L'agilité de l'IAM grâce aux identités machine

Les identités des machines explosent dans l'entreprise - et de nombreuses organisations ont du mal à suivre.

C'est ce que révèle le rapport 2021 State of Machine Identity Management de Keyfactor, qui a interrogé plus de 1 100 professionnels de l'informatique et de la sécurité. Plus de la moitié des personnes interrogées ont indiqué que leur entreprise ne sait pas combien de clés et de certificats elle possède. 62% ont révélé que l'utilisation croissante de clés et de certificats a considérablement augmenté la charge opérationnelle de leurs équipes. Dans ce contexte, 55 % des personnes interrogées s'inquiètent du risque croissant de mauvaise configuration des clés et des certificats. 

Qu'est-ce que cela signifie exactement pour les équipes de sécurité des entreprises ? C'est une situation qui doit être corrigée, et bien que les organisations soient bien conscientes des risques, nombre d'entre elles ont besoin d'aide pour trouver la meilleure voie à suivre. Pour en savoir plus, Keyfactor a organisé un webinaire avec Sean Ryan, analyste principal de la sécurité et du risque chez Forrester. 

Voici ce qu'il faut savoir.

La plupart des programmes de gestion des identités et des accès (IAM) se concentrent sur la "main-d'œuvre humaine", y compris les employés, les partenaires et les travailleurs occasionnels. Les organisations utilisent depuis longtemps l'infrastructure à clé publique (PKI) pour gérer les identités de ces utilisateurs, y compris le contrôle d'accès, les mots de passe, l'authentification multifactorielle, etc.

Mais dans le monde d'aujourd'hui, les identités des machines telles que les comptes de service, les bots et les API sont de plus en plus souvent introduites. Les équipes de sécurité doivent donc reconnaître et gérer le caractère unique de cette "main-d'œuvre non humaine" de la même manière qu'elles le font pour la main-d'œuvre humaine. Cependant, l'application de PKI et d'autres pratiques IAM traditionnelles à l'aspect non humain des choses n'est pas aussi simple que "rincer et répéter".

La nécessité de ce changement devient particulièrement évidente à mesure que nous évoluons vers un modèle de travail plus dynamique. Par exemple, dans l'économie actuelle axée sur les API, les choses changent rapidement et les organisations ont besoin d'un accès important en termes de volume et de rapidité. Prenons le cas d'une équipe DevOps qui crée de nouveaux services et se connecte à différents microservices à l'aide d'appels API. Comme ces appels d'API doivent communiquer entre eux et accéder à différentes informations, ils ont également besoin d'informations d'identification pour sécuriser ces communications et ces accès. 

Dans ce contexte, les entreprises voient les identités des machines croître deux fois plus vite que l'unicité humaine, et comme elles continuent à apparaître un peu partout, beaucoup d'organisations ne peuvent pas avoir une idée claire du nombre de certificats qu'elles possèdent ou de l'endroit où ils se trouvent. Et plus la gestion de ces identités machine devient complexe, plus les risques de sécurité et les problèmes opérationnels potentiels auxquels les entreprises sont confrontées augmentent.

Malheureusement, les pratiques traditionnelles de gestion des identités et des accès ne peuvent pas suivre le rythme de l'évolution du paysage et des pratiques commerciales plus dynamiques d'aujourd'hui. Les pratiques fondamentales, comme l'application d'une philosophie de confiance zéro, restent essentielles et constituent un bon point de départ, mais elles ne vont pas assez loin en elles-mêmes.

En conséquence, les équipes de sécurité doivent envisager de nouveaux types d'investissements pour organiser leurs pratiques de manière plus efficace et automatisée qui peuvent de suivre le rythme rapide des identités des machines.

