Glossaire IAM Keeper

Une liste d'autorisations spécifiant les utilisateurs ou les systèmes auxquels l'accès à une ressource système particulière est accordé ou refusé, ainsi que les opérations qu'ils peuvent effectuer sur ces ressources.

Le processus par lequel les administrateurs informatiques accordent et limitent l'accès des utilisateurs à des systèmes et des données spécifiques. En général, cette opération s'effectue en créant des groupes pour les rôles professionnels, les départements et/ou les équipes de projet, puis en affectant les utilisateurs aux groupes correspondants. Fonctionne en conjonction avec la gestion des identités.

Active Directory (AD) est un service d'annuaire développé par Microsoft pour les réseaux de domaines Windows. À l'origine, AD était utilisé uniquement pour la gestion centralisée des domaines, mais le terme générique désigne aujourd'hui un large éventail de services d'identité basés sur des annuaires. Il permet aux entreprises de gérer plusieurs composants et systèmes d'infrastructure en local en utilisant une seule identité par utilisateur. À ne pas confondre avec Azure Active Directory, qui est un outil utilisé en conjonction avec AD.

L'Active Directory d'une entreprise contrôle tous les accès au système. Une sécurité efficace de l'Active Directory est donc essentielle pour sécuriser l'ensemble de l'environnement de données.

Il s'agit d'un outil complémentaire à Active Directory (AD) qui étend les identités locales aux applications dans le cloud. Il est semblable à un outil SSO pour applications web, mais utilisé en local plutôt que dans le cloud. Comme Azure AD, AD FS ne remplace pas Active Directory, mais est utilisé en conjonction avec lui.

Également appelée authentification adaptative ou authentification basée sur le risque. Il s'agit d'une méthode par laquelle les paramètres de connexion sont ajustés de manière dynamique en fonction du risque que présente une demande d'accès particulière. Par exemple, un utilisateur qui se connecte à un service sur un appareil qu'il utilise tout le temps peut avoir seulement besoin de fournir un mot de passe, mais s'il tente de se connecter à partir d'un nouvel appareil, ou même d'un nouveau navigateur, il peut être invité à répondre à des questions de sécurité ou à fournir un code d'accès unique.

Un ensemble de définitions et de protocoles qui permettent à différentes applications logicielles de communiquer entre elles. Par exemple, les applications météorologiques utilisent les API des agences météorologiques gouvernementales pour afficher les données météorologiques. La plupart des sites web et des applications modernes utilisent au moins quelques API de tiers.

Il existe quatre différents types d'API :

Tout le monde peut utiliser les API publiques, bien que certaines d'entre elles nécessitent une autorisation préalable et/ou des frais d'utilisation.

Les API privées sont tout simplement privées. Elles sont utilisées uniquement au sein de l'entreprise.

Les API partenaires ressemblent aux API privées. Seules les entreprises partenaires externes autorisées peuvent les utiliser pour faciliter les applications et les transactions interentreprises.

Les API composites sont une combinaison de deux ou plusieurs types d'API.

Un identifiant unique utilisé pour authentifier un utilisateur, un développeur ou une application à une API. Inclut généralement un ensemble de droits d'accès à l'API.

Un moyen de s'assurer qu'un utilisateur est bien celui qu'il prétend être. Consulter la rubrique gestion des identités.

Un moyen de s'assurer qu'un utilisateur est autorisé à accéder à des systèmes et des données spécifiques. Consulter la rubrique gestion des accès.

Il s'agit des outils et méthodes permettant de stocker, d'accéder et de gérer en toute sécurité les secrets de l'infrastructure dans un environnement informatique, tels que les clés API, les certificats numériques et les identifiants des comptes privilégiés. Également connue sous le nom de gestion des mots de passe d'application à application (AAPM, ou Application to Application Password Management).

Une solution d'identité en tant que service (IDaaS) que les entreprises peuvent utiliser pour toutes leurs applications dans leur environnement de données, qu'il soit dans le cloud ou en local. Azure Active Directory (Azure AD) ne remplace pas Active Directory, s'utilise parallèlement à AD.

L'ensemble des caractéristiques physiques uniques d'une personne, telles que les empreintes digitales, la numérisation de l'iris et la reconnaissance faciale, qui sont utilisées pour l'authentification des utilisateurs et le contrôle d'accès.

Il s'agit d'une attaque automatisée au cours de laquelle un acteur de la menace utilise un script pour soumettre un très grand nombre de mots de passe ou de phrases secrètes, en vérifiant systématiquement toutes les combinaisons possibles jusqu'à ce qu'un ensemble fonctionnel d'identifiants soit trouvé.

L'automatisation des processus métier (Business process automation, ou BPA) désigne un logiciel qui automatise les tâches répétitives ou manuelles afin d'améliorer l'efficacité organisationnelle. Parmi les exemples de BPA figurent les réponses automatisées aux actions des clients, telles que les confirmations de commande et la réinitialisation du mot de passe en libre-service (SSPR).

Un ancien cadre IAM dans lequel tous les utilisateurs à l'intérieur d'un périmètre réseau défini sont implicitement fiables, tandis que ceux à l'extérieur ne le sont pas. Le modèle du « château entouré de douves » est devenu obsolète avec l'informatique sur le cloud, la mobilité et l'accès à distance généralisé et a été délaissé au profit du zéro trust.

Composant clé de l'ensemble des spécifications FIDO2, le protocole client-authentificateur (CTAP) permet à un authentificateur externe, tel qu'un smartphone ou une clé de sécurité, de fonctionner avec les navigateurs qui prennent en charge WebAuthn et de servir d'authentificateur pour les services web et les applications de bureau.

Également connu sous le nom de sécurité du cloud. Terme générique englobant les politiques, procédures, contrôles et outils utilisés pour protéger les données, les applications et les services stockés et utilisés dans le cloud, ainsi que l'infrastructure sous-jacente du cloud.

En général, les services de cloud publics fonctionnent selon un modèle de responsabilité partagée, dans lequel le fournisseur de services informatiques sur le cloud est responsable de la sécurité *du* cloud, tandis que l'entreprise qui achète les services est responsable de la sécurité *dans* le cloud. Cela signifie que le fournisseur de services sur le cloud assure la sécurité de l'infrastructure sous-jacente, y compris les centres de données physiques et tous les serveurs et équipements qu'elle contient, tandis que l'entreprise assure la sécurité des données et des charges de travail qu'elle place dans son déploiement sur le cloud.

