Malgré la rapidité des changements et les nouvelles capacités apportées par l’innovation technologique, le moteur sous-jacent et fondamental de la sécurité n’a absolument pas changé.
Face à un marché en constante évolution, les professionnels de la sécurité informatique s’efforcent de garder une longueur d’avance sur les cybermenaces. Toutefois, bien que le changement soit permanent, le principe fondamental de la cybersécurité reste le même : la sécurité a toujours été, et sera toujours, une question de contrôle d’accès.
En d’autres termes, il s’agit de veiller à ce que seuls les individus et les appareils qui DOIVENT avoir accès aux ressources PUISSENT le faire. Ce principe de base n’a pas changé. Ce qui a changé, c’est la manière de répondre aux besoins de contrôle d’accès.
Le contrôle d’accès au fil des années
Auparavant, le contrôle d’accès comportait deux ou trois niveaux. L’authentification des utilisateurs se faisait sur un appareil, qui bien sûr résidait sur un réseau. Les informations d’identification des utilisateurs étaient validées, et les adresses IP étaient souvent comparées à une liste d’adresses connues et d’adresses suspectes.
Par la suite, la possibilité de s’authentifier sur les ressources réseau, avec notamment l’Active Directory (AD), a apporté une certaine homogénéisation des accès. Les utilisateurs n’étaient plus contraints de s’authentifier individuellement à chaque partage de fichiers et bénéficiaient d’un niveau d’accès homogène à la messagerie ou à d’autres actifs.
Le contrôle d’accès est resté bloqué à ce stade pendant des années, période au cours de laquelle il était difficile de simplifier l’accès aux systèmes, aux applications et aux logiciels d’entreprise.
Au cours de la dernière décennie, le contrôle d’accès s’est déplacé vers les fournisseurs d’identité. Véritables intermédiaires entre les utilisateurs et les actifs, ces derniers gèrent les informations d’identité, les actifs pouvant prendre des formes multiples.
Une évolution qui a permis d’harmoniser le contrôle d’accès et de faire de l’authentification unique une réalité.
Une sécurité à plusieurs niveaux qui préserve l’expérience de l’utilisateur
L’ajout de couches de sécurité supplémentaires à un processus peut compromettre l’expérience utilisateur si ces dernières introduisent des frictions. Malgré cela, le contrôle d’accès peut, et doit, aller plus loin tout en préservant l’expérience utilisateur.
Un niveau supérieur de contrôle d’accès prend des décisions, non seulement sur la base de l’identité de l’utilisateur, mais aussi de l’endroit où il se trouve, de l’appareil qu’il utilise et des informations sur le niveau de risque que représente cet accès, au-delà de la destination qu’il essaie d’atteindre. L’objectif est de créer des chemins d’accès consolidés, différenciés et contextuels, sur lesquels s’applique une politique d’accès de base.
Ainsi, le contrôle d’accès va bien au-delà des informations d’identification de l’utilisateur.
Il cherche à s’assurer que l’utilisateur accède aux données à partir de son ordinateur. Si tel n’est pas le cas, l’accès ne lui sera pas nécessairement refusé, mais le système prend note du caractère potentiellement suspect de l’activité.
Il détermine également si l’historique des applications de cet utilisateur correspond à son comportement habituel ; le cas contraire peut déclencher un autre signal d’alarme. Le contrôle d’accès peut même examiner les données au sein d’une session et déterminer si elles semblent appropriées ou non.
Toutes ces vérifications concourent à dresser un tableau ; elles fournissent une mine d’informations contextuelles sur l’endroit où se trouve l’utilisateur, la machine qu’il utilise, l’état de cette machine, etc. Mis bout à bout, le résultat de cette analyse aboutit à une décision : l’accès est accordé ou refusé, voire résilié par la suite.
C’est ce qu’on appelle une sécurité d’accès à plusieurs niveaux.
Quel que soit l’endroit où se trouve l’utilisateur, son identité est validée, des décisions fondées sur les risques de sécurité sont appliquées au trafic lui-même, puis une décision est prise sur ce à quoi l’utilisateur peut se connecter et sur la manière dont cette connexion doit être effectuée.
En d’autres termes, les décisions en matière de contrôle d’accès peuvent désormais être prises avec un niveau de nuances jamais atteint auparavant.
De plus, une fois les contrôles de sécurité approfondis exécutés, leur validité ne court pas sur toute une journée ou une semaine : ils sont effectués à chaque nouvel accès.
Ce n’est pas la sécurité qui a changé, mais notre capacité à la délivrer
Dans un contexte de mutation permanente, une chose reste immuable : la sécurité est une question de contrôle d’accès. Il s’agit de permettre aux utilisateurs légitimes d’effectuer leurs tâches et de tenir les utilisateurs non autorisés à l’écart.
Les nouvelles technologies et les innovations ne modifient pas les fondements de la sécurité, elles améliorent simplement notre capacité à prendre les décisions que nous essayons de prendre depuis 30 ans. Elles transforment la manière dont nous appliquons les principes de sécurité : en offrant une expérience utilisateur plus harmonisée, dans laquelle la sécurité fait partie intégrante du processus, et ce en fournissant une meilleure stratégie de sécurité globale.
La multiplication des critères nous permet désormais de prendre des décisions plus éclairées. Les informations d’identification entrent dans un système bien mieux équipé pour relier les pièces entre elles et capable, qui plus est, d’effectuer des contrôles d’accès de manière constante et automatisée.
Malgré la rapidité des changements et les nouvelles capacités apportées par l’innovation technologique, le moteur sous-jacent et fondamental de la sécurité n’a absolument pas changé.
En nous ancrant dans ce principe immuable, nous nous plaçons dans la meilleure posture qui soit pour faire progresser la sécurité. En somme ce qui a changé, c’est donc notre aptitude à délivrer la sécurité dont nous avons besoin grâce à des innovations qui renforcent nos capacités.
