Aujourd’hui, c’est la deuxième édition de la « Journée de la gestion de l'identité ». L’initiative lancée en 2021 par l'Identity Defined Security Alliance (IDSA) dédie chaque deuxième mardi d'avril à l’éducation des responsables et décideurs informatiques sur des notions fondamentales de la gestion des identités et des accès (ou IAM pour Identity Access Managers) comme la gouvernance, les pratiques, les technologies, les outils et les stratégies.
La gestion des identités et des accès en chiffres
Avoir une gestion des identités et des accès efficace, c’est plus essentiel que jamais. Les pirates et les utilisateurs internes malhonnêtes se tournent de plus en plus vers les comptes privilégiés, parce que c’est là qu’ils y trouvent « le saint Graal », c'est-à-dire les données confidentielles utilisées pour commettre des vols d'identité et les vendre sur le Web caché.
Malgré les risques et les coûts auxquels elles sont exposées, plusieurs organisations, dont les PME, ne sont pas proactives face au problème. Notre enquête sur le portrait de la cybersécurité dans les PME en 2021-2022 a révélé que 52 % d’entre elles ont subi une cyberattaque au cours de l'année dernière et que 10 % ont subi 11 cyberattaques ou plus. Malgré ces chiffres, 61 % des PME ne surveillent toujours pas les comptes privilégiés dans leur organisation et 20 % des PME utilisent encore des méthodes peu sécurisées pour stocker leurs mots de passe (des feuilles de calcul, des documents ou des bouts de papier, par exemple). Comme le soulignait l'Identity Management Institute dans un rapport :
Les cybercriminels sont constamment à la recherche de nouvelles méthodes. Le marché (de l'IAM) doit donc rester à l’affût pour suivre le rythme. Récemment, une série de brèches majeures a encore démontré que les systèmes supposément sûrs sont étonnamment vulnérables... De nombreuses entreprises explorent aussi des stratégies IAM au-delà de l'authentification de base et de la gestion des accès. Elles cherchent à revoir leurs processus pour mieux automatiser leurs opérations et sécuriser leurs portefeuilles de données critiques. Les dirigeants et professionnels de l’informatique doivent répondre à des exigences élevées et les technologies IAM qui fournissent de telles solutions sont en demande plus que jamais.
Comprendre la gestion des identités et des accès
Les entreprises doivent tirer profit de la gestion des identités et des accès pour renforcer leur sécurité informatique et réduire le risque d'une faille potentiellement catastrophique. (Rappelez-vous que le coût moyen d'une seule violation de données a grimpé au niveau record de 4,24 millions de dollars US par incident.) Elles ne doivent toutefois pas tomber dans le panneau : la gestion des identités et la gestion des accès, ce n'est pas la même chose. Oui, il y a des similitudes, mais ce sont bel et bien deux concepts différents.
●,La gestion de l'identité combine des éléments et des entrées dans une base de données centralisée pour créer une désignation unique à chaque utilisateur. Ces désignations sont surveillées, modifiées et supprimées si nécessaire pour renforcer la sécurité tout en accordant aux utilisateurs finaux les autorisations dont ils ont besoin pour effectuer leurs tâches.
●,La gestion des accès détermine si les utilisateurs finaux ont l'autorisation d'accéder aux réseaux, ressources, applications, bases de données, etc. Ce concept englobe l'ensemble des politiques, processus, méthodes, systèmes et outils nécessaires pour maintenir un accès privilégié dans un environnement numérique.
Pour faire simple, la gestion de l'identité s'intéresse à qui est l’utilisateur final tandis que la gestion de l'accès s'intéresse à ce qu'il est autorisé à faire.
Les problèmes liés à l’application de la gestion des identités et des accès
Comme mentionné dans notre dernier article sur le sujet, un des problèmes importants auquel plusieurs entreprises sont confrontées lorsqu'elles tentent d'établir et d'appliquer une gestion des identités et des accès, c’est que certaines technologies (comme les systèmes hérités, les téléphones et les appareils photo) ne peuvent pas utiliser un système centralisé. Sur papier, on pourrait penser que c’est possible de créer et entretenir manuellement des comptes d'identité uniques pour chaque utilisateur. Dans la réalité, ce n’est pas pratique (pour les petites entreprises), voire impossible (pour les grandes entreprises).
Vous vous dites : pourquoi ces entreprises ne pourraient-elles pas éliminer les comptes privilégiés partagés entre les rôles, les équipes et les groupes pour éviter le problème? La raison, c’est que certains comptes privilégiés sont essentiels, comme :
●,Les comptes d'administrateur de domaine;
●,Les comptes d'administrateurs locaux;
●,Les comptes d'accès d'urgence;
●,Les comptes d'application;
●,Les comptes système;
●,Les comptes de service du domaine.