Voici quelques-uns des principaux défis et considérations pour les équipes de sécurité :

• Découverte de nouvelles identités : La façon dont la plupart des organisations découvrent aujourd'hui de nouvelles identités de machines n'est pas centralisée. De nouvelles identités de machines apparaissent en même temps que de nouveaux besoins commerciaux dans différentes parties de l'organisation, et il n'y a pas de politique d'enregistrement standardisée. Cette situation fait qu'il est pratiquement impossible pour les équipes de sécurité de découvrir correctement toutes les identités en jeu et d'en rendre compte.
• Gestion d'un plus grand volume et d'une plus grande rapidité de gestion des clés : Les charges de travail des API basées sur le cloud sont conçues pour être basées sur des sessions et très éphémères. D'un côté, c'est une bonne chose : c'est une excellente posture de sécurité que les équipes devraient adopter pour d'autres types d'identités de machines qui ne se trouvent pas sur ces plates-formes en nuage. Mais d'un autre côté, cela introduit de nouveaux défis de gestion, comme s'assurer que les choses ne se cassent pas et que les équipes peuvent fonctionner à cette vitesse élevée tout en gérant un volume important d'identités éphémères de manière cohérente et sécurisée.
• Renforcer les informations d'identification : Les organisations adoptent souvent des identifiants faibles, codés en dur et très faciles à déchiffrer. Cette situation conduit à une mauvaise posture de sécurité qui expose l'entreprise à toutes sortes d'attaques faciles à exécuter.
• Éviter les certificats statiques à longue durée de vie : Les organisations ont prolongé la durée de vie des certificats jusqu'à 30 ans, ce qui crée de sérieux risques pour la sécurité. En fait, l'absence de rotation des certificats crée souvent des voies d'accès plus faciles pour les attaquants, qui peuvent non seulement pénétrer dans l'organisation, mais y rester pendant des mois, voire des années.

Heureusement, il existe une solution pour que les équipes de sécurité puissent étendre l'IAM aux identités des machines de manière efficace et tenir compte du volume élevé et de la vélocité de la main-d'œuvre non humaine d'aujourd'hui. 

La voie à suivre s'articule autour de trois solutions essentielles :

Le chiffrement doit devenir le fondement de la sécurité de l'entreprise, les clés et les certificats étant appliqués à tous les types d'identité existants. Cela inclut tous les types de certificats, les clés SSH, la signature de code, les dispositifs IoT , etc.

Il est important de noter que la gestion de ce cryptage au volume et à la vitesse nécessaires nécessite une automatisation intégrée pour fournir une vue centralisée des identités hautement distribuées. Plus précisément, les entreprises ont besoin d'un système orchestré qui offre un haut niveau de visibilité aux administrateurs pour gérer toutes les clés et tous les certificats en jeu de manière contrôlée et cohérente. Avec ce type de système en place, les équipes de sécurité devraient identifier les problèmes et y remédier rapidement pour éviter qu'ils ne se transforment en problèmes majeurs.

De nombreuses identités machine en place aujourd'hui disposent d'un accès très puissant qui peut être utilisé pour exfiltrer de grandes quantités de données et accéder à des bases de données contenant des dossiers de clients et de la propriété intellectuelle. 

Ce niveau d'accès rend indispensable l'introduction d'une couche supplémentaire de sécurité qui applique des contrôles d'accès privilégiés aux machines, comme les organisations le font depuis longtemps pour les utilisateurs humains (parce qu'aujourd'hui, la surveillance et le contrôle des comptes non humains sont souvent moindres que ceux des comptes humains). 

L'application de la gestion des identités privilégiées aux machines devrait inclure la rotation régulière des identifiants pour se protéger contre les attaques par rejeu et la sécurisation des coffres-forts pour protéger les secrets de la RPA et de IoT .

Enfin, les organisations doivent prêter attention et gérer l'ensemble du cycle de vie des identités des machines, car des éléments tels que les droits d'accès et les propriétaires changent au fil du temps. Cette gestion doit porter sur des éléments spécifiques tels que ce qui change au fil du temps (par exemple, l'accès et les propriétaires) ainsi que sur les