L’automatisation robotisée des processus, aussi appelée RPA (Robotic Process Automation), est une technologie de création de « robots logiciels » capables de remplacer ou de réduire l’interaction humain avec des systèmes informatiques. Cette technologie, pas nouvelle au demeurant (les premières technologies de RPA remontent à 1981) explose depuis quelques années au point de devenir aujourd’hui une mégatendance croissante. La RPA a en effet un impact majeur dans tous les secteurs alors que bon nombre de personnes ignorent à quel point cette technologie est courante et ne se doutent peut-être pas qu’elles interagissent régulièrement avec elle.
Selon Gartner, 90 % des entreprises dans le monde l’auront adoptée d’ici 2022. Rien qu’au cours des deux dernières années, plus d’1,8 milliard de dollars a été investi dans la RPA.
Le passage au télétravail, un énorme accélérateur pour la RPA
Depuis un an, des entreprises issues de tous les secteurs d’activité ont mis en œuvre une forme quelconque de RPA pour simplifier leurs opérations et faire face à l’afflux de demandes. Par exemple, lorsque les grandes compagnies aériennes ont été bombardées de demandes d’annulation au début de la pandémie, la RPA est devenue une composante essentielle de leur stratégie de service client.
Le Cabinet Forrester expliquait récemment qu’une grande compagnie aérienne avait reçu plus de 120 000 demandes d’annulation au cours des premières semaines de la pandémie. En utilisant la RPA pour gérer la multitude d’annulations, elle a pu simplifier sa procédure de remboursement et aider rapidement les clients. Face à une demande aussi élevée, il aurait été extrêmement difficile, voire impossible, de mettre en place ce type de processus d’annulation rationalisé sans la technologie RPA.
Les nombreux autres cas d’utilisation de la RPA apparus depuis la pandémie de Covid‑19 ont montré que cette technologie n’était pas près de disparaître. L’intérêt pour la RPA a même atteint un niveau sans précédent. Gartner a ainsi enregistré une hausse de plus de 1 000 % des demandes de renseignements sur la RPA en 2020 et les entreprises continuent d’investir dans cette approche.
Une question cruciale est cependant généralement négligée en matière de RPA : la sécurité
Comme cela a été le cas avec d’autres innovations, l’aspect sécuritaire de la RPA n’est pas implémenté dès les premières étapes du développement (nous entendons parler par exemple de « security-by-design » pour les objets connectés, les développements applicatifs, etc.), d’où une vulnérabilité des entreprises aux cybercriminels.
À moins d’un traitement rapide des vulnérabilités associées à la RPA, il faut s’attendre à une vague de failles significatives de sécurité en 2021. Toutefois, si les entreprises réalisent que ces nouveaux « collaborateurs numériques » ont leur propre identité, elles seront en mesure de sécuriser la RPA avant qu’une faille de sécurité majeure ne fasse les gros titres.
Comprendre l’identité numérique de la RPA
Avec la RPA, des collaborateurs numériques sont créés pour accomplir des tâches manuelles répétitives auparavant dévolues aux humains. Dans leur interaction directe avec les applications métiers, les robots utilisent leurs identifiants et privilèges de la même manière que des humains, ce qui leur confère une identité propre. Une identité qui est créée et fonctionne beaucoup plus rapidement que toute identité humaine, mais qui ne mange pas, ne dort pas, ne prend pas de vacances, ne fait pas grève et n’est même pas rémunérée.
Afin de mener à bien leurs tâches, les collaborateurs numériques doivent avoir accès à une grande diversité de réseaux, de systèmes et d’applications. De nombreuses entreprises oublient néanmoins que le type d’accès qui leur est accordé expose au grand jour leurs atouts les plus précieux : les identifiants à privilèges. Et alors que le rapport DBIR de Verizon estime que 53 % des failles au niveau mondial sont dues à la compromission d’identifiants à privilèges, la RPA est encore plus vulnérable à une faille que ses homologues humains car elle bénéfice la plupart du temps d’un accès non contrôlé et illimité…
Pour éviter ce risque, les entreprises doivent étendre la gouvernance des identités et les processus de gestion des accès à privilège à leurs collaborateurs numériques. Aujourd’hui, certaines divisions d’entreprise créent des dossiers d’employés semblables à ceux de vrais salariés du point de vue des ressources humaines. L’objectif est de « tromper » les processus existants de recrutement, de changement de poste et de départ des collaborateurs, ainsi que les contrôles de sécurité dédiés à la gestion des comptes.