La solution : Le PAM
La meilleure réponse à ce problème, c’est de mettre en place une solution de gestion des accès privilégiés (PAM ou Privileged Access Management) qui comble efficacement le fossé entre la gestion des identités (authentification des utilisateurs finaux) et la gestion des accès (octroi des autorisations appropriées aux utilisateurs finaux).
Le système PAM élargit la protection d’un système de gestion des identités et des accès dans un espace d'identité non fédéré à l’aide de fonctionnalités intégrées telles que :
●,Un coffre qui stocke les mots de passe (et autres données sensibles comme les codes d'alarme des bâtiments, les clés de licence des logiciels, etc.), et qui est partagé en toute sécurité entre plusieurs utilisateurs finaux.
●,La vérification du compte, qui permet aux administrateurs système d'accorder ou de refuser une demande d'accès au cas par cas et, si nécessaire, de fixer des limites de temps.
●,Des notifications qui alertent les administrateurs système lorsque certains événements ou actions ont lieu concernant les utilisateurs finaux, les rôles, les coffres, etc.
●,La rotation obligatoire et automatisée des mots de passe pendant l'enregistrement.
●,La rotation obligatoire et automatisée des mots de passe à une date/heure programmée.
●,La découverte de comptes qui scanne et identifie automatiquement les comptes privilégiés à partir d'un fournisseur Active Directory pour qu'ils soient mis à jour, surveillés ou supprimés (plus d'informations à ce sujet ci-dessous).
●,Le courtage de comptes qui automatise les flux de travail (par exemple, ouvrir un client VPN, lancer un protocole d'accès à distance et accéder à un compte privilégié) sans devoir fournir les mots de passe aux utilisateurs finaux.
●,L'enregistrement de l'activité de la session qui est essentiel pour les organisations qui ont des sous-traitants et des vendeurs tiers.
Utiliser une solution PAM pour la découverte de comptes
Des recherches ont montré que 88 % des organisations ayant plus d'un million de dossiers n'ont pas de limites d'accès appropriées et que 58 % des organisations ont plus de 100 000 dossiers accessibles à tous les employés. Les fournisseurs d'identification autonomes comme les systèmes de gestion des identités et des accès, les bases de données, les équipements réseau et les serveurs doivent être interrogés pour découvrir les comptes. Un système PAM découvre automatiquement les comptes privilégiés pour qu'ils puissent être mis à jour, surveillés ou supprimés.
Les tendances en gestion des identités et des accès
Pour aider les gestionnaires TI et les décideurs à faire évoluer leurs feuilles de route et leur architecture de gestion des identités et des accès, Gartner a repéré six tendances à surveiller en 2022 :
1. L'informatique connectée en tout temps va renforcer le besoin d'un contrôle d'accès plus intelligent.
Avec la pandémie est arrivée l'ère du télétravail. Depuis, les déploiements de gestion des accès qui savent faire la différence entre les utilisateurs légitimes, les pirates ou les bots malveillants sont en demande plus que jamais. À ce sujet, Gartner recommande aux organisations de :
●,Intégrer la prise en charge de plusieurs options pour les accès utilisateur, les accès aux appareils et à plusieurs générations d'actifs numériques dans une infrastructure d'identité moderne et flexible (tissu d'identité).
●,Mettre en œuvre les meilleures pratiques, comme l'authentification multifacteur, l’approche « zéro privilège permanent » et l'architecture Confiance zéro.
●,Tirer profit du contrôle d'accès adaptatif (c’est-à-dire un contrôle d'accès sensible au contexte qui équilibre la confiance et les risques d'accès), en tant qu'élément central de l'architecture Confiance zéro.
2. Améliorer l'expérience utilisateur sera essentiel pour sécuriser les entreprises numériques.
On observe de plus en plus un lien entre l’expérience positive de l'utilisateur final et l'augmentation de la satisfaction globale des clients. Autrement dit, plus les employés sont heureux, plus les clients seront heureux, ce qui, au final, augmente l'avantage concurrentiel, la croissance et la rentabilité. À ce sujet, Gartner recommande aux organisations de :
●,Créer une stratégie cohérente pour tous les utilisateurs externes (consommateurs, clients commerciaux et partenaires). Par exemple : aligner les priorités de gestions des identités et des accès sur les priorités commerciales et informatiques, unifier les données de profil des clients, etc.
●,Appliquer une approche de Confiance zéro à la chaîne d'approvisionnement numérique de l’entreprise. Par exemple : assurer la sécurité de bout en bout et la protection de la confidentialité des données des clients et d'autres ressources de l'écosystème numérique.
●,Responsabiliser les utilisateurs privilégiés sans sacrifier la sécurité en créant une identité qui authentifie ceux qui sont à distance chaque fois qu'ils ont l'intention d'effectuer des tâches administratives ou des opérations privilégiées. Utiliser ensuite un compte partagé contrôlé par une solution PAM.