Un service basé sur le Cloud qui offre des solutions IAM pour d'autres services basés sur le Cloud.

Processus par lequel un système surveille le comportement de l'utilisateur pendant une session, en le comparant à une référence, en recherchant les anomalies et en demandant à l'utilisateur de se réauthentifier si un comportement anormal est détecté.

Une attaque qui exploite le fait que de nombreuses personnes utilisent les mêmes identifiants de connexion sur plusieurs comptes. Lors d'une attaque par « Credential Stuffing », une fois que les acteurs de la menace ont réussi à obtenir un ensemble d'identifiants de connexion valides sur un site, ils tentent de les utiliser sur autant de sites que possible.

Le processus par lequel les entreprises gèrent les identités des clients et les niveaux d'accès. Il s'agit essentiellement d'un sous-type d'IAM qui se réfère uniquement aux clients, par opposition aux utilisateurs internes ou aux partenaires commerciaux.

La défense en profondeur (DiD) est une approche multicouche de la cybersécurité, chaque couche étant axée sur un type de sécurité différent, afin de créer des défenses complètes et solides contre les cybermenaces. Le principe est le suivant : si une couche cède, la suivante reste en travers de la route d'un acteur menaçant. Les logiciels antivirus, les outils et les contrôles de sécurité réseau, les solutions IAM et les solutions de prévention des pertes de données comptent parmi les éléments les plus courants d'une stratégie DiD.

Processus consistant à supprimer l'accès d'un utilisateur à des systèmes entiers ou à des applications individuelles. Un collaborateur quittant une entreprise est déprovisionné de l'ensemble du système ; un collaborateur transféré vers un autre site ou un autre service sera déprovisionné des systèmes de ce site ou de ce service.

La sécurité DevOps, également appelée DevSecOps, est une pratique de sécurité des applications qui vise à « déplacer la sécurité vers la gauche », c'est-à-dire à l'introduire le plus tôt possible dans le cycle de vie du développement logiciel (SDLC) dans le but de créer des applications sécurisées. De plus, comme DevOps, DevSecOps brise les silos organisationnels, en améliorant la communication et la collaboration entre les équipes de développement, d'exploitation et de sécurité tout au long du SDLC.

Parfois appelée « endpoint threat detection and response » (ETDR), une solution EDR est un outil intégré de sécurité des points de terminaison qui combine une surveillance continue en temps réel et une collecte de données sur les points de terminaison avec une réponse et une analyse automatisées basées sur des règles. Une solution EDR surveille toute l'activité des points de terminaison, l'analyse pour identifier des modèles de menaces, réagit automatiquement pour supprimer ou contenir les menaces identifiées et envoie des notifications au personnel de sécurité. Les objectifs d'un système EDR sont d'identifier les menaces en temps réel, de les atténuer ou de les contenir automatiquement si possible et de faciliter la réponse rapide du personnel humain

« L'Endpoint Privilege Management » combine le contrôle des applications avec l'accès au moindre privilège pour garantir que les utilisateurs n'exécutent que des applications de confiance avec le privilège le plus faible possible.

Historiquement, l'accès au réseau au sein d'une entreprise était divisé en deux grandes catégories : les utilisateurs standard et les administrateurs. Cette approche est tout à fait insuffisante pour se protéger contre les cyberattaques liées aux identifiants dans les environnements de données distribués et très complexes d'aujourd'hui. « L'endpoint privilege management » (ou gestion des privilèges au point de terminaison) régit les niveaux d'accès des utilisateurs de manière à ce que les privilèges administratifs soient accordés à un nombre aussi réduit que possible d'utilisateurs. Outre la protection contre les menaces internes, « l'endpoint privilege management » limite la capacité des acteurs externes à se déplacer latéralement dans le réseau s'ils parviennent à compromettre un ensemble d'identifiants de l'utilisateur.

Une plateforme de protection des points de terminaison (EPP) est une solution intégrée qui détecte les activités malveillantes sur les dispositifs de terminaison et les protège contre les accès non autorisés, le phishing et les attaques de logiciels malveillants basés sur des fichiers. Les EPP modernes sont généralement basées sur le cloud, et certaines incluent un pare-feu personnel, des fonctions de protection des données et de prévention des pertes de données, un contrôle des appareils et une intégration avec des solutions de gestion des vulnérabilités, des correctifs et des configurations.

Un gestionnaire de mots de passe d'entreprise (EPM) est une plateforme de gestion des mots de passe spécifiquement conçue pour un usage commercial. L'EPM est un élément fondamental de la sécurité et des piles IAM de toute entreprise.

Les EPM proposent toutes les fonctionnalités des gestionnaires de mots de passe grand public, comme la génération automatique de mots de passe forts et la fourniture aux utilisateurs d'un coffre-fort numérique sécurisé qu'ils peuvent utiliser pour stocker leurs mots de passe et y accéder à partir de plusieurs appareils. Cependant, ils comprennent également une multitude de fonctionnalités spécifiques aux entreprises, telles qu'un panneau d'administration que le personnel informatique et de sécurité peut utiliser pour provisionner et déprovisionner des comptes d'utilisateurs, surveiller et contrôler l'utilisation des mots de passe dans l'entreprise, configurer des contrôles d'accès basés sur les rôles (RBAC) et des accès à moindre privilège, exécuter des rapports d'audit et gérer les mots de passe partagés.

De plus, certains EPM proposent des solutions spécialement conçues pour répondre aux besoins des fournisseurs de services gérés (comme KeeperMSP) et des agences gouvernementales américaines (comme Keeper Security Government Cloud, alias KSGC).

La gestion fédérée des identités (FIM) est une méthode d'authentification qui permet à plusieurs systèmes logiciels de partager des données d'identité provenant d'un système centralisé plus important, ce qui permet aux utilisateurs d'accéder à plusieurs applications et systèmes avec un seul ensemble d'identifiants de connexion. Bien que la gestion fédérée des identités soit souvent utilisée comme synonyme de SSO, la FIM permet l'accès aux systèmes et aux applications à travers les domaines (connus sous le nom « d'entreprises fédérées »), tandis que le SSO permet l'accès au sein d'un seul domaine.

Les entreprises utilisent fréquemment le SSO et la FIM.

Une association industrielle ouverte dont la mission est de promouvoir des « normes d'authentification pour aider à réduire la dépendance excessive du monde à l'égard des mots de passe ».

