Terme général pour «authentification» et «autorisation»?

Je dirais que la chose la plus proche à laquelle je peux penser est le cadre d'authentification, d'autorisation et de comptabilité, souvent abrégé en AAA.

Authentification, autorisation et comptabilité (AAA) est un terme désignant un cadre pour contrôler intelligemment l'accès aux ressources informatiques, appliquer les politiques, vérifier l'utilisation et fournir les informations nécessaires pour facturer les services. Ces processus combinés sont considérés comme importants pour une gestion et une sécurité de réseau efficaces.

Le seul terme qui me vient à l'esprit comme régissant les deux est "Gestion des accès". J'entends par là un système qui met en œuvre l'authentification, l'autorisation et la comptabilité. (souvent appelé cadre AAA)

Ces termes ne partagent pas vraiment de points communs jusqu'à ce que vous commenciez à implémenter un système qui les requiert.

La plupart des cabinets d'analystes appellent cet espace la gestion des identités et des accès (IAM). C'est également le nom des fournisseurs d'espace utilisés pour leurs produits. Il y a à côté d'IAM un autre espace appelé IAG ou Identity & Access Governance qui est plus sur le temps d'examen alors que IAM est plus sur la définition et l'exécution.

Enfin, Gartner & Kuppinger Cole utilisent également EAM (Externalized Authorization Management) et DAM (Dynamic Authorization Management) pour les spécificités du contrôle d'accès.

La réponse à votre question dépend du contexte dans lequel les termes sont utilisés. Au niveau d'abstraction le plus élevé, le terme dominant est Assurance de l'information où les 5 piliers sont:

• Disponibilité
• Intégrité
• Authentification
• Confidentialité
• Non-répudiation

Pour être clair, l'authentification et l'autorisation sont un aspect de Sécurité de l'information . Ce qui vise à faire respecter, avec un haut degré de confiance, les piliers de l'assurance de l'information notamment la non-répudiation.

Pour approfondir, les deux termes relèvent de l'assurance de l'information et, par association, de l'espace de la sécurité de l'information. principalement dans:

• Gestion des identités (IdM) ou
• Gestion des identités et des accès (IdAM)

IAM est le terme le plus courant, surtout si vous travaillez dans le gouvernement ou dans de grandes entreprises où vous trouverez généralement plus de 10000 identités. Pour votre intérêt, consultez les dernières directives et directives du Department of Defence (US) et des National Cyber ​​Security Centers (UK) ici et ici respectivement.

Définitions et explications

La gestion des identités et des accès (IdAM) est un aspect de la sécurité des informations et englobe les technologies et les processus, y compris les deux termes de votre question.

La gouvernance des identités - est un processus dans IdAM. C'est la gestion des politiques qui régit:

• le cycle de vie de bout en bout (création/changement/déplacement/fin de vie) des identités (Humain/Machine/Artificiel) à travers des systèmes hétérogènes.
• la hiérarchie d'accès aux actifs organisationnels qui sera accordée aux identités établies (bien entendu proportionnelle à leur rôle et responsabilités vis-à-vis de l'entreprise).
• conformité aux réglementations externes/internes telles que ISO 27001, GDPR, HIPAA.

Il y a d'autres fonctions, mais je pense que ce sont les trois principales. Dans cette pratique, vous créez une identité telle que, disons, un administrateur de fréquence réseau et déterminez les privilèges que cette identité doit avoir. Vous pouvez également aller jusqu'à déterminer quelles zones d'un bâtiment, quels ordinateurs, quelles imprimantes, quel appareil mobile cette identité peut utiliser, ou même verrouiller des groupes d'appareils à un type d'identité spécifique. Il s'agit en fait de la planification gérée de l'autorisation à associer à une identité. Vous trouverez vos analystes commerciaux, architectes d'entreprise, spécialistes de la conformité, spécialistes de la sécurité des informations et auditeurs d'informations jouant à ce niveau du jeu.

Gestion des accès - L'analyse et la réponse à

• violations des règles d'accès - quelle identité enfreint la politique d'accès qui lui est attribuée?
• les risques d'accès, en particulier le profilage et l'atténuation de ces risques - quelle est l'étendue de cette violation et comment y répondons-nous? A-t-il besoin d'une analyse plus approfondie? Devraient-ils être catalogués et ajoutés aux vecteurs d'attaque connus, etc.
• besoins d'approvisionnement en temps réel - L'accès est-il disponible? c'est-à-dire que l'accès aux actifs est opportun? Pas de bon octroi d'accès à un bien en retard de 5 jours.

Comme vous pouvez le voir, le contrôle d'accès est étroitement lié à la gouvernance, car un accès approprié (du point de vue de la mise en œuvre technique de l'assurance de l'information) est dérivé des politiques qui (plutôt que devraient) ont déjà été établies par l'autorité de gouvernance des identités au sein de l'entreprise. Dans cette pratique, l'accent est mis sur la mise en œuvre technique des services d'authentification pour déterminer avec un degré de confiance élevé qu'une identité est bien celle qu'ils prétendent être et qu'ils respectent les exigences des politiques définies. À ce niveau, vous trouverez vos spécialistes de la cybersécurité, des analystes d'incidents et de réponse, des spécialistes de l'infrastructure (réseau/stockage/base de données), des stylos-testeurs, des spécialistes de plate-forme, des spécialistes des logiciels et de l'IA analytique.

Il est inapproprié de voir l'autorisation et l'authentification isolément, mais reconnaissez plutôt qu'il s'agit de termes largement utilisés dans le cadre de l'assurance et de la sécurité de l'information.