Vous êtes-vous déjà demandé qui avait accès à quoi parmi vos différents systèmes et applications ? Les actualités semblent annoncer des violations de données avec une telle régularité que ce phénomène est fatalement devenu une préoccupation commune. Au-delà des violations de données les plus médiatisées comme Ashley Madison, nombreuses sont celles qui restent méconnues, et nous en recensons plus de quatre par jour en moyenne.
Vous êtes exposé à un risque, quelle que soit la taille de l’entreprise dont vous devez assurer la sécurité. L’an dernier, plus de 1 400 pertes de données ont été recensées, entraînant la publication de plus de 169 millions de fichiers. Un élément commun relie tous ces événements : une personne au sein de l’entreprise a fait quelque chose qu’elle n’aurait pas dû faire.
Le facteur humain
Désormais, la sécurité des réseaux ne suffit plus, comme l’a démontré l’ampleur des violations de l’année écoulée. Le périmètre dans lequel nous gardions nos informations à l’abri s’est effrité. Au lieu d’attaques frontales ou d’injections SQL, qui étaient la norme, les intrus ont commencé à se tourner vers le piratage psychologique comme principal angle d’attaque, ce qui leur permet de susciter une brèche au sein même de nos organisations. Les e-mails par hameçonnage et tous les autres moyens par lesquels les personnes diffusent des informations involontairement représentent aujourd’hui l’une des plus grandes menaces pour les entreprises.
Un nombre croissant de points d’exposition
Les entreprises réalisent quotidiennement des transactions avec de nombreux utilisateurs internes et externes qui ont accès à leurs systèmes et à leurs données : employés, sous-traitants, fournisseurs, partenaires commerciaux et clients. Si l’on prend en considération le volume considérable constitué par les utilisateurs, les applications et les différents niveaux d’accès aux données, il n’est pas difficile d’imaginer qu’une entreprise puisse facilement se retrouver à gérer plus d’un milliard de points d’accès. Ces points d’accès sont tous des points d’exposition potentiels. Sur ce milliard de points d’exposition, il suffit qu’un seul d’entre eux ne soit compromis pour entraîner des dommages considérables.
Par conséquent, l’axe de sécurité sur lequel les entreprises doivent porter toute leur attention est le facteur humain et il semblerait qu’elles aient encore du mal à le maîtriser. Que ce soit de façon intentionnelle ou involontaire, le personnel est à l’origine de la proportion la plus importante de violations de données et de même, sont responsables des plus importantes violations observées. Et à mesure que les pirates informatiques développent leurs stratégies, de plus en plus de violations de données se produiront, causées par des actions que le personnel de l’entreprise n’aurait pas dû faire.
Tout est dans l’identité
Les identités des utilisateurs « détiennent les clefs de la forteresse », et pour protéger une entreprise, la sécurisation de ces identités est essentielle. Avec les inéluctables violations de données, la disparition du périmètre de réseau et le risque permanent correspondant au facteur humain, les entreprises doivent adapter et sécuriser leurs identités, qui représentent à la fois leur meilleur atout et leur plus grande menace.
Pour ce faire, l’identité doit être située au cœur du programme de sécurité de l’entreprise. Étant donné que les identités sont les plus susceptibles d’être visées, les sécuriser doit être une priorité absolue. En se focalisant sur tous les systèmes auxquels les utilisateurs se connectent, que ce soit sur le web ou sur le cloud, l’approche en matière de sécurité doit être globale. Ce n’est que lorsque les services informatiques disposent de toutes les informations qu’ils sont en mesure de prendre les bonnes décisions.
La bonne nouvelle est que la gestion de ce réseau complexe d’utilisateurs, de systèmes et d’accès est possible pour les services informatiques à condition qu’ils disposent de la technologie appropriée. Ce milliard de points d’exposition est dynamique, en constante évolution et s’étend au-delà de l’enceinte de l’entreprise en direction des clients, des partenaires, des fournisseurs et des sous-traitants. Par conséquent, les entreprises ont besoin d’une solution de gestion des identités basée sur la gouvernance, capable de gérer de manière globale et automatique les identités à des niveaux granulaires.
En utilisant une approche basée sur la gouvernance en matière de gestion des accès et des identités (IAM), savoir « qui a accès à quoi » ne devrait plus être un problème. Vous avez un aperçu sur tous les utilisateurs et les applications auxquelles ils ont accès à mesure qu’ils évoluent au sein de l’entreprise au cours de leur carrière.
Donnez au service informatique une visibilité sur tout l’écosystème de sécurité, en exploitant une approche centrée sur l’utilisateur et en intégrant l’ensemble des systèmes (tels que la gouvernance des données, la sécurité du réseau, l’analyse du comportement des utilisateurs, etc.) à une plate-forme de gestion des identités. Placez l’identité au cœur de votre infrastructure de sécurité afin d’assurer la protection de vos informations les plus essentielles ainsi que la réputation à long-terme de votre entreprise.
___________
Juliette Rizkallah est chief marketing officer, SailPoint