Gestion des identités et des accès : révisons les fondamentaux !
En matière de cybersécurité, il n'existe pas de panacée. Dans le cadre de la gestion des identités et des accès (ou IAM, Identity and Access Management), les entreprises doivent mettre en oeuvre des pratiques, stratégies et procédures, de même que des solutions et produits, adaptés à leurs besoins spécifiques.
Cependant, il leur arrive souvent de ne pas réaliser la valeur de leurs actifs numériques, et de minimiser l'importance d'une gestion appropriée des accès et des identités, ou au contraire de choisir des solutions exagérément complexes ou coûteuses par rapport aux types de données à protéger et aux risques encourus.
Ce guide facilite à comprendre certaines des fonctions d'IAM que les entreprises ont tout intérêt à adopter et donne un bref aperçu du jargon parfois obscur propre à cette discipline.
L'IGA est un terme générique désignant l'ensemble des mesures d'IAM prises par une entreprise pour s'assurer et prouver que les utilisateurs disposent des accès adéquats et suffisants. Correctement implémentée, l'IGA lui permet de contrôler et gouverner toutes ses identités, ainsi que les accès accordés, notamment aux applications, données et comptes à privilèges. Une gouvernance des accès solide réduit les risques et garantit un meilleur contrôle des réseaux locaux, hybrides ou dans le Cloud.
Les combinaisons nom d'utilisateur/mot de passe simples constituent l'une des formes d'authentification les moins sécurisées. Pourtant, quantité d'entreprises les emploient encore en raison de la complexité et des coûts souvent associés à l'utilisation de formes d'authentification plus robustes.
De nombreuses entreprises ont parfois l'impression que les informations qu'elles stockent présentent peu d'intérêt pour les cybercriminels. Or, une violation de leurs systèmes peut non seulement se révéler d'une grande valeur pour les hackers, mais aussi offrir à ces derniers un moyen d'étendre leurs activités criminelles à d'autres réseaux (clients et fournisseurs, par exemple).
Lire aussi : NotebookLM, du prototype au produit
L'Active Directory, ou AD, permet également aux entreprises de créer et de gérer les accès à privilèges d'un grand nombre d'utilisateurs. Ceux-ci sont divisés en plusieurs niveaux (appelés « groupes » dans l'AD). Chaque groupe dispose de droits d'accès spécifiques et des privilèges sur les différents systèmes auprès desquels les utilisateurs s'authentifient.
Le principal avantage de l'AD est le contrôle centralisé des accès sur une grande partie (mais pas la totalité) du réseau, ce qui simplifie la mise en oeuvre de paramètres, tels que des mises à jour de sécurité, et l'octroi de privilèges aux utilisateurs. Toutefois, les fonctions d'IGA de base nécessaires à une bonne utilisation de l'AD s'avèrent souvent complexes et propices aux erreurs sans la mise en place d'outils d'IAM supplémentaires pour alléger la charge de travail.
L'aide constante apportée aux utilisateurs pour réinitialiser leur mot de passe et, en cas d'oubli de ce dernier, débloquer leur compte, est peu-t-être le fardeau qui pèse le plus sur les services d'assistance. Pour ne rien arranger, la tendance est à une politique de mots de passe plus complexe et à une sécurisation renforcée de ces informations d'identification.
Il est néanmoins possible de réduire considérablement le nombre d'appels au service d'assistance à l'aide d'outils permettant de modifier régulièrement ou ponctuellement les mots de passe de manière sécurisée par le biais de fonctions de libre-service.
Avec le contrôle d'accès basé sur des rôles (ou RBAC, Role-Based Access Control), utilisé par la plupart des entreprises de plus de 500 employés, l'accès aux systèmes est limité aux utilisateurs autorisés en fonction de leur rôle au sein de l'entreprise (ou du groupe d'appartenance dans l'AD).
Cette approche offre différents niveaux d'accès aux applications et aux données selon le rôle. Les permissions sont automatiquement accordées en fonction des tâches affectées aux employés, telles que définies par une source d'informations faisant autorité, comme un système RH.
L'authentification à plusieurs facteurs est appliquée à de nombreux produits grand public, comme la messagerie électronique, les téléphones mobiles et les comptes bancaires, pour fournir une couche de sécurité supplémentaire en plus des identifiants de connexion traditionnels du type nom d'utilisateur et mot de passe.
C'est également un excellent outil de gestion des accès et des identités d'entreprise, et il existe des solutions faciles à utiliser pour s'assurer que le processus d'authentification ne ralentit pas la productivité. L'approbation par smartphone et la reconnaissance des empreintes digitales sont deux exemples parmi d'autres de la façon dont les entreprises peuvent déployer une couche de sécurité supplémentaire de manière efficace sans pénaliser les employés.
Comme la plupart des systèmes disposent d'un compte administrateur ayant des droits et privilèges et qui sont souvent partagé, il est plus sage d'adjoindre à la solution d'IAM une gestion sécurisée des identifiants à privilèges. La gestion des mots de passe à privilèges peut être ajoutée en tant que couche supplémentaire de sécurité. Les outils de gestion des mots de passe à privilèges stockent ces derniers dans un coffre-fort sécurisé, les attribuent selon des paradigmes d'approbation et des workflows préétablis, et les modifient à intervalles prédéfinis.
Couplée à la gestion des mots de passe à privilèges, la gestion des sessions à privilèges permet aux entreprises de contrôler, surveiller et enregistrer les sessions à privilèges des administrateurs, fournisseurs à distance et autres utilisateurs à haut risque. Les enregistrements de sessions jouent un rôle particulièrement important pour l'inforensique, car ils aident les entreprises à détecter les activités suspectes dans leurs systèmes.
Les autorités de réglementation ont récemment commencé à mettre la pression sur les entreprises pour qu'elles enregistrent les sessions exigeant un accès à privilèges, ce qui attirera davantage l'attention sur ce type de solution. Combinée à l'authentification à plusieurs facteurs et à la gestion des mots de passe à privilèges, la gestion des sessions à privilèges accroît sensiblement la sécurité des stratégies de gestion des accès et des identités des entreprises.
Autre outil utile à l'inforensique, l'analyse du comportement des utilisateurs à privilèges sert à identifier les comportements suspects et à mettre en lumière les menaces aussi bien internes qu'externes. La technologie d'analyse des comportements utilisateur peut détecter les anomalies et les hiérarchiser en fonction du niveau de risque, d'où la possibilité pour les entreprises de prioriser la réponse aux menaces et de prendre des mesures appropriées.
Alliées à d'autres sources d'informations, comme des logs système et d'audit, et des données de session, les données d'analyse des comptes à privilèges renforcent et complètent les fonctions de gestion des accès à privilèges (PAM) des entreprises.
Les cybermenaces n'étant pas près de s'arrêter, le meilleur moyen de se préparer à les affronter est de bâtir une stratégie de cybersécurité intégrant les nombreuses facettes de l'IAM.
Les cybercriminels ont compris qu'il était plus facile de s'attaquer à des personnes, souvent considérées comme la voie de moindre résistance vers les réseaux d'entreprise. Aussi l'identité devient-elle rapidement le nouveau périmètre de sécurité des entreprises.
Une mise en oeuvre appropriée de la gestion des accès et des identités est une condition essentielle pour limiter les répercussions potentielles d'une cyberattaque sur l'entreprise et réduire les risques d'activités malveillantes internes.
Hicham Bouali, Architecte IAM Solutions - One Identity.
Sur le même thème
Voir tous les articles Cybersécurité