Il s'agit d'un partenariat entre l'Alliance FIDO et le World Wide Web Consortium (W3C) qui vise à permettre aux utilisateurs de recourir à des dispositifs courants, tels que les smartphones et les jetons de sécurité matériels, pour s'authentifier auprès de services en ligne dans des environnements de bureau et mobiles. S'appuyant largement sur la norme d'authentification U2F, FIDO2 se compose de l'ensemble des normes WebAuthn et du protocole FIDO Client to Authenticator (CTAP).

La gestion des identités et des accès (IAM) est un terme générique qui englobe les politiques, procédures, contrôles et outils technologiques que les entreprises utilisent pour gérer les identités numériques des utilisateurs finaux et contrôler l'accès aux réseaux, applications et données de l'entreprise. L'IAM est un élément fondamental de la défense en profondeur (DiD).

La gestion des accès privilégiés (PAM), la gestion des sessions privilégiées (PSM), la gouvernance et l'administration des identités (IGA) et la gestion des identités et des accès des clients (CIAM) sont toutes des sous-catégories de l'IAM.

L'identité en tant que service (IDaaS) est une solution d'authentification basée sur le Cloud. Parfois appelée SaaS-delivered IAM (Gartner) ou IAM-as-a-Service (IaaS). IDaaS est un terme générique qui désigne une grande variété de solutions SaaS pour l'IAM, des plateformes SSO aux gestionnaires de mots de passe.

La gouvernance et l'administration des identités (IGA) est une sous-catégorie de l'IAM qui fait référence aux politiques et aux outils technologiques qui permet aux entreprises de s'assurer que leurs politiques d'IAM sont cohérentes et appliquées de manière universelle dans tout l'environnement de données. Les outils IGA permettent aux entreprises de gérer plus efficacement les identités numériques et d'atténuer les risques d'accès liés à l'identité en automatisant la création, la gestion et la certification des comptes utilisateurs, des rôles et des droits d'accès.

Si l'IGA et l'IAM sont parfois utilisés de manière interchangeable, l'IGA diffère de l'IAM dans la mesure où, comme le dit Gartner, l'IGA « permet aux entreprises de définir et d'appliquer une politique d'IAM, mais aussi de connecter les fonctions d'IAM pour répondre aux exigences d'audit et de conformité. »

La gestion du cycle de vie des identités (ILM) est une sous-catégorie de l'IAM qui fait référence aux politiques, procédures et outils technologiques permettant de créer des identités numériques et les autorisations qui leur sont associées, de les gérer et de les mettre à jour tout au long de leur cycle de vie, et de les supprimer lorsqu'elles ne sont plus nécessaires. L'identité numérique peut appartenir à un utilisateur humain, notamment un collaborateur, un entrepreneur, un fournisseur, un partenaire commercial ou une application.

Les privilèges des utilisateurs évoluent avec le temps. Si un collaborateur est promu ou se voit confier des tâches supplémentaires, il peut être nécessaire d'adapter ses privilèges réseau. Lorsqu'un collaborateur quitte l'entreprise, son accès doit être révoqué immédiatement. C'est dans ces situations que la GIP entre en jeu.

Le processus par lequel les systèmes déterminent que les utilisateurs sont bien ceux qu'ils prétendent être. Par exemple, les noms d'utilisateur et les mots de passe, ainsi que l'authentification multifactorielle. Fonctionne en conjonction avec la gestion des accès.

Un fournisseur d'identité (IdP) est un service qui stocke et gère les identités des utilisateurs. Un IdP peut vérifier les utilisateurs par rapport à une liste stockée de combinaisons de noms d'utilisateurs et de mots de passe, ou fournir une liste d'identités d'utilisateurs qu'un autre fournisseur vérifie. Les fournisseurs SSO sont des IdP.

JSON Web Token (JWT) est une norme ouverte utilisée pour partager des informations de sécurité entre clients et serveurs. Les JWT sont signés soit à l'aide d'un secret privé, soit à l'aide d'une clé publique/privée, de sorte que les déclarations ne peuvent être modifiées après l'émission du jeton.

L'accès juste-à-temps, également appelé accès JIT, est une pratique de gestion des accès privilégiés (PAM) dans laquelle les privilèges des utilisateurs humains et non humains sont élevés en temps réel et la durée de la session est limitée à un temps prédéterminé. Ainsi, l'utilisateur ou l'application humaine ne peut accéder à une application ou un système privilégié que lorsqu'il en a besoin, et ce, pendant une période déterminée.

Un protocole d'authentification réseau open-source qui utilise la cryptographie à clé symétrique pour authentifier les requêtes entre des hôtes de confiance communiquant sur un réseau non fiable, tel qu'Internet. Kerberos est le protocole d'autorisation par défaut de Microsoft Windows et un composant central de Windows Active Directory. La prise en charge de Kerberos est intégrée à tous les principaux systèmes d'exploitation. Il est largement utilisé dans les grands déploiements SSO, où il prend en charge plusieurs méthodes d'authentification.

Une bonne pratique de sécurité dans laquelle les utilisateurs humains et les applications ont le niveau minimum absolu d'accès aux systèmes dont ils ont besoin pour accomplir leurs tâches, et pas plus.

Le protocole LDAP (Lightweight Directory Access Protocol) est une norme de protocole d'application ouverte permettant d'accéder à des services d'information d'annuaire distribués et de les gérer sur un réseau IP. LDAP est couramment utilisé comme source unique de vérité pour les noms d'utilisateur et les mots de passe ; les applications peuvent se connecter au serveur LDAP et ajouter et supprimer automatiquement des utilisateurs au fur et à mesure que les collaborateurs arrivent et quittent l'entreprise. LDAP est utilisé comme base de Microsoft Active Directory.

Voir également SCIM, une alternative à LDAP qui gagne rapidement en popularité.

La gestion de l'identité des machines (MIM) régit les identités numériques des utilisateurs non humains, c'est-à-dire les certificats et les clés numériques utilisés par les dispositifs matériels (y compris les dispositifs IoT), les charges de travail, les applications, les conteneurs, etc. MIM est un sous-ensemble à la fois de l'IAM et de la gestion des secrets.

Les logiciels malveillants, plus communément appelés « malwares », portent bien leur nom : il s'agit d'une forme de logiciel malveillant qui infecte les appareils en utilisant différentes techniques, par exemple lorsque les victimes cliquent sur des e-mails d'hameçonnage ou téléchargent des fichiers malveillants tels que des jeux, des films ou des logiciels.

