Savoir qui accède à quoi avec certitude, connaître les droits de chacun et gérer dans le temps l’identité de ses utilisateurs : le marché du contrôle d’accès et de l’identité répond à un besoin complexe et vital.
Ce n’est pas un hasard si la métaphore de la serrure revient sans cesse dans le monde de la SSI : contrôler les accès au système d’information est au cœur du besoin de protection de l’entreprise.
Ce marché est en réalité pluriel : il y a en effet bien peu de similitudes entre une solution individuelle de gestion des mots de passe que l’on installe sur son poste de travail (un « coffrefort » à mots de passe) et une solution d’IAM (Identity & Access Management) ou de NAC (Network Access Control) déployée dans l’entreprise. Voici donc un aperçu des grands types de solutions de contrôle d’accès que vous pourrez déployer :
- Les outils de gestion des mots de passe (de type Single Sign On par exemple). Installées sur le poste de travail ces solutions permettent de stocker de manière fiable de nombreux mots de passe et de les renseigner automatiquement au moment de la connexion ou de l’accès aux ressources protégées (sites web, applications internes, etc.). Ils sont largement conseillés à la place de la fonctionnalité équivalente proposée par les navigateurs web, bien moins sécurisés. En outre, ces outils offrent d’autres fonctionnalités bien utiles : enregistrer d’autres informations sensibles (numéros de cartes bancaires, par exemple), synchronisation via le Cloud afin de pouvoir utiliser ses mots de passe sur plusieurs ordinateurs, supports pour les navigateurs mobiles avec la même solution, etc.
- Les solutions d’infrastructure. Il s’agit ici des solutions qui vont contrôler l’accès au réseau, que ce soit localement (notamment via une borne Wifi) ou à distance (à travers un tunnel VPN). Pour les postes de travail internes, le contrôle d’accès est le plus souvent délégué à un contrôleur de domaine Microsoft Active Directory ou un annuaire similaire.
- L’authentification forte. Le marché de l’authentification forte offre des outils (souvent physiques, mais aussi virtuels, sur téléphone mobile) destinés à renforcer l’authentification par mot de passe, jugée insuffisante. Il s’agit d’une mesure de sécurité essentielle, tant les mots de passe peuvent être aisément dérobés et réutilisés.
L’ajout d’un second facteur (physique, par SMS ou sous la forme d’un code virtuel généré par le téléphone mobile via une application de One Time Password comme le Google Authenticator ou équivalent) vient considérablement renforcer le niveau de protection.
A choisir, mieux vaut opter pour un dispositif physique de type YubiKey ou équivalent (Google Titan Key par exemple), qui ne souffre pas des récentes vulnérabilités découvertes dans l’usage des SMS (qui ont tendance à être écartés) et permet, contrairement à un jeton virtuel de type One Time Password généré par une application mobile, d’authentifier le site visité, afin de limiter également le risque de phishing. - Les solutions d’infrastructure avancées. Le NAC (Network Access Control) permet de prendre des décisions d’accès en fonction de l’identité du poste client, de son état (dispose-t-il de toutes ses mises à jour ? Son antivirus est-il activé ?) et de son comportement (détection d’un changement d’adresse MAC suspecte, par exemple). Ce marché, qui a mis du temps à décoller, a été popularisé par Cisco puis Microsoft, mais il est désormais également servi par d’autres acteurs du monde du réseau et des pure players. Un projet NAC est souvent assez long et structurant, mais il apporte une véritable amélioration du niveau de sécurité de l’entreprise, tout en offrant une plus grande souplesse dans l’accueil des visiteurs (en mettant à leur disposition un réseau réservé, par exemple).
- Les solutions d’IAM (Identity & Access Management). Projets structurants s’il en est, les chantiers d’IAM visent à optimiser la gestion des accès et des droits des collaborateurs en fédérant en un endroit unique les informations d’identités réparties jusqu’à présent au sein des multiples référentiels de l’entreprise (dans chaque application métier, par exemple)
Il s’agit d’une approche non seulement technique (provision automatique des comptes et destruction au moment du départ, par exemple), mais aussi organisationnelle (définition de rôles métiers spécifiques, suivi du cycle de vie de l’identité, gestion des habilitations multiples et réhabilitations, etc.).
