- Gestion des identités : cap sur l’automatisation !
- Les bénéfices de la signature électronique
- Ils témoignent
Des milliards d’identités de toutes sortes sont en vente sur le Darkweb et pour protéger l’identité numérique des collaborateurs internes, externes et partenaires, les entreprises doivent à la fois mieux protéger leurs annuaires, mais aussi resserrer les boulons de leurs processus de gestion des identités.
Indispensable à toute ouverture du système d’information et à l’essor du télétravail, jamais la protection des identités numériques n’a été aussi importante. Pour Samy Boualem-Reguieg, Regional Manager France d’Acronis, les attaques des mécanismes d’authentification et des solutions IAM (Identity Access Management) de gestion des accès et des identités figurent en première position de son classement des 10 menaces les plus élevées en 2023 : « Il est probable que les attaques des mécanismes d’authentification et des solutions IAM de gestion des accès et des identités se multiplient et aboutissent plus fréquemment. On constate déjà de multiples tentatives de vol ou de contournement des tokens d’authentification multifactorielle (MFA). »
La conformité pousse en faveur d’une gestion des identités à l’état de l’art
Jean-Christophe Vitu, vice-président Solutions Engineer chez CyberArk, souligne le rôle de la réglementation dans la montée en puissance des solutions de gestion d’identité : « Toute entreprise d’e-commerce doit s’assurer de respecter les directives de la norme PCI-DSS en amont de la période de soldes pour protéger ses structures informatiques ainsi que les données de ses clients, et pour se mettre à l’abri de lourdes pénalités. » La norme PCI-DSS définit des dispositifs de contrôle d’accès rigoureux et impose des méthodes d’authentification multifactorielle (MFA), elle impose aussi une surveillance des comptes administrateur des terminaux des points de vente. « La norme PCI-DSS recommande aux commerçants de recourir à un outil PAM, afin de limiter l’accès aux comptes à privilèges et de renforcer la protection contre les violations de données. »
L’essor de plateformes IGA de plus en plus complètes
L’accès à ce type de logiciels réputés complexes et lourds à mettre en œuvre, a été simplifié par l’essor rapide de solutions “As a Service” dans le Cloud. De même que l’heure est à l’intégration de l’ensemble des briques liées à la gestion des identités avec ce que l’on appelle désormais l’IGA, acronyme d’Identity Governance and Administration. L’objectif est de pousser à une plus grande intégration de toutes les briques fonctionnelles entrant dans le cycle de vie des identités et des accès. Xavier Fauquet, co-fondateur de Formind, une société de services spécialisée en cybersécurité, souligne : « Une offre IGA doit adresser aussi bien la gestion des identités avec une synchronisation avec les systèmes RH, une administration déléguée auprès des managers, leurs assistants. L’IGA, c’est aussi la gestion des habilitations avec les process de demandes de droits, une obtention automatique de droits, un provisioning automatique via des connecteurs, d’intégration avec les systèmes ITSM et ticketing. Enfin, un volet gouvernance apporte des fonctionnalités de gestion des écarts, d’analyse des comptes orphelins et de détection des droits superflus.»
Tous les éditeurs de plateformes IGA, comme One Identity, ont aujourd’hui pris le chemin du Cloud et proposent leurs plateformes en mode “On Demand” L’essor de fonctions avancées basées sur l’IA va rendre l’approche “on-premise” de plus en plus obsolète.
L’IGA se fraye une place à part entière dans l’écosystème cyber
De facto, après une phase de migration ou de création de nouvelles solutions pour le Cloud, les éditeurs d’IGA innovent tous azimuts. Les innovations apportées interviennent à de multiples niveaux. Ainsi, avec l’acquisition de l’éditeur Illusive, Proofpoint a fait le choix de lutter contre les usurpations d’identité en intégrant la solution Illusive Spotlight à son offre afin de mieux protéger les “Very Attacked People” (VAP). Avec une meilleure visibilité sur les identités vulnérables, elle analyse la structure des répertoires tels qu’Active Directory, les solutions de gestion des accès privilégiés (PAM), les points de terminaison, les serveurs et les services, révélant ainsi les écarts entre les politiques de sécurité des identités et la réalité de son environnement. De plus, la solution Illusive Shadow vient ajouter une brique de détection et de réponse aux menaces afin de bloquer toute tentative d’élévation des privilèges ou de déplacement latéral. Autre évolution majeure, l’arrivée de l’IA dans le domaine de la gestion des identités. Un éditeur français, Usercube, l’exploite désormais pour faire du Role Mining, c’est-à-dire générer ou analyser les liens entre une identité et les droits qui lui sont accordés dans les applications. L’automatisation peut aussi intervenir pour aider les entreprises à remplir leurs obligations réglementaires et apporter une aide précieuse lorsqu’il s’agit de mener les revues de droits annuelles. Brainwave GRC, un éditeur spécialiste de l’Identity Analytics, propose une solution qui va simplifier le processus. Sébastien Faivre, directeur général de l’éditeur souligne : « Outiller la démarche de revue des accès est indispensable s’il faut la mener une fois par an ou plus fréquemment encore. Aucun utilisateur métier n’aime être sollicité pour effectuer ces revues, même si cela ne lui demande que quelques minutes de son temps s’il est sollicité pour chaque application à laquelle il a accès. Toutes les demandes doivent être consolidées dans une approche métier. En 5 minutes, il doit être capable de valider l’ensemble de ses accès. »
Mieux intégrée et plus automatisée, l’IGA doit être à la fois plus simple à être utilisée dans les entreprises de toutes tailles, mais aussi jouer un rôle de plus en plus important dans la cybersécurité. Selon le Gartner, d’ici 2 ans, 40 % des entreprises exploiteront les données extraites de leurs plateformes IGA dans le cadre de leur cybersécurité.