Un mot de passe maître, parfois abrégé MP, est le mot de passe que les utilisateurs finaux créent lors de l'installation et de la configuration d'un gestionnaire de mots de passe tel que Keeper. Le mot de passe maître d'un utilisateur est le seul mot de passe qu'il doit retenir. Comme il s'agit de la clé de leur coffre-fort numérique, il est essentiel qu'il soit fort et unique et que l'utilisateur ne le perde ou ne l'oublie jamais. Pour cette raison, une phrase de passe est un bon moyen de créer un mot de passe maître.

L'authentification multifactorielle (MFA) et l'authentification à deux facteurs (2FA) sont des méthodes d'authentification qui exigent que les utilisateurs fournissent deux facteurs d'authentification ou plus pour accéder à une ressource, telle qu'une application, un dossier ou un système. Pour être « éligible » en tant qu'authentification 2FA/MFA, chaque facteur de vérification doit provenir d'une catégorie de vérification différente, comme suit :

Quelque chose que vous connaissez : un mot de passe ou un code PIN, par exemple.

Quelque chose que vous possédez : comme une clé de sécurité ou une carte.

Quelque chose que vous êtes : des données biométriques, telles qu'une empreinte digitale ou une numérisation de l'iris.

Un endroit où vous êtes : votre adresse IP et votre géolocalisation. Moins fréquemment utilisé.

Un distributeur automatique de billets est un exemple d'authentification multifactorielle, car les utilisateurs doivent insérer une carte (qu'ils possèdent) et saisir un code PIN (qu'ils connaissent).

Les authentifications 2FA et MFA sont essentiellement des synonymes, la seule différence étant que la 2FA ne nécessite que 2 facteurs d'authentification, comme dans l'exemple du distributeur automatique de billets, alors que la MFA peut théoriquement en nécessiter 3 ou plus (comme une carte à puce, un code PIN et une empreinte digitale).

Norme ouverte permettant de déléguer l'accès aux informations des utilisateurs dans les applications web et sur les sites web. Utilisée par des sociétés telles qu'Amazon, Google, Facebook, Microsoft et Twitter pour permettre aux utilisateurs de partager des informations sur leurs comptes avec des applications ou des sites web tiers sans avoir à donner leurs mots de passe à ces tiers.

Un mot de passe à usage unique (OTP) ou un mot de passe à usage unique basé sur le temps (TOTP) est une chaîne de caractères générée automatiquement qui authentifie un utilisateur pour une seule transaction ou session de connexion. Les OTP peuvent être envoyés par e-mail, SMS ou via une application d'authentification. Fréquemment utilisé comme facteur d'authentification pour les systèmes 2FA/MFA.

Un TOTP fonctionne de la même manière qu'un OTP, sauf qu'il n'est valable que pendant une courte période, généralement de 30 à 60 secondes.

OpenID Connect (OIDC) est un système d'authentification RESTful reposant sur le cadre OAuth 2.0 et utilisant des JSON web tokens. Il permet à des applications tierces de vérifier l'identité des utilisateurs et d'obtenir des informations de base sur leur profil, ce qui permet une authentification unique dans plusieurs applications.

Dans une attaque pass-the-hash (PtH), un acteur de la menace vole un mot de passe haché et, sans le craquer, tente de l'utiliser pour inciter un système à créer une nouvelle session utilisateur authentifiée. L'attaque PtH est généralement utilisée pour se déplacer latéralement dans un réseau qui a déjà été compromis. Les machines Windows sont particulièrement sensibles au pass-the-hash en raison d'une vulnérabilité dans les hachages NTLM (New Technology Local Area Network Manager) qui permet aux acteurs de la menace d'exploiter des comptes de domaine compromis avec seulement le hachage du mot de passe, sans jamais avoir besoin du mot de passe réel.

Une phrase secrète est une façon simple pour les utilisateurs de créer un mot de passe fort et unique. C'est pourquoi les phrases secrètes sont souvent utilisées pour créer des mots de passe maîtres.

Pour créer une phrase secrète, l'utilisateur doit inventer une phrase qui comprend une combinaison de lettres majuscules et minuscules, de chiffres, de caractères spéciaux et de signes de ponctuation.

Exemple de phrase secrète inacceptable : « My first apartment was in Alexandria, Virginia ». Cela génère le mot de passe MfawiAV, qui est plutôt court (seulement 7 caractères) et ne comprend aucun caractère spécial ou chiffre. Un acteur menaçant utilisant un craqueur de mots de passe automatisé pourrait trouver ce mot de passe assez rapidement.

Exemple de phrase secrète acceptable : « My first apartment was at 2630 Hegal Place #42 Alexandria, Virginia 23242 ». Cela génère le mot de passe Mfawa2630HP#42AV23242, qui comporte 21 caractères et comprend des lettres majuscules et minuscules, des chiffres et un caractère spécial. Même un craqueur de mots de passe automatisé aurait besoin de plusieurs décennies pour craquer ce mot de passe !

Une attaque par force brute qui exploite le fait que de nombreux mots de passe sont assez populaires parmi les utilisateurs. Par exemple, de nombreuses personnes utilisent les lettres du clavier « azerty » ou simplement « motdepasse ». Une attaque par « Password Spraying » prend une liste de mots de passe populaires et les essaie en combinaison avec chaque nom d'utilisateur du système.

Méthode de vérification de l'identité d'un utilisateur sans utiliser de mot de passe, par des moyens tels que la biométrie, les clés de sécurité ou les mots de passe à usage unique (OTP).

Également appelée gestion des privilèges des super utilisateurs (SUPM), la gestion de l'élévation et de la délégation des privilèges (PEDM) est un sous-ensemble de PAM qui fournit aux utilisateurs non administratifs un accès temporaire aux systèmes privilégiés en fonction de limitations spécifiques. Par exemple, un utilisateur peut se voir accorder l'accès à une application particulière pour une période de temps déterminée. Après l'expiration de la limite de session, les droits d'accès de l'utilisateur sont automatiquement révoqués.

Les solutions PEDM permettent aux entreprises de bénéficier d'un accès juste à temps pour réduire le nombre d'utilisateurs disposant de privilèges administratifs.