3. Les clés, les secrets, les certificats et les machines nécessiteront plus d'attention.
Le nombre d’appareils et leur utilisation dans les environnements hybrides et multinuages est en constante évolution. Les entreprises doivent donc revoir leurs stratégies de gestion des identités et des accès. À ce sujet, Gartner recommande de :
●,Mettre en place une équipe fusion qui rassemble les exigences, assure la direction, définit la propriété, énonce des directives et fixe des attentes raisonnables.
●,Identifier l’ensemble des appareils utilisés par l’entreprise et de les classer par catégories et type de travail.
●,Trouver des moyens organisationnels et techniques qui permettent aux équipes de gestion des identités et des accès d'intégrer les outils des autres équipes.
4. De nouvelles applications et API seront nécessaires pour tirer profit des directives de développement en gestion des identités et des accès.
Comme le précisait le responsable de la sécurité informatique et membre du conseil d'administration de DATAVERSITY Nathanael Coffing : « Les entreprises changent rapidement d’infrastructures d'applications pour créer de nouveaux modèles d’affaires et améliorer la connectivité des clients et des partenaires. Bien que ces avancées offrent plusieurs possibilités en matière d'innovation, la distribution d'applications infonuagiques modernes, l'utilisation croissante des API et l'informatique sans serveur augmentent également les cybermenaces et les risques. » Pour y faire face, Gartner recommande de:
●,Établir des contrôles d'accès API en définissant des stratégies d'application informées par les acteurs concernés (les développeurs, DevOps, le nuage, la sécurité et la gestion des identités et des accès, par exemple).
●,S’assurer que les nouvelles applications de toutes les sources soient développées et mises en œuvre en toute sécurité avec un contrôle d'accès API, une découverte des API et une protection contre les menaces liées aux API.
●,Assurer une cohésion sur l'ensemble du cycle de vie des applications en améliorant la coordination entre les équipes d'acquisition de logiciels (centrales et divisionnaires) et les équipes de gestion des identités et des accès.
5. Le nuage hybride et le multinuage vont constamment modifier l'architecture de la gestion des identités et des accès.
Parce qu’elles transfèrent encore plus de biens numériques vers des environnements multinuages décentralisés et opèrent dans des environnements informatiques hybrides, les entreprises devront ajouter des contrôles automatisés fiables. À ce sujet, Gartner recommande de :
●,Intégrer des solutions de gouvernance et d'administration des identités (IGA ou integrate identity governance and administration), des solutions PAM et des solutions de gestion des droits de l'infrastructure en nuage pour gérer et gouverner de manière cohérente les identités et les autorisations dans tous les environnements.
●,Établir un cadre de travail unique pour la gestion des identités et des accès multinuages qui centralise certaines fonctions, mais laisse aussi de la place aux outils natifs.
6. Les fonctions IGA vont évoluer pour permettre l’architecture décentralisée.
La vitesse à laquelle la numérisation et l'adoption du nuage se fait signifie que les entreprises doivent faire évoluer leurs capacités de gouvernance et d’administration des identités pour s'aligner sur une architecture de maillage de cybersécurité, mais aussi pour ajouter la prise en charge des identités dans les environnements informatiques hybrides, des identités dans plusieurs plateformes infonuagiques et des identités des appareils. À ce sujet, Gartner recommande de :
●,Établir une infrastructure de connecteurs basée sur des normes dans plusieurs environnements informatiques pour établir qui a accès à quoi, peu importe où se trouvent les ressources et les utilisateurs.
●,Établir une meilleure gestion et organisation des politiques d'accès.
●,Utiliser les analyses d'identité du nuage pour assurer une gouvernance continue.
Le mot de la fin avec notre VP Solutions d'affaires Maurice Côté
Partout dans le monde, les gouvernements établissent de nouvelles références et meilleures pratiques en matière de sécurité de l'information. Il y a cinq ans, les polices d'assurance se renseignaient sur les gestionnaires de mots de passe. Aujourd’hui, elles se tournent vers les solutions PAM.
Pour plusieurs petites entreprises, les solutions de gestion des identités et des accès complètes et de haut calibre sont hors de portée. Toutefois, rien ne les empêche de prendre des mesures et de mettre à jour leurs pratiques. Un simple système de tickets est une grande amélioration par rapport aux demandes ponctuelles.
Une solution comme Remote Desktop Manager peut aussi être d'une grande aide, parce qu’elle retire les comptes de l'équation pour permettre aux entreprises de contrôler qui peut accéder aux divers appareils. Le module PAM de Devolutions Server va encore plus loin étant donné qu’il gère le cycle de vie des comptes privilégiés et permet aux entreprises de créer des comptes ayant une portée beaucoup plus étroite (par rapport aux comptes d'administrateur plus accessibles).