Considérée comme le socle de la cyber-résilience moderne, la sécurité des identités fait converger les points forts de la gestion des identités et des accès (IAM), de la gouvernance et de l’administration des identités (IGA) et de la gestion des accès à privilèges (PAM).
Selon le Data Breach Report de Verizon 2024, 77 % des attaques contre les applications web ont été menées à la suite d’un vol d’identifiants. En outre, le deuxième vecteur d’attaque le plus utilisé était la force brute, le plus souvent grâce à des mots de passe devinés facilement par les acteurs malveillants.
Les entreprises connaissent une croissance explosive des identités – aussi bien humaines que machines. Ces dernières sont d’ailleurs aujourd’hui 45 fois plus nombreuses que les identités humaines.
Or, face aux nouvelles normes telles que le travail hybride, aux nouveaux environnements comme le cloud hybride, et au rythme continu de l’innovation, les organisations sont en permanence la cible d’attaques relatives aux identités, à l’instar des ransomwares et du phishing.
Considérée comme le socle de la cyber-résilience moderne, la sécurité des identités fait converger les points forts de la gestion des identités et des accès (IAM), de la gouvernance et de l’administration des identités (IGA) et de la gestion des accès à privilèges (PAM).
La combinaison de ces fonctionnalités permet aux entreprises d’appliquer le principe du moindre privilège, des terminaux aux datacenters en passant par le cloud, pour assurer la protection de leurs ressources numériques et mener leurs activités en toute confiance.
Sécuriser les identités et contrôler les privilèges
L’époque où seuls les utilisateurs avec le plus de privilèges avaient accès aux systèmes les plus critiques et aux données les plus sensibles d’une entreprise est révolue. Aujourd’hui, plus de la moitié (52 %) du personnel a accès à ce niveau d’informations.
Parallèlement, 77 % des décideurs en matière de sécurité informatique considèrent que les développeurs bénéficient de trop de privilèges, tandis que seulement 25 % déclarent que leur organisation a sécurisé les accès sensibles aux systèmes robotisés et aux dispositifs d’automatisation des processus robotiques (RPA).
Cette extension des accès à haut risque dans l’ensemble de l’entreprise peut entraîner une augmentation du cyber-risque.
L’an dernier, 84 % des organisations ont été victimes d’une compromission impliquant des identités, tandis que 99 % des décideurs en matière de sécurité s’attendent à être confrontés à ce type de compromission dans les mois à venir, selon nos recherches. Tout ceci n’est pas une nouveauté.
En effet, dans son rapport sur l’évaluation des vulnérabilités et des risques (RVA) pour l’année fiscale 2022, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) indiquait que dans plus de la moitié (54 %) des entreprises examinées, les attaquants avaient utilisé des comptes valides pour obtenir un accès initial et élever leurs privilèges afin d’accéder aux ressources critiques et aux données sensibles.
Néanmoins, les organisations peuvent appliquer diverses mesures pour sécuriser toutes les identités, à commencer par des contrôles intelligents des privilèges (Zero Privilèges Permanent (ZSP) et accès « juste à temps » (JIT), enregistrement et protection des sessions, isolation et surveillance des sessions, etc.) – et une application du principe du moindre privilège sur les appareils.
Pour assurer la sécurité des accès de chaque identité, ces contrôles intelligents des privilèges doivent fonctionner conjointement les uns avec les autres. De plus, une surveillance et une analyse continues de toutes les activités de chaque identité permettent aux entreprises de détecter et de réagir efficacement aux comportements inhabituels.
Le Zero Privilèges Permanent
Beaucoup d’organisations offrent un accès permanent et toujours disponible à leurs utilisateurs, peu importe qu’il soit requis sur l’instant – ou jamais. C’est un problème très courant dans les environnements cloud, où les entreprises ont tendance à octroyer aux utilisateurs bien plus de droits que ce dont ils ont réellement besoin pour travailler rapidement.