La gouvernance des accès privilégiés (PAG) applique les règles IAM aux utilisateurs privilégiés, en veillant à ce que même l'accès des utilisateurs privilégiés respecte le principe du moindre privilège. Les processus associés à la PAG comprennent le provisionnement et le déprovisionnement automatisés des comptes, un processus d'approbation formel pour l'octroi de nouveaux accès privilégiés et des examens périodiques des comptes privilégiés afin de s'assurer que les niveaux d'accès sont toujours appropriés.

La gestion des accès privilégiés (PAM) désigne les outils et la technologie utilisés par les entreprises pour sécuriser, contrôler et surveiller l'accès à leurs informations et ressources les plus critiques, telles que les comptes administratifs locaux et de domaine.

Parfois appelée PAM-as-a-Service, la gestion des accès privilégiés en tant que service (PAMaaS) est une solution de gestion des accès privilégiés basée sur le Cloud.

Une station de travail à accès privilégié (PAW), parfois appelée station de travail à accès sécurisé (SAW), est une station de travail renforcée conçue spécifiquement et uniquement pour exécuter des tâches hautement privilégiées. Les PAW sont configurés avec des contrôles et des politiques de sécurité qui limitent l'accès administratif local et bloquent les e-mails, les outils de productivité bureautique et la navigation sur Internet. Ils sont équipés uniquement des outils absolument nécessaires à l'exécution de tâches hautement privilégiées. Cela bloque les vecteurs les plus courants des attaques de phishing ( e-mail et navigation web), réduisant ainsi considérablement le risque que la PAW soit compromise.

Un compte privilégié dispose de niveaux d'accès au réseau beaucoup plus élevés que les comptes d'utilisateurs standard. Par exemple, les comptes privilégiés peuvent être en mesure de provisionner et de déprovisionner des utilisateurs, de changer les niveaux d'accès des utilisateurs ou de modifier les configurations des systèmes ou des applications.

Les comptes privilégiés sont souvent appelés comptes administrateurs, mais tous les comptes privilégiés ne sont pas utilisés par des humains. Les comptes de service, qui sont utilisés par les applications, sont des comptes privilégiés.

En outre, le terme « compte privilégié » peut désigner un utilisateur non technique de haut niveau, tel qu'un PDG ou un directeur financier, qui a accès à des données extrêmement sensibles, telles que des dossiers gouvernementaux confidentiels, des dossiers médicaux ou des informations financières d'une entreprise.

La gestion des sessions et des comptes privilégiés (PASM) fait partie de la gestion des accès privilégiés (PAM) et permet aux entreprises de sécuriser, contrôler et surveiller les comptes utilisateurs privilégiés. Elle permet aux équipes informatiques de disposer d'une gouvernance forte sur les sessions d'utilisateurs administratifs critiques.

La gestion des identités privilégiées (PIM) fonctionne en binôme avec la PAM. Alors que la PAM fait référence aux politiques et aux solutions techniques pour gérer les comptes d'utilisateurs privilégiés, la PIM implique la gestion des ressources auxquelles les utilisateurs privilégiés peuvent accéder. Le PIM permet aux entreprises de contrôler, gérer et surveiller les autorisations d'accès des utilisateurs privilégiés à des données et systèmes spécifiques.

La gestion des sessions privilégiées (PSM) fonctionne en binôme avec la gestion des accès privilégiés (PAM) pour sécuriser l'accès aux systèmes et aux données les plus sensibles et les plus critiques d'une entreprise. Alors que la PAM se concentre sur la sécurisation des identifiants des utilisateurs privilégiés, la PSM consiste à contrôler, surveiller et enregistrer les sessions privilégiées, c'est-à-dire les actions effectuées par les utilisateurs privilégiés une fois qu'ils se sont connectés au réseau.

En plus d'empêcher les utilisateurs privilégiés d'abuser de leur accès, la PSM permet aux entreprises de respecter les règles de conformité telles que SOX, HIPAA, PCI DSS, ICS CERT, GLBA, FDCC et FISMA, qui exigent que l'activité privilégiée soit enregistrée et surveillée.

La gestion des utilisateurs privilégiés (PUM) est parfois utilisée au même titre que la gestion des accès privilégiés (PAM) et la gestion des identités privilégiées (PIM). Cependant, il existe des différences essentielles. Contrairement aux comptes PAM, les comptes PUM sont généralement partagés et ils n'utilisent pas l'authentification multifactorielle (MFA) et l'authentification à deux facteurs (2FA). Les utilisateurs accèdent aux comptes PUM avec un simple mot de passe. Par conséquent, les comptes PUM sont à éviter.

Il s'agit du processus d'établissement de l'accès des utilisateurs à des systèmes entiers ou à des applications individuelles. Un collaborateur récemment embauché bénéficie d'un accès à tous les systèmes et à toutes les applications dont il a besoin pour effectuer son travail. Un collaborateur qui se voit confier des responsabilités professionnelles supplémentaires peut avoir besoin d'un accès à d'autres applications et systèmes.

Également connu sous le nom de chiffrement à clé publique ou chiffrement asymétrique. Méthode de chiffrement des données qui utilise deux clés, une clé publique, que tout le monde peut utiliser, et une clé privée. Les données chiffrées avec la clé publique ne peuvent être déchiffrées qu'avec la clé privée, et vice versa.

PWN est un terme d'argot de hacker qui trouve son origine dans la communauté des jeux en ligne suite à une erreur d'orthographe de « owned ». (C'est pourquoi PWN se prononce comme « own » et non « pawn »). Il signifie conquérir ou dominer, par exemple en réussissant à infiltrer un compte ou un réseau.

Remote Authentication Dial-In User Service (RADIUS) est un protocole client-serveur qui permet la gestion centralisée de l'authentification, des autorisations et de la comptabilité pour l'accès aux réseaux à distance et sans fil. RADIUS s'exécute sur la couche application et permet aux entreprises de conserver les profils des utilisateurs dans un référentiel central partagé par tous les serveurs distants.

Remote Desktop Protocol (RDP) est un protocole de communication réseau propriétaire développé par Microsoft. RDP permet un accès à distance sécurisé aux postes de travail et aux serveurs. RDP peut être utilisé par des utilisateurs finaux non techniques pour accéder à distance à leurs postes de travail, ainsi que par des administrateurs informatiques et des équipes DevOps pour effectuer à distance la maintenance du système et diagnostiquer et réparer les problèmes. Grâce à une interface utilisateur graphique, les utilisateurs distants peuvent ouvrir des applications et modifier des fichiers de la même manière que s'ils étaient assis devant la machine distante.

