Dans un monde où la technologie ne cesse d’évoluer, il est important de ne jamais perdre de vue la protection des informations confidentielles et sensibles. L’approche standard adoptée par les entreprises en matière de sécurité repose sur les comptes utilisateurs. Une pratique qui oblige cependant les professionnels de l’informatique à investir lourdement dans l’administration des identités et des comptes.

Les modalités de protection des comptes varient selon les secteurs et les entreprises. Certains considèrent la sécurité du périmètre comme une condition indispensable, tandis que d’autres privilégient le chiffrement, la protection des données ou un accès Zero Trust assorti de contrôles.

En fait, l’identité est au cœur de la sécurité. L’idée est de s’assurer que les bonnes personnes disposent d’un accès adéquat aux bonnes ressources, d’une manière appropriée et au moment opportun. Si elles veulent renforcer la cybersécurité et favoriser le respect des principes Zero Trust, les entreprises ont intérêt à délaisser l’administration des ressources réseau basée sur les comptes au profit d’une approche fondée sur les identités.

Les quatre « A » de la sécurité basée sur les identités

Authentification : l’authentification vérifie l’identité de la personne, humaine ou non (par exemple un bot), qui se connecte à un système. Chaque application ou système, aussi bien sur site que dans le Cloud, comprend un mécanisme d’authentification, le plus courant se présentant sous la forme d’un nom d’utilisateur et d’un mot de passe. La plupart des entreprises utilisent Microsoft Active Directory (AD) et Azure Active Directory (AAD) pour l’authentification. Elles peuvent aussi avoir recours à des technologies d’unification des identifiants de connexion couvrant une grande partie des charges applicatives. Toutefois, si l’authentification est une composante vitale de la sécurité basée sur les identités, elle ne suffit pas à elle seule.

Autorisations : les autorisations concernent les permissions dont disposent les utilisateurs une fois qu’ils ont été authentifiés. Elles dépendent de différentes variables, comme des permissions sur les fichiers, les applications et leur partage, ou encore des règles d’accès finement définies en fonction du rôle, du lieu et des circonstances. Malheureusement, c’est souvent à ce niveau que des failles de sécurité apparaissent. Des utilisateurs peuvent potentiellement se voir attribuer des droits inappropriés, tandis que d’autres oublient de résilier ceux dont ils n’ont plus besoin. Ce sont autant de vulnérabilités exploitables par les cybercriminels. La mise en œuvre d’un modèle de sécurité Zero Trust dans lequel aucun utilisateur ne reçoit de permissions inutiles ou obsolètes peut pallier ce problème.

Administration : l’administration sert à garantir la bonne exécution des procédures d’authentification et d’autorisation. Elle implique de nombreuses tâches de gestion des comptes, allant de la demande d’accès à la réponse à une demande spécifique, puis à la résiliation de l’accès lorsqu’il n’est plus requis. Ce processus est également appelé « provisionnement ». Il comprend la gestion des rôles, qui consiste à attribuer des autorisations appropriées en fonction des besoins légitimes des utilisateurs. Du point de vue du modèle Zero Trust, cette étape est essentielle pour octroyer les permissions nécessaires au moment opportun et y mettre fin lorsqu’elles ne sont plus utiles.

Audit : cette dernière étape, sans doute la plus importante, porte également le nom de « gouvernance ». Son objectif est de prouver que toutes les étapes précédentes ont été réalisées selon un niveau de sécurité adéquat. Elle sert aussi parfois à s’assurer que les réglementations appropriées sur la protection de la vie privée sont respectées et que les meilleures pratiques ont été mises en œuvre.

Comment l’équipe informatique peut-elle éliminer les tâches de sécurité routinières ?

La mission des professionnels de l’informatique est de veiller au bon fonctionnement des systèmes et à la productivité des utilisateurs. Hélas, avec une approche de la sécurité basée sur les comptes, ils sont fréquemment impliqués dans l’utilisation quotidienne d’applications spécifiques par des utilisateurs donnés. Les équipes informatiques sont en effet les plus qualifiées pour prendre les bonnes décisions en matière d’autorisations. Elles se voient donc souvent confier des responsabilités administratives qui devraient pourtant incomber aux équipes métiers, et se transforment en « service d’assistance ». Pendant ce temps, les tâches qui leur sont normalement dévolues, parmi lesquelles des initiatives informatiques critiques, restent inachevées. Avec une approche basée sur les comptes, les décisions relatives aux accès et aux permissions sont prises par le service informatique, notamment parce qu’elles relèvent par défaut de la ressource qui contrôle un compte spécifique sur une application spécifique. Pour éviter ce problème, les entreprises doivent essayer de passer d’une stratégie disparate, basée sur les comptes, à une approche unifiée, centrée sur les identités, en déployant une plate-forme unifiée de sécurité des identités. Ce modèle réduit la complexité, rationalise les opérations, donne davantage de moyens aux équipes de sécurité et garantit la gouvernance, tout en affranchissant les équipes informatiques des tâches de routine.

La sécurité basée sur les identités peut être abordée selon le principe de la pyramide de Maslow, une représentation hiérarchique des besoins dans laquelle certaines étapes doivent être accomplies avant de pouvoir passer aux suivantes. L’accès est le fondement de tout. Si les utilisateurs n’ont pas accès au système, le reste du processus ne peut pas commencer. Il convient ensuite de s’assurer que tous les processus sont sécurisés et d’ajouter certains contrôles, tels que des politiques, des normes, des directives et des procédures, qui améliorent la sécurité du système. Puis vient la gestion, c’est-à-dire la capacité à réaliser des audits et à créer des rapports sur tous les niveaux inférieurs de la hiérarchie. Pour finir, la gouvernance. Cette étape n’est possible que si toutes celles qui précèdent ont été correctement réalisées.

Il est donc facile de comprendre pourquoi l’adoption d’une approche de la sécurité basée sur les comptes est vouée à l’échec. La trop grande importance accordée aux niveaux situés à la base de la hiérarchie empêche toute progression vers la gouvernance. Les employés des entreprises sont souvent individuellement capables d’accomplir les différentes tâches leur permettant de s’élever dans la pyramide, mais le problème est qu’ils ignorent souvent pourquoi. Chaque niveau de la pyramide doit être franchi séparément pour chaque compte. Il en résulte un processus disparate qui facilite l’exploitation des failles de sécurité par les cybercriminels.

La sécurité basée sur les identités évite aux entreprises de perdre du temps à octroyer des accès par le biais des comptes et à protéger individuellement chaque système. Elle leur donne les moyens d’atteindre leurs objectifs métiers beaucoup plus rapidement. L’agilité dépend en effet de la gouvernance, qui peut être atteinte grâce à une approche de la sécurité basée sur les identités. Les entreprises pourront mieux veiller à la bonne exécution des activités et à l’attribution d’autorisations adéquates, tout en assurant la gouvernance de l’ensemble des systèmes, des profils d’utilisateurs et des besoins réels.
____________________________

Par HichamBouali, Directeur Avant-Ventes EMEA de One Identity