- La gestion des identités et des accès privilégiés (PIM). Un marché de niche, mais essentiel, qui se focalise sur les droits d’accès des administrateurs. Une étude récente de l’éditeur Centrify indique d’ailleurs que 74% des intrusions réussies durant l’année 2018 sont passées par le vol d’un accès privilégié. Et pourtant, selon la même étude, 65% des entreprises reconnaissent encore partager au moins un compte administrateur ! L’installation d’un bastion d’administration constitue donc une mesure urgente pour les entreprises qui ne l’auraient pas encore fait.
- Les infrastructures à clés privées (PKI). Également très structurants, les projets de PKI permettent à l’entreprise d’émettre et de gérer les certificats numériques utilisés par ses dispositifs d’authentification (dont les cartes à puce). Jadis en perte de vitesse, ces projets connaissent désormais un regain d’intérêt grâce aux objets connectés, où l’authentification mutuelle et le chiffrement à très grande échelle seront une nécessité à terme. En dehors de ce cas d’usage particulier, un projet de PKI permet à l’entreprise de généraliser l’usage de l’authentification par certificats sur l’ensemble de son SI (utilisateurs, applications, machines…) et le chiffrement. Ce n’est pas pour tout le monde, mais une PKI peut apporter une grande simplification dans les processus de chiffrement et d’authentification au sein de l’entreprise.
L’identité dans le nuage
Le Cloud s’est imposé comme un facteur majeur de restructuration du marché du contrôle d’accès. La majeure partie des applications d’entreprises, du CRM à la gestion RH, en passant par la messagerie et la suite bureautique, ont basculé en mode SaaS.
Peu adaptés au Cloud, les outils de contrôle d’accès habituels doivent donc être complétés par les CASB (Cloud Access Security Brokers), qui permettent de contrôler de manière centralisée l’accès aux applications Cloud (métier et grand public) quelle que soit l’origine de la requête (depuis le réseau interne de l’entreprise ou à l’extérieur) et le poste de travail utilisé (un poste géré par l’entreprise, un ordinateur personnel ou même un smartphone). Les CASB redonnent ainsi au service informatique de la visibilité sur l’usage des applications externalisées.
Les grandes tendances
Le tableau suivant présente quelques tendances à suivre sur le marché du contrôle d’accès et de la gestion des identités.
SMS
Si jusqu’à présent l’utilisation d’un SMS envoyé sur un téléphone mobile pouvait faire office de second facteur d’authentification, cela ne sera bientôt plus le cas et vous devriez commencer à prévoir de ne plus y avoir recours. Les dernières attaques révélées contre le protocole de signalisation GSM ont démontré la vulnérabilité accrue des SMS à l’interception. En outre, si un code reçu par SMS permet bien de renforcer le mot de passe associé, il ne fait rien pour aider à authentifier le site en question, ne réglant donc pas la question du risque de phishing.
Mobile
L’usage du mobile comme outil d’authentification est l’une des tendances de l’année 2019, avec de plus en plus de services web qui supportent des applications de type OTP (telles que le Google Authenticator). Ces applications sont généralement gratuites, compatibles avec tous les sites qui proposent ce type d’authentification, et sont largement plus sûres que l’usage du code SMS.
Gestion des identités
Investissez dans la gestion des identités, car ces dernières sont là pour rester. À l’avenir, de nombreuses solutions de sécurité pourront intégrer la notion d’identité dans la prise de décision sécurité. Autant anticiper ! Les plateformes de gestion des identités peuvent être internalisées, mais aussi proposées en mode SaaS. L’on parle alors d’IaaS, pour « Identity as a Service » (à ne pas confondre avec « Infrastructure as a Service »)
Multifacteur
Cela fait des années que les spécialistes appellent de leurs vœux la fin du mot de passe simple ! Sous la pression de nombreux acteurs du web (notamment les GAFA), l’authentification forte à plusieurs facteurs se démocratise. C’est le moment d’y réfléchir si ce n’est pas déjà fait ! En 2019, la populaire YubiKey a désormais un concurrent avec la Google Titan Key proposée par Google.
Cloud
Les CASB (Cloud Access Security Brokers) permettent de contrôler de manière centralisée l’ensemble des accès aux applications dans le Cloud, qu’il s’agisse d’applications métiers (CRM, gestion des congés, des notes de frais…) ou personnelles (Dropbox, notamment). Pour l’utilisateur ces solutions apportent une simplicité d’usage (toutes les applications sont accessibles depuis un portail unique, authentification transparente), et pour l’entreprise un meilleur contrôle des accès.
