Comment bien gérer les risques liés aux identités peut améliorer considérablement la posture de cybersécurité de votre entreprise ? En s’appuyant sur une gouvernance des identités structurée, il est possible de prévenir les escalades de privilèges indésirables, d’automatiser la gestion des accès et d’assurer une surveillance continue des anomalies, renforçant ainsi la résilience globale face aux menaces. Explications…
Les identités sont de loin les éléments de l’environnement informatique les plus ciblés par les cybercriminels. Et pour cause, compromettre une identité est le moyen le plus simple de pénétrer dans une infrastructure d’entreprise. Compte tenu des dommages causés par les attaques basées sur l’identité, il est essentiel pour les professionnels de la sécurité de comprendre la nature des risques liés aux identités et de créer un cadre de gouvernance pour à la fois assurer la conformité de leurs systèmes et minimiser le risque de failles.
La bonne nouvelle est que, lorsqu’elle est correctement exécutée, la gestion des identités devient un avantage significatif dans la stratégie globale de cybersécurité de l’entreprise !
Qu’est-ce qu’un cadre de gouvernance des identités ?
Un cadre de gouvernance des identités est la structure ou le plan que l’organisation définit pour centraliser la gouvernance à travers les différents systèmes qu’elle utilise pour les identités, les droits, les comptes à privilèges, les applications et les données. En d’autres termes, il s’agit de l’espace de collaboration où les personnes, les processus et la technologie se rejoignent pour examiner et gérer qui a accès à aux systèmes et aux actifs informatiques. Ce cadre fournit la base des capacités de gouvernance et d’administration des identités (IGA) qui régissent l’accès à l’environnement informatique de l’entreprise
À l’échelle d’une entreprise comptant des milliers d’employés, et un nombre considérablement d’identités, de données, d’applications et de terminaux, gérer les permissions et les accès peut devenir incroyablement complexe.
C’est là qu’intervient un cadre de gouvernance des identités.
Pourquoi la gouvernance des identités est-elle importante ?
Aucun système informatique contenant des informations sensibles accessibles ne doit être accessible à tous les employés d’une entreprise. Ainsi pour maintenir la sécurité de son organisation, il est essentiel de restreindre les accès des utilisateurs aux seuls ressources dont ils ont besoin pour faire leur travail. Au fil du temps, les niveaux d’accès doivent converger vers le niveau « correct ». Un cadre de gouvernance des identités bien conçu et mature fait de cette « mise à niveau des droits » une progression naturelle et fournit des flux de travail standardisés, des analyses et des informations pour tendre vers l’état de « permissions juste suffisantes ».
Les cadres de gouvernance des identités réduisent les permissions des utilisateurs à leur niveau minimum c’est-à-dire le moins privilégié. Cela signifie qu’ils peuvent toujours faire leur travail mais ne contribuent pas augmenter la surface d’attaque exploitable par les cybercriminels. En effet, moins un utilisateur a de droits, moins un pirate peut faire de dommages à l’organisation avec son compte s’il est infiltré ou compromis. Cette simple étape d’amélioration de l’hygiène d’accès améliore le niveau de résilience aux failles en rendant plus difficile pour les infiltrés de s’élever et de se déplacer latéralement.
Les avantages d’un cadre de gouvernance des identités
Les cadres de gouvernance des identités offrent plusieurs avantages principaux :
Réduction des coûts opérationnels : Gérer les demandes d’accès prend du temps aux administrateurs informatiques. Dès lors autoriser manuellement trop d’accès devient rapidement coûteux et automatiser un pourcentage significatif du processus peut aussi libérer la main-d’œuvre pour qu’elle se concentre sur d’autres tâches.
Réduction des risques et renforcement de la sécurité : Lorsqu’ils sont soumis à un trop grand nombre de demande d’accès, les administrateurs peuvent commettre des erreurs comme accorder trop ou trop peu d’accès aux utilisateurs ou élever les niveaux de risque de sécurité des utilisateurs. L’automatisation et les recommandations de décision générées par l’IA sont alors des atouts importants. De plus les cadres de gouvernance des identités alertent les administrateurs informatiques des anomalies dans le comportement des utilisateurs, leur permettant ainsi de corriger les écarts.
