Zero Trust : l'identité numérique, pivot de la sécurité du SI cloud
Pour gérer les accès des collaborateurs, des prestataires ou même des applications via les API ; l’identité numérique joue un rôle déterminant dans la sécurité du système d’information. Elle devient centrale dans l’approche Zero Trust qui s’impose désormais à tous.
Le FIC 2022 a été l’occasion d’un échange sur la sécurité des identités numériques, en particulier l’identité des citoyens. Le règlement européen eIDAS (Electronic IDentification And Trust Services) vient normaliser l’identité électronique au niveau européen et donc, espère-t-on, accroitre son adoption rapide sur le vieux continent.
Cette problématique d’identité numérique est tout aussi critique pour les entreprises comme l’expliquait Jameeka Green Aaron, CISO de Auth0, lors de l’événement Okta Identity Forum 2022 : « Le rôle du CISO a énormément évolué ces dernières années du fait de l’accélération de la transformation digitale induite par la pandémie. Ce que cela signifie p our nous, c’est que nous devons renforcer la protection de nos clients et de nos employés où qu’ils se trouvent. »
L’entreprise doit sécuriser les accès de ses collaborateurs où qu’ils se trouvent et qu’ils accèdent à des ressources on-premise ou Cloud. « Il s’agit de la pierre angulaire de la transformation digitale et de son corolaire, le Zero Trust » résume la CISO.
1 De l’IAM au Zero Trust
La disponibilité de plateformes IAM (Identity Access Management) sous forme de services SaaS a levé certains freins techniques à la mise en œuvre de ces solutions. L’IDaaS et ces solutions sont amenées à jouer un rôle-clé pour aller vers le Zero Trust, le modèle de cybersécurité en train de s’imposer.
Pour Matthieu Filizzola, Manager IAM chez Magellan Sécurité, la première étape dans la démarche est de se doter d’un contrôleur qui va valider l’ensemble des accès en temps réel : « Le contrôleur regroupe le « Decision Point » qui prend la décision d’accorder ou pas l’accès à une ressource et l’ « Enforcement Point » qui délivre l’accès et applique la politique d’accès. Il est nécessaire de définir une matrice d’accès pour définir l’action du » Decision Point « . »
Ce travail peut impliquer une réorganisation de l’Active Directory, mais aussi la connexion du « Decision Point » à toutes les sources qui font autorité dans l’entreprise, et coder toutes les règles métiers liés aux autorisations de chacun.
Selon l’expert, chaque entreprise doit trouver la meilleure façon de tendre vers le Zero Trust en fonction de sa culture, ses contraintes réglementaires et de son existant, mais la démarche doit être progressive : « Je pense qu’il est nécessaire de renforcer graduellement à la fois ce « Decision Point » en connectant de plus en plus de sources et l’ » Enforcement Point « . A cet égard, le PAM aura un rôle de plus en plus important à jouer à l’avenir. Autrefois limité aux comptes très techniques, celui-ci est de plus en plus utilisé pour gérer les comptes des prestataires ou encore des applications qui ont aujourd’hui une identité. Le PAM est la clé de l’évolution des systèmes IAM de demain. »
Lors du lancement de la nouvelle version d’IdentityIQ, Eric Zimmerman, directeur marketing de l’éditeur SailPoint Technologies soulignait : « La plupart des grandes entreprises ont des milliers, jusqu’à des millions d’identités, avec chacune d’elles des besoins d’accès à des ressources on-premise, Cloud et applications SaaS qui évoluent en permanence au gré des besoins métiers. Pour une entreprise moderne, connecter de manière sécurisée la bonne personne à la bonne ressource est très complexe et va bien au-delà des capacités humaines. » La réponse de l’éditeur passe notamment par l’IA et le Machine Learning, une intégration forte avec le système d’information pour automatiser les processus.
Lire aussi : Les quatre mythes du Zero Trust
2 La difficulté de mettre en place un écosystème Zero Trust complet
Si les grandes entreprises ont entrepris cette marche vers le Zero Trust , voici quelques années, la problématique est tout autre pour les PME qui vont avoir du mal à suivre dans l’empilement de solution de sécurité qu’implique une sécurité 100% dynamique.
« Les grandes entreprises préfèrent ne pas mettre tous les œufs dans le même panier et diversifient leurs solutions de sécurité » explique Christophe Pinjon, Consultant Expert Infrastructure & Sécurité chez Upper-Link. « Pour une PME/PMI, il est bien plus pertinent de réduire le nombre de fournisseurs de solutions de sécurité et miser sur Microsoft qui a aujourd’hui un portefeuille de solutions très riches et au niveau des meilleurs sur le marché. »
Microsoft est aujourd’hui classé parmi les leaders quant à la sécurité de la messagerie Microsoft 365 pour peu que l’on ait opté pour les licences qui donnent accès à Defender for Office 365.
L’activation de ces services permet de bénéficier de fonctions telles que l’antispam, l’antimalware, la protection contre l’usurpation d’identité, etc.
« Attention, ces protections ne sont pas activées par défaut » prévient Christophe Pinjon. « Il est possible d’appliquer des niveaux de configuration standard ou plus stricts. Toute la difficulté est de savoir où placer le curseur pour avoir un niveau de sécurité élevé sans que les contraintes ne soient rejetées par le personnel. »
Avec l’essor du modèle Zero Trust , jamais le rôle de l’identité numérique n’est aussi important. Il est temps de renforcer de la gestion du cycle de vie des identités et de durcir l’Active Directory pour accompagner cette évolution de la sécurité
Sur le même thème
Voir tous les articles Cybersécurité