Une revue régulière des droits (recertification des accès) est indispensable.
📖 Active Directory — Administration sécurisée
Structure recommandée des OU
Une organisation efficace des unités d'organisation (OU) facilite l'application des GPO de sécurité et la délégation d'administration :
iris.local
├── OU=Utilisateurs
│ ├── OU=Informatique
│ ├── OU=RH
│ ├── OU=Commercial
│ └── OU=Direction
├── OU=Ordinateurs
│ ├── OU=Postes
│ └── OU=Serveurs
├── OU=Groupes
│ ├── OU=Securite
│ └── OU=Distribution
└── OU=CompteServiceAttributs de sécurité importants
# PowerShell — Créer un compte utilisateur sécurisé
New-ADUser `
-Name "Jean Dupont" `
-SamAccountName "jdupont" `
-UserPrincipalName "jdupont@iris.local" `
-Path "OU=Informatique,OU=Utilisateurs,DC=iris,DC=local" `
-AccountPassword (ConvertTo-SecureString "P@ssw0rd2026!" -AsPlainText -Force) `
-Enabled $true `
-PasswordNeverExpires $false `
-CannotChangePassword $false `
-Description "Technicien réseau - Service SI"
# Désactiver un compte lors d'un départ
Disable-ADAccount -Identity "jdupont"
Move-ADObject -Identity "CN=Jean Dupont,OU=Informatique,OU=Utilisateurs,DC=iris,DC=local" `
-TargetPath "OU=Desactives,DC=iris,DC=local"
# Révoquer tous les groupes
Get-ADUser "jdupont" -Properties MemberOf |
ForEach-Object { $_.MemberOf | ForEach-Object { Remove-ADGroupMember -Identity $_ -Members "jdupont" -Confirm:$false } }Comptes à privilèges (PAM)
Les comptes d'administration doivent faire l'objet d'une gestion spécifique (Privileged Access Management) :
- Séparer compte utilisateur standard et compte d'administration (ex :
jdupontetadm_jdupont) - Ne jamais utiliser les comptes admin pour les tâches quotidiennes (navigation web, email)
- Utiliser des stations d'administration dédiées (PAW) isolées du réseau standard
- Activer Just-In-Time (JIT) : droits admin accordés temporairement à la demande
- Enregistrer les sessions admin (solutions PAM : CyberArk, Delinea, Microsoft PIM)
📖 IAM — Identity and Access Management
Composants d'une solution IAM
- Annuaire d'identités : Active Directory, LDAP, Azure AD — référentiel central des utilisateurs
- Moteur de workflows : automatisation des processus de provisioning/deprovisioning
- Moteur de règles : définition des politiques d'accès (RBAC, ABAC)
- Portail self-service : réinitialisation de mot de passe, demande d'accès
- Recertification des accès : revue périodique des droits par les responsables métier
- Rapports et audit : traçabilité des accès et des modifications de droits
📖 Single Sign-On (SSO)
Principe
Le SSO permet à un utilisateur de s'authentifier une seule fois pour accéder à plusieurs applications sans re-saisir ses identifiants. Avantages :
- Réduction de la fatigue des mots de passe
- Centralisation de l'authentification → meilleur contrôle
- Déprovisioning plus simple : désactiver un compte central désactive tous les accès
Protocoles SSO
| Protocole | Utilisation typique | Description |
|---|---|---|
| Kerberos | Active Directory / LAN | Tickets d'authentification (TGT/TGS), standard Microsoft/MIT |
| SAML 2.0 | SSO d'entreprise (web) | Assertions XML échangées entre Identity Provider et Service Provider |
| OAuth 2.0 | Autorisation API | Délégation d'accès (tokens), pas d'authentification directe |
| OpenID Connect | SSO web moderne | Couche d'authentification au-dessus d'OAuth 2.0 (JWT) |
| LDAP | Authentification applicative | Protocole d'annuaire, utilisé par de nombreuses applications |
Fédération d'identité
La fédération d'identité permet à des organisations distinctes de reconnaître mutuellement leurs identités. Exemple : un étudiant IRIS se connecte à une plateforme partenaire (Microsoft 365, GitHub Education) avec ses identifiants IRIS. Les protocoles SAML et OpenID Connect sont au cœur de la fédération.
📖 Gestion des comptes de service
Les comptes de service (utilisés par les applications, services Windows, tâches planifiées) sont souvent négligés mais constituent un risque majeur :
- Mot de passe statique rarement changé
- Souvent dotés de privilèges excessifs
- Partagés entre plusieurs applications
Bonnes pratiques :
- Utiliser des Managed Service Accounts (gMSA) sous Windows : mot de passe géré automatiquement par AD
- Appliquer le principe du moindre privilège
- Documenter tous les comptes de service et leurs usages
- Ne jamais utiliser le compte Administrator intégré comme compte de service
# Créer un Group Managed Service Account (gMSA)
New-ADServiceAccount -Name "svc_webapp" `
-DNSHostName "svc_webapp.iris.local" `
-PrincipalsAllowedToRetrieveManagedPassword "GRP_Serveurs_Web"
# Installer le gMSA sur le serveur
Install-ADServiceAccount -Identity "svc_webapp"
# Vérifier
Test-ADServiceAccount -Identity "svc_webapp"🛠️ Outils / Ressources
- Active Directory (Windows Server) : annuaire d'entreprise
- Azure Active Directory / Entra ID : IAM cloud Microsoft
- Okta, Auth0 : solutions IAM SaaS
- FreeIPA (Red Hat) : IAM open source Linux
- Microsoft PIM : Privileged Identity Management (Azure)
- CyberArk, Delinea : solutions PAM
📝 QCM — Testez vos connaissances
- Qu'est-ce que le "privilege creep" et comment y remédier ?
- Quelle est la différence entre OAuth 2.0 et OpenID Connect ?
- Pourquoi faut-il désactiver un compte plutôt que le supprimer immédiatement lors d'un départ ?
- Qu'est-ce qu'un gMSA et quel problème résout-il ?
- Que signifie PAM dans le contexte de la gestion des identités ?
- Quel protocole d'authentification est utilisé nativement par Active Directory ?
📝 Afficher les corrections
- Accumulation progressive de droits non retirés lors des changements de poste. Remède : revue et recertification régulière des droits (access review), idéalement automatisée via un outil IAM.
- OAuth 2.0 est un protocole d'autorisation (délégation d'accès aux ressources via tokens) ; OpenID Connect ajoute une couche d'authentification au-dessus d'OAuth 2.0 permettant de vérifier l'identité de l'utilisateur (via JWT).
- Pour conserver les données et droits le temps de vérifier que tout est en ordre, transférer les données, répondre à d'éventuelles questions légales. La suppression définitive intervient après un délai (souvent 3 à 6 mois).
- Group Managed Service Account : compte de service Windows dont le mot de passe est géré et changé automatiquement par Active Directory, éliminant le risque lié aux mots de passe statiques des comptes de service.
- Privileged Access Management — ensemble de solutions pour contrôler, surveiller et auditer l'accès des comptes à privilèges aux systèmes critiques.
- Kerberos — protocole d'authentification basé sur des tickets (TGT/TGS), utilisé par défaut dans tous les environnements Active Directory.