En plus de Windows, il existe des clients RDP pour Mac OS, Linux/Unix, Google Android et Apple iOS. Il existe aussi des versions open-source du logiciel RDP.

Representational State Transfer. Une API moderne, sans état et très flexible qui définit un ensemble de fonctions, telles que GET, PUT et DELETE, que les clients peuvent utiliser pour accéder aux données du serveur. Les clients et les serveurs échangent des données au moyen du protocole HTTP.

Semblable à l'automatisation des processus d'entreprise (BPA, ou business process automation), l'automatisation robotisée des processus (RPA, ou robotic process automation) désigne un logiciel qui automatise le travail manuel et répétitif. Toutefois, contrairement aux solutions BPA, la RPA fait un usage intensif de l'intelligence artificielle et de l'apprentissage automatique afin que les robots puissent imiter les utilisateurs humains et s'adapter aux circonstances dynamiques. Par exemple, tandis que la BPA est utilisée pour envoyer une réponse automatique à un client par e-mail (comme une confirmation de commande ou d'expédition), la RPA est utilisée pour créer des chatbots interactifs capables d'analyser les demandes des clients en temps réel.

Le contrôle d'accès basé sur les rôles (RBAC), également appelé sécurité basée sur les rôles, est un modèle de contrôle d'accès dans lequel le rôle d'un utilisateur au sein d'une entreprise détermine les ressources du réseau auxquelles il peut accéder. L'objectif du RBAC est de s'assurer que les utilisateurs ne peuvent pas accéder aux systèmes et aux données qui ne sont pas liés à leurs fonctions, ce qui renforce la conformité, évite les fuites de données et, dans le cas où les identifiants d'un utilisateur sont compromis, entrave la capacité d'un acteur menaçant à se déplacer latéralement dans le réseau. Fonctionne en association avec l'accès du moindre privilège.

Security Assertion Markup Language. Une norme ouverte permettant d'échanger des données d'authentification et d'autorisation entre parties. Généralement utilisée par les fournisseurs d'identité SSO pour communiquer avec les fournisseurs de services, elle permet d'étendre le SSO à tous les domaines de sécurité et rend possible l'authentification unique par navigateur web.

Dans un environnement informatique, un secret est une donnée compacte qui doit rester confidentielle. Il est généralement utilisé par des acteurs non humains pour s'authentifier auprès de systèmes et de données hautement privilégiés. Parmi les exemples de secrets informatiques figurent les identifiants RDP, les clés SSH, les clés API et les identifiants de comptes privilégiés.

Il s'agit des outils et méthodes permettant de stocker, d'accéder et de gérer en toute sécurité les secrets de l'infrastructure dans un environnement informatique, tels que les clés API, les certificats numériques et les identifiants des comptes privilégiés. Également connue sous le nom de gestion des mots de passe d'application à application (AAPM, ou Application to Application Password Management).

Le protocole Secure Shell (SSH) est un protocole réseau cryptographique qui permet à deux ordinateurs de communiquer en toute sécurité. Le SSH a été développé pour constituer une alternative sécurisée à Telnet et aux protocoles de shell distant Unix non sécurisés, qui transmettent les données (y compris les mots de passe) en clair. SSH utilise la cryptographie à clé publique pour authentifier l'ordinateur distant et lui permettre d'authentifier l'utilisateur, et chiffre toutes les communications entre les deux ordinateurs. Les utilisations les plus courantes du SSH sont la connexion à distance et l'exécution de lignes de commande.

La sécurité en tant que service (SaaS/SecaaS, ou Security as a Service) est un modèle commercial dans lequel les entreprises externalisent des solutions et des services de cybersécurité au lieu d'utiliser des ressources internes. La SecaaS peut se résumer au déploiement d'une plateforme PAM ou IAM gérée dans le Cloud ou aller jusqu'à l'externalisation de toutes les fonctions de sécurité d'une entreprise.

Un système de gestion des informations et des événements de sécurité (SIEM) est une plate-forme logicielle qui regroupe les données de sécurité provenant de l'ensemble de l'environnement de données d'une entreprise, les analyse et signale les menaces potentielles au personnel de sécurité. Les SIEM collectent et analysent les données provenant à la fois du matériel et des applications, notamment les périphériques réseau, les serveurs et les contrôleurs de domaine.

Un dispositif physique ou logique utilisé par un utilisateur final pour prouver son identité et accéder à une ressource numérique. Les jetons de sécurité peuvent compléter les mots de passe, servir de facteur d'authentification 2FA/MFA ou remplacer les mots de passe dans une configuration d'authentification sans mot de passe.

Les jetons de sécurité physiques comprennent les cartes-clés ou les clés de sécurité (comme YubiKey). Les jetons de sécurité numériques comprennent les OTP/TOTP générés par les applications d'authentification.

La réinitialisation du mot de passe en libre-service (SSPR, ou Self-Service Password Reset) est une fonction d'automatisation des processus métier qui permet aux utilisateurs de réinitialiser leurs mots de passe sans avoir à interagir avec le personnel informatique, ce qui permet aux utilisateurs finaux et au personnel du service d'assistance de gagner du temps. Le SSPR sert généralement à réinitialiser les mots de passe perdus, oubliés ou expirés.

Un certain type de compte privilégié employé par des utilisateurs non humains, en particulier des applications. Les comptes de service sont fréquemment utilisés pour l'exécution de charges de travail sur des instances de machines virtuelles (VM), des postes de travail locaux ou dans des centres de données qui appellent des API et d'autres processus automatisés.

Les utilisateurs humains ne sont pas directement impliqués dans la création ou l'utilisation des comptes de service. En général, ils sont créés et configurés par le gestionnaire de paquets lors de l'installation du logiciel, et une application prend l'identité d'un compte de service pour appeler une API ou exécuter d'autres processus. Cette automatisation permet aux équipes informatiques de gagner du temps, mais comme les autres comptes privilégiés, les comptes de service présentent des risques majeurs en matière de cybersécurité et doivent être gérés et contrôlés de manière stricte.

Un « passkey » est une technologie moderne d'authentification sans mot de passe qui permet aux utilisateurs de se connecter à des comptes et des applications en utilisant une clé cryptographique au lieu d'un mot de passe. Un « passkey » fait appel à la biométrie (empreinte digitale, reconnaissance faciale, etc.) pour confirmer l'identité de l'utilisateur.