Pour réduire les risques, l’organisation peut mettre en œuvre un accès dit « juste à temps » (Just In Time, JIT), qui accorde aux utilisateurs des privilèges d’accès élevés en temps réel pour leur permettre d’effectuer les tâches nécessaires. En d’autres termes, un utilisateur accède sur une durée spécifique aux ressources dont il a besoin pour effectuer une tâche donnée, puis l’accès est révoqué.
Un cran au-dessus de l’accès « juste à temps », le Zero Privilèges Permanent (ZSP) est un principe de sécurité en plein essor qui permet d’élever les privilèges des utilisateurs du cloud juste à temps, en ne leur octroyant que les droits spécialement requis pour une tâche donnée – et uniquement quand cela est nécessaire.
Le ZSP limite considérablement les options d’un attaquant, réduisant ainsi le risque de vol d’identifiants et l’impact potentiel d’un piratage de compte.
L’isolation, l’enregistrement et la protection des sessions
L’isolation des sessions permet de séparer l’appareil d’un utilisateur des ressources auxquelles il souhaite accéder en acheminant le trafic via un serveur proxy. En cas d’attaque, le risque que le système auquel l’utilisateur accède soit compromis est par conséquent réduit.
En revanche, l’enregistrement et la surveillance des sessions consistent à effectuer un enregistrement consultable des actions de chaque utilisateur – jusqu’aux moindres clics pendant les sessions sur des applications web, des consoles cloud et d’autres appareils.
Ainsi, en combinant l’isolation et la surveillance des sessions, les équipes de sécurité sont en mesure de détecter les activités anormales des utilisateurs et suspendre les sessions à risque.
Ce contrôle permet de protéger les ressources les plus critiques contre les processus malveillants provenant des terminaux. Plus la session est privilégiée (avec des niveaux d’accès plus élevés), plus ces contrôles sont indispensables pour protéger les ressources numériques sensibles de l’entreprise.
Le moindre privilège sur les terminaux
Un contrôle complet des applications basé sur des règles conditionnelles favorise la création d’environnements de travail sécurisés pour chaque groupe d’utilisateurs, des RH aux DevOps.
Pour gérer et sécuriser leurs terminaux, les organisations peuvent s’appuyer sur des contrôles qui permettent une application continue du principe du moindre privilège, et prennent en compte diverses variables, telles que le contexte, les paramètres et les attributs d’une application, pour autoriser ou bloquer certains scripts, applications ou opérations.
Cela est particulièrement important à l’heure où la fréquence, l’impact et le coût des attaques par ransomware ne cessent d’augmenter. Dans le cadre d’une approche intégrée de la sécurité des identités, une application du principe du moindre privilège sur les terminaux peut considérablement réduire la surface d’attaque d’une entreprise et renforcer sa capacité à répondre à diverses exigences réglementaires.
La gestion des identifiants et des secrets
Les identifiants sont des éléments de preuve qui confirment l’identité revendiquée par une entité. Leur gestion comprend la rotation des mots de passe ou des clés, l’application des politiques de mot de passe, et la validation cohérente de l’authenticité de l’entité sollicitant un accès.
De son côté, la gestion des secrets permet aux organisations d’appliquer des politiques de sécurité similaires pour les identités machines. De manière générale, ces identifiants et ces secrets servent à obtenir des privilèges élevés pour effectuer une tâche professionnelle donnée.
Les attaques relatives aux identités sont aussi de plus en plus sophistiquées. Alors que la plupart des entreprises fonctionnent avec « l’hypothèse d’une compromission », il est tout aussi important pour elles d’adopter une approche proactive, réactive et prédictive qui contribue à leur cyber-résilience.
Les contrôles mentionnés ci-dessus permettent d’établir une sécurité à grande échelle, de réduire les risques, et de bénéficier d’une cyber-résilience inégalée en sécurisant les accès pour toutes les identités. Au-delà des avantages mesurables, la sécurité des identités basée sur des contrôles intelligents des privilèges offre également aux organisations une durabilité, une adaptabilité et une capacité de reprise à long terme en cas d’attaque.
Ainsi il est essentiel de ne pas se contenter de gérer les identités, mais de les sécuriser, en misant sur une stratégie de sécurité complète basée sur des contrôles intelligents des privilèges.