Amélioration de la conformité et des performances d’audit : La capacité du cadre à mettre les systèmes sous gouvernance grâce à des politiques préétablies et en constante amélioration permet de rassurer les auditeurs sur le fait que l’entreprise contrôle ses systèmes métier les plus critiques.
Quelques bonnes pratiques pour une mise en œuvre efficace…
Il existe quelques tactiques à utiliser pour expliquer l’importance de la gouvernance des identités et impliquer toutes les parties prenantes de l’entreprise !
Recruter des gestionnaires projets qui comprennent les exigences de la gouvernance des identités. Ce seront eux qui sélectionneront les travaux qui mèneront sur la voie du succès et veilleront à ce que tout le monde dans l’équipe sache ce qu’il doit faire. Ils feront également la promotion du cadre auprès des différents départements de l’entreprise.
Souligner que le cadre existe pour servir les intérêts de l’organisation. Qu’est-ce qui est important pour l’organisation ? Est-ce la sécurité ? L’efficacité opérationnelle ? Le meilleur moyen de faire adhérer au projet est d’identifier les moteurs du cadre et articuler le déploiement du cadre de gouvernance des identités autour d’eux.
Étendre l’objectif au-delà de la sécurité informatique, en expliquant comment le cadre bénéficiera à plusieurs départements, tels que les ressources humaines, la logistique, la technologie, les finances, etc. Pour obtenir des financements pour le programme, le cadre doit intéresser l’ensemble de l’entreprise.
Et quelques erreurs de mise en œuvre à éviter…
Et s’il existe des bonnes pratiques à adopter, nous avons aussi rencontrer dans les entreprises de mauvaises pratiques et des écueils à éviter :
Positionner le programme de gouvernance comme un programme purement lié à l’informatique : Le programme de gouvernance doit être présenté comme un moyen d’améliorer la sécurité et l’efficacité opérationnelle afin d’obtenir les ressources nécessaires à sa mise en œuvre.
Ne pas être stratégique quant à l’endroit où le cadre de gouvernance des identités est introduit au sein d’une grande entreprise : La bonne approche est de considérer la partie de l’argumentaire de programme qui a le plus résonné auprès des collaborateurs. Si la sécurité est la plus importante, le programme devra commencer par les applications à hauts risques. Si l’efficacité opérationnelle est essentielle, le programme pourra débuter par les applications les plus populaires auprès des collaborateurs et clients.
Créer un hub central pour la visibilité et la gestion des identités
L’objectif ici est de la gouvernance est de prévenir l’émergence d’une posture de sécurité informatique cloisonnée, qui expose les organisations à des faiblesses de sécurité sous la forme d’écarts entre les systèmes. Intégrer le cadre de gouvernance des identités avec le reste des systèmes de sécurité de l’organisation permettra d’alerter si une identité est compromise à travers l’organisation. Cela permet de la bloquer avant qu’elle ne puisse entrer dans d’autres domaines au lieu de compter sur les défenses locales d’un système pour la contenir.
L’objectif final est un cadre de gouvernance des identités qui échange des données et des signaux avec tous les autres systèmes de l’environnement, en créant un hub central pour la visibilité et la gestion des identités. Ce hub devient un point de définition des politiques et d’information où peuvent être définies et appliquées des politiques centralisées de gouvernance des accès et de sécurité. C’est pourquoi la gouvernance et l’administration des identités doivent être incluses comme un flux de travail central dans tout programme de sécurité informatique d’une organisation, avec de nombreuses organisations adoptant et articulant consciemment une approche « identity-first » de la cybersécurité.
____________________________
Par Hicham Bouali, Directeur avant-ventes EMEA de One Identity, spécialiste de la gestion des identités et des accès