Sous-ensemble de la gestion des secrets, la gouvernance des comptes de service (SAG, ou Service Account Governance) fait référence aux politiques, procédures et outils technologiques utilisés pour sécuriser et gérer les comptes de service, y compris le provisionnement et le déprovisionnement, la gestion des mots de passe et la gestion des dépendances.

La gestion des mots de passe des comptes partagés (SAPM) est similaire à la gestion des utilisateurs privilégiés (PUM). Il s'agit de la gestion des comptes privilégiés partagés, que les entreprises devraient s'efforcer d'éviter, car les comptes privilégiés nécessitent une gestion et une surveillance étroites à des fins de sécurité et de conformité.

Single Sign-On (SSO) est une méthode d'authentification par laquelle les utilisateurs peuvent utiliser un seul ensemble d'identifiants pour accéder à plusieurs applications et systèmes. Si le SSO est souvent utilisé de la même manière que la gestion fédérée des identités (FIM), le SSO permet d'accéder à un domaine unique, tandis que la gestion fédérée des identités permet d'accéder à des systèmes et des applications dans plusieurs domaines.

Exemple de SSO : les collaborateurs utilisent un seul ensemble d'identifiants pour accéder à leur messagerie professionnelle, au portail RH et à d'autres ressources internes.

Exemple de FIM : les collaborateurs utilisent un ensemble d'identifiants pour accéder à des applications tierces, telles que des applications de vidéoconférence et des systèmes de tickets.

SSO et FIM sont fréquemment utilisés en conjonction l'un avec l'autre.

Une ancienne API qui n'est plus utilisée au profit de méthodes plus souples comme REST. Elle utilise le protocole Simple Object Access Protocol, les clients et les serveurs s'échangeant des messages via XML.

Gartner définit la gestion des changements et des configurations logicielles (SCCM, ou Software Change and Configuration Management) comme des outils permettant de gérer et de contrôler les versions et les configurations des logiciels. Gartner considère également que les solutions de « gestion des changements de développement, de suivi des défauts, d'automatisation des changements, de gestion des versions de développement, de gestion intégrée des tests, de gestion intégrée des constructions et d'autres processus connexes » font partie de SCCM.

Le système de gestion des identités interdomaines (SCIM, ou System for Cross-Domain Identity Management) est une norme ouverte permettant d'automatiser le provisionnement et le déprovisionnement des utilisateurs. SCIM permet d'échanger des informations sur l'identité des utilisateurs entre les domaines d'identité ou les systèmes informatiques via une API normalisée via REST, avec des données formatées en JSON ou XML. Les entreprises utilisent SCIM pour ajouter et supprimer automatiquement des utilisateurs de plateformes tierces, telles que des suites de productivité bureautique, des CRM et des systèmes de tickets, en fonction de l'arrivée et du départ des collaborateurs.

À mesure que les entreprises adoptent davantage de solutions SaaS, SCIM gagne rapidement en popularité comme alternative à LDAP. Les principaux fournisseurs d'identité, dont Azure Active Directory, prennent en charge SCIM, tout comme de nombreuses plateformes SaaS populaires, dont Microsoft Office et Google Workspace.

Transport Layer Security (TLS) et SSL (Secure Socket Layers) sont des protocoles cryptographiques qui chiffrent les données et authentifient les connexions lors du transfert de données sur l'internet.

TLS a évolué par rapport à SSL. Le protocole TLS devait initialement s'appeler SSL 3.0. Le nom a été modifié avant la publication afin de le dissocier de Netscape, la société aujourd'hui disparue qui a créé SSL. Bien que les termes TLS et SSL soient souvent utilisés de manière interchangeable, SSL n'est plus utilisé, car il contenait des failles de sécurité que TLS a été développé pour corriger.

Méthode par laquelle les utilisateurs peuvent s'authentifier auprès d'une application en utilisant un cookie signé contenant des informations sur l'état de la session. L'authentification par jeton est généralement utilisée en conjonction avec d'autres méthodes d'authentification. Dans ce cas, une autre méthode sera utilisée pour l'authentification initiale de l'identité, et l'authentification par jeton servira à la réauthentification lorsqu'un utilisateur reviendra sur un site Web ou une application.

Universal Authentication Framework (UAF) est une norme ouverte développée par l'Alliance FIDO dans le but de permettre l'authentification sans mot de passe comme facteur d'authentification principal, et non secondaire.

Universal Second Factor (U2F) est une norme ouverte qui utilise des jetons de sécurité matériels, connectés par USB ou par communication en champ proche (NFC), comme facteurs supplémentaires pour les systèmes 2FA/MFA. Initialement développée par Google et Yubico, avec la contribution de NXP Semiconductors, la norme U2F est maintenant hébergée par l'Alliance FIDO. Elle a été succédée par le projet FIDO2.

Le contrôle de compte d'utilisateur (UAC, ou User Account Control) est une fonction obligatoire de contrôle d'accès incluse dans les systèmes Microsoft Windows. L'UAC permet d'atténuer l'impact des logiciels malveillants en empêchant les utilisateurs humains, les applications et les logiciels malveillants d'apporter des modifications non autorisées au système d'exploitation. Il fonctionne en obligeant chaque application nécessitant un jeton d'accès administrateur à demander l'autorisation avant d'exécuter certains processus, comme l'installation d'un nouveau logiciel.

L'analyse du comportement des utilisateurs et des entités (UEBA) s'appuie sur l'intelligence artificielle et les algorithmes d'apprentissage automatique pour créer des références comportementales pour les utilisateurs humains, les routeurs, les serveurs et les points de terminaison dans un réseau organisationnel, puis surveille les écarts par rapport à ces références. L'exemple le plus courant de l'UEBA est celui d'une société de cartes de crédit qui gèle temporairement le compte d'un client parce que l'algorithme a remarqué un changement radical dans le comportement de l'utilisateur, par exemple un client qui passe soudainement plusieurs commandes très importantes.

Vendor Privileged Access Management (VPAM, ou gestion des accès privilégiés des fournisseurs) est un sous-ensemble de la PAM qui concerne les fournisseurs qui ont besoin d'accéder à des systèmes sensibles, par exemple un développeur tiers, un fournisseur de sécurité ou une société de paie. Les solutions VPAM garantissent que l'accès privilégié des fournisseurs respecte les mêmes restrictions que les comptes PAM de l'entreprise, telles que le principe du moindre privilège, l'accès juste-à-temps et l'enregistrement et la surveillance des sessions.