Cette approche empêche les contrôles existants d’atténuer les risques, en particulier ceux liés à l’accumulation graduelle de privilèges, aux comptes orphelins, aux attributs erronés sans signification ni contexte, à la divulgation des mots de passe et des secrets, et à l’absence de propriété clairement définie.
RPA et problèmes d’identité
La résolution d’un problème passe par sa reconnaissance. Réaliser que les nouveaux collaborateurs numériques possèdent une identité est une première étape très importante pour assurer l’avenir de la RPA.
Une fois qu’une entreprise découvre pour la première fois le ROI potentiel de la RPA en termes de gain de productivité, rien ne peut freiner son investissement dans cette technologie, pas même une conscience aiguë des risques de sécurité encourus. De nombreuses solutions de sécurité compromettent les avantages de la RPA, car trop coûteuses à déployer et à intégrer. Mais préserver le retour sur investissement lorsque des auditeurs de sécurité frappent à sa porte peut se révéler difficile pour l’entreprise.
Actuellement, les solutions RPA ont vocation à accroître la productivité, pas à résoudre les problèmes de sécurité. Des solutions de sécurité tierces doivent par conséquent être intégrées pour fournir les contrôles nécessaires à l’atténuation des risques. Parmi ces contrôles, le plus simple à appliquer est la gestion des accès à privilèges (PAM).
Avec un système PAM capable de se connecter aux systèmes RPA, les entreprises peuvent sécuriser, contrôler et auditer efficacement les identifiants et les privilèges utilisés par les robots. En choisissant une solution PAM facile à déployer et à intégrer, il est possible d’y parvenir sans compromettre le retour sur investissement du programme RPA ni la productivité.
Une société internationale de sécurité privée a pu constater les avantages de cette approche après avoir investi dans une solution RPA. Avec plus de 160 000 employés dans le monde, l’ajout de collaborateurs numériques a permis au personnel en place de consacrer davantage de temps à des tâches à plus grande valeur ajoutée.
Grâce à l’implémentation d’un système PAM parfaitement intégré à sa solution RPA existante, l’entreprise a même réussi à automatiser le contrôle des accès à privilèges de ses collaborateurs numériques.
Désormais, lorsque ses collaborateurs numériques ont besoin d’un accès à privilèges, ils peuvent automatiquement récupérer leurs identifiants à partir du système PAM, sans que les propriétaires ou les développeurs de ces robots en soient informés. Résultat : une piste d’audit complète permettant de savoir quels collaborateurs numériques ont eu accès à quelles applications, mais aussi l’établissement d’une responsabilité individuelle et l’impossibilité pour quiconque de se procurer un mot de passe de manière illégitime. Grâce à ce système, l’entreprise a augmenté ses effectifs numériques dans 14 divisions en seulement deux ans, soit l’équivalent de 350 000 heures de travail, sans risque pour la sécurité.
L’avenir des collaborateurs numériques
Tout au long de l’année 2021, les équipes de sécurité prendront peu à peu conscience des problèmes de sécurité de la RPA jusque-là négligés. Tous auront la même origine : les identités.
La sécurité des identités des utilisateurs est aujourd’hui l’un des principaux éléments de préoccupation pour les responsables sécurité, et les identités non-humaines des robots doivent être intégrées au même titre dans la stratégie de sécurité de l’entreprise. Mais pour cela, il faut comprendre comment les robots sont créés dans l’entreprise ? Comment leurs comptes sont-ils créés, utilisés et supprimés ? Qui contrôle l’activité des robots et comment savoir si un robot a été compromis ?, etc.
Il est coutume de dire que la cybersécurité doit être vue comme un enjeu stratégique pour le business de l’entreprise (plutôt qu’un frein au business). C’est tout à fait vrai avec la RPA : lorsqu’elle n’est pas sécurisée, la RPA peut rendre le système d’information extrêmement vulnérable… A l’inverse, adopter la RPA, en sécurité, c’est s’ouvrir des opportunités considérables.
___________________
Par Hicham Bouali, Directeur Avant-Ventes de la société One Identity