L’identité : désormais en première ligne pour la sécurité du monde digital

Gestion des risques par le biais de l’identité

Dans le cadre de l’enquête européenne sur la sécurité 2019 d’IDC, nous avons demandé à 700 RSSI européens quels étaient les principaux bénéfices permis par la sécurité. La première réponse, citée par 45 % des personnes interrogées, était l’optimisation de la gestion des risques. L’enquête demandait également aux participants de hiérarchiser leurs préoccupations en matière de sécurité : la gestion des utilisateurs, des identités et des accès arrivait en deuxième position, derrière la culture de la sécurité et la sensibilisation (un sujet large qui revient dans toutes les discussions sur la sécurité).

Comment les solutions de gestion des identités peuvent-elles répondre aux problèmes de sécurité et apporter les bénéfices attendus par les entreprises ? L’identité est intrinsèquement liée aux risques, et sa gestion permet aux entreprises de gérer ces risques de manière globale. L’authentification est la première étape pour déterminer les droits d’accès. L’application de contrôles d’accès et d’authentification est essentielle pour garantir la confidentialité des données, une considération essentielle en matière de stratégie digitale et de conformité, tout particulièrement à l’ère du RGPD. Outre les pénalités imposées par le législateur, une violation des systèmes et des données aura également un impact sur l’activité et la réputation de l’entreprise. Une authentification rigoureuse et des contrôles d’accès successifs peuvent limiter les dommages et les fuites de données, même lorsqu’un pirate parvient à pénétrer dans le réseau.

Toute stratégie d’identification nécessite le soutien du conseil d’administration/de l’équipe dirigeante, ce qui signifie que l’équipe de sécurité doit fournir des KPI et des métriques que la direction peut comprendre. D’après les données d’IDC, trois des sept principaux KPI en matière de sécurité sont axés sur le risque : les actifs à risque, le risque lié aux partenaires et la valeur du risque réduit. Ces indicateurs de risque aident l’équipe de sécurité à quantifier la valeur des investissements dans l’IDT (Identify and Digital Trust) dans le contexte du ROI de l’entreprise. Une compréhension des enjeux liés à l’absence d’action de la part des utilisateurs dans le process des contrôles d’identité et d’accès permettra d’avoir une approche plus proactive.

Cela permettra également de discuter de la politique et de la gouvernance en matière de sécurité, notamment de l’importance des bonnes pratiques en matière de sécurité, deux domaines qui devraient faire partie intégrante de toute stratégie d’identification et même de toute stratégie de transformation digitale.

Identité et plateforme digitale

Connaissez-vous une entreprise sans stratégie de transformation numérique (DX) ? Non ? Moi non plus. Et une entreprise qui n’a pas pris en compte la sécurité dans sa stratégie de transformation digitale ? Euh oui, le problème est là. Selon une étude d’IDC, la transformation digitale est une priorité pour 90 % des entreprises européennes. Pour ces entreprises, cela signifie l’adoption d’une plateforme digitale qui permet la collecte, le traitement, l’analyse et la transmission des données pour prendre des décisions, générer des idées et développer des produits et services digitaux pour ses clients.

Et maintenant vous vous dites qu’il vous manque peut-être quelque chose…

Pas de panique ! La plupart des entreprises ont déjà ce qu’il faut : lorsque vous créez des écosystèmes pour favoriser les engagements respectifs avec vos partenaires et fournisseurs ou que vous intégrez votre technologie informatique (IT) et opérationnelle (OT) pour développer des fonctionnalités de maintenance prédictive, vous développez déjà votre plateforme digitale. Le schéma ci-dessous est un modèle conceptuel de ce fonctionnement. Alors, où l’identité entre-t-elle en jeu ?

Schéma : plateforme digitale IDC

Dans ce modèle, les données et les ressources essentielles sont présentes tout au long du projet, depuis les offres crées et développés au cœur du système jusqu’aux données clients et marchés recueillies et analysées à partir des engagements de l’entreprise et de son écosystème. La plateforme digitale doit être sécurisée pour protéger ces ressources. L’identité constitue l’un des piliers fondamentaux pour y parvenir.

Un nouveau périmètre

À l’ère de la transformation digitale, alors que les entreprises adoptent les technologies Cloud et mobiles et construisent des supply chain et des écosystèmes digitaux, le périmètre e sécurité traditionnelle qui protège les ressources digitales de l’entreprise est devenu obsolète. L’identité est la seule constante de ce nouveau paradigme, et elle permet d’appliquer un nouveau plan de contrôle pour sécuriser ces ressources.

Toutes les identités des utilisateurs doivent être vérifiées à l’aide de mécanismes d’authentification appropriés. L’accès doit être accordé (ou non) en fonction du contexte, des rôles et des autorisations doivent être données selon l’utilisateur et la ressource, et le cycle de vie de la session d’authentification doit être géré. Lors d’un récent forum RSSI auquel j’ai assisté, les RSSI devaient indiquer les trois éléments de sécurité les plus importants qu’ils souhaitaient mettre en œuvre. Presque tout le monde a répondu « l’authentification multifactorielle à tous les niveaux ». Cela peut être difficile à appliquer dans l’ensemble de l’entreprise et pour tous les clients et partenaires, mais l’idée est claire : c’est uniquement en authentifiant de manière rigoureuse les identités pour tous les processus et transactions que nous pouvons obtenir le contrôle et la sécurité souhaités pour notre business.

Outre l’authentification, les cycles de vie des identités doivent également être gérés. Un problème récurrent dans l’espace d’identité consiste à approuver ou à révoquer les informations d’identification lorsqu’un utilisateur change de rôle ou quitte l’entreprise, c’est-à-dire les « transferts » et les « départs ». Les solutions de gestion des identités répondent à ce défi, en gérant l’ensemble du cycle de vie des identités, depuis la création jusqu’à la fermeture du compte, en passant par sa gestion continue. Ce qui limite les risques liés aux anciens comptes qui peuvent rester ouverts. Les contrôles d’identité peuvent également être un moyen, via des analyses comportementales, d’identifier et de traiter les menaces internes. Cela permet de détecter les activités malveillantes et déclencher des vérifications supplémentaires ou de bloquer les accès.

L’identité devient stratégique

Il est évident que l’identité est devenue essentielle à l’ère digitale. Authentification multifactorielle, gestion du cycle de vie des identités, authentification unique (SSO), accès fédéré, accès selon les rôles, contrôles contextuels : toutes ces solutions et ces processus peuvent permettre aux entreprises d’utiliser les identités dans le cadre d’un nouveau plan de contrôle. Chaque organisation doit évaluer les domaines concernés, en fonction des évaluations des risques qu’elle peut supporter. L’adoption d’une plateforme d’identité, une suite intégrée d’outils de gestion des identités et des accès, offre un moyen efficace de déployer et d’appliquer les outils et contrôles requis, où et quand ils sont nécessaires. Fondamentalement, cela permet aux entreprises de se servir de l’identité comme nouveau périmètre de sécurité.

Chaque entreprise doit réévaluer sa panoplie de gestion des identités et des accès : avons-nous des outils devenus inefficaces ou qui ne sont plus adaptés à l’objectif en raison de l’évolution de l’architecture ? Existe-t-il des produits qui ne s’intègrent pas bien à la nouvelle infrastructure ? Un investissement dans une solution IDT moderne permettrait-il d’offrir davantage de fonctionnalités et donc un bénéfice plus important à l’entreprise ? Le marché de l’IDT a connu une évolution spectaculaire ces dernières années : les entreprises peuvent maintenant en profiter.

Mark Child

Responsable de la recherche en sécurité, IDC Europe

Leave a Reply