Virtual Network Computing (VNC) est un système de partage d'écran multiplateforme utilisé pour contrôler à distance les bureaux d'un autre ordinateur. Grâce à VNC, un utilisateur distant peut utiliser l'écran, le clavier et la souris d'un ordinateur comme s'il était assis en face de celui-ci.

VNC fonctionne selon un modèle client/serveur, ce qui nécessite l'installation d'un composant serveur sur la machine distante à laquelle on accède, et d'un lecteur VNC, ou client, sur le périphérique à partir duquel vous accédez à la machine distante. VNC utilise le protocole RFB (Remote Framebuffer) pour régir le format des données transmises entre le client et le serveur.

VNC est similaire à RDP, mais il fonctionne sur plusieurs systèmes d'exploitation et se connecte directement à l'ordinateur distant au lieu de passer par un serveur.

La gestion de l'accès au Web (WAM) est un prédécesseur de l'IAM très répandu dans les années 1990 et au début des années 2000. Les solutions WAM assuraient le contrôle et la gouvernance de l'accès des utilisateurs aux ressources Web hébergées localement dans les centres de données des entreprises. Les outils WAM n'ayant pas réussi à s'adapter à l'avènement de l'informatique sur le cloud, de la mobilité, des API et de l'accès à distance, ils ont été remplacés par des solutions IAM plus robustes.

WebAuthn (Web Authentication) est une API basée sur le Web publiée par le World Wide Web Consortium (W3C) et un composant clé de l'ensemble des spécifications FIDO2. WebAuthn permet aux sites Web de mettre à jour leurs pages de connexion pour ajouter l'authentification FIDO sur les navigateurs et les plateformes pris en charge.

eXtensible Access Control Markup Language. Ce langage structuré est utilisé par les solutions IAM qui prennent en charge le contrôle d'accès par attributs (ABAC), le contrôle d'accès par politique (PBAC) et d'autres mécanismes d'autorisation très complexes qui accordent des droits d'accès en fonction d'un ensemble d'attributs utilisateur granulaires qui fonctionnent ensemble.

La connaissance nulle (zero knowledge) est un modèle de sécurité qui utilise un cadre unique de chiffrement et de séparation des données qui protège contre les violations de données à distance en garantissant que les fournisseurs de services informatiques n'ont aucune connaissance des données des clients stockées sur leurs serveurs.

Dans un environnement à connaissance nulle, les données sont chiffrées et déchiffrées au niveau du périphérique, et non du serveur. Le serveur ne reçoit ni ne stocke jamais de données en clair, et le prestataire de services informatiques ne peut pas accéder aux clés de chiffrement du client. Par conséquent, personne d'autre que le client ne peut accéder aux données non chiffrées, pas même les collaborateurs du fournisseur de services informatiques.

Keeper Security est un fournisseur de sécurité à connaissance nulle. Les données sont chiffrées sur l'appareil de l'utilisateur avant d'être transmises et stockées dans le coffre-fort numérique de Keeper. Lorsque les données sont synchronisées avec un autre appareil, elles restent chiffrées jusqu'à ce qu'elles soient déchiffrées sur l'autre appareil. Keeper ne peut pas accéder aux mots de passe maîtres de ses clients, ni aux clés de chiffrement des clients pour déchiffrer leurs données.

Un environnement IAM moderne qui part du principe que tous les utilisateurs et appareils peuvent potentiellement être compromis, et que toute personne, humaine ou machine, doit être vérifiée avant de pouvoir accéder au réseau, et doit avoir un accès de moindre privilège aux ressources du réseau.

Le Zero Trust Network Access (ZTNA), soit l'accès zero-trust au réseau, est un cadre de sécurité réseau qui se concentre sur le maintien de contrôles d'accès et de mécanismes d'authentification stricts, que les utilisateurs ou les appareils se trouvent à l'intérieur ou à l'extérieur du périmètre du réseau.

Également connus sous le nom de « Resident Keys » (ou clés résidentes), les « Discoverable Credentials » permettent à l'API WebAuthn de garantir une authentification multifactorielle hautement sécurisée et une connexion sans mot de passe.

Dans une configuration d'authentification « traditionnelle », les identifiants de l'utilisateur sont stockés sur le serveur de la partie utilisatrice. Le serveur doit donc renvoyer les identifiants à l'authentificateur avant que celui-ci ne puisse les déchiffrer et les utiliser. Par ailleurs, l'utilisateur doit saisir un nom d'utilisateur, et généralement un mot de passe, pour vérifier son identité.

Dans une configuration « Discoverable Credentials », la clé privée de l'utilisateur et les métadonnées associées sont stockées sur l'authentificateur et non sur le serveur de la partie utilisatrice. Au cours du processus d'inscription initial, le serveur de la partie utilisatrice génère un identifiant utilisateur contenant un identifiant unique. Cet identifiant, ainsi que la clé privée, sont stockés sur l'authentificateur.

Ensuite, lors du processus d'authentification, l'authentificateur renvoie l'identifiant de l'utilisateur, permettant au serveur de rechercher l'utilisateur associé, sans que celui-ci ait à saisir son nom d'utilisateur pour se connecter. Si l'authentificateur prend également en charge la vérification du code PIN ou la vérification biométrique, la partie utilisatrice obtient une authentification multifactorielle hautement sécurisée en une seule étape de connexion, sans qu'aucun mot de passe ne soit transmis.

L'attestation fait référence à la preuve de quelque chose. L'ensemble des spécifications de sécurité FIDO 2.0 utilise l'attestation pour fournir une preuve cryptographique du modèle d'authentifiant à la partie utilisatrice, qui peut ensuite en déduire les caractéristiques de sécurité de l'authentifiant.

Avec FIDO 2.0, les déclarations d'attestation sont liées à des données contextuelles. Les données sont observées et ajoutées au fur et à mesure qu'une demande de signature passe du serveur à l'authentificateur. Pour vérifier une signature, le serveur compare les données qu'il reçoit aux valeurs attendues.

Dans le contexte de FIDO 2.0, une partie utilisatrice est un site web ou toute autre entité qui utilise le protocole FIDO pour authentifier directement les utilisateurs.

Dans les cas où FIDO est associée à des protocoles de gestion des identités fédérées, tels que SAML et OpenID Connect, le fournisseur d'identité est également une partie utilisatrice de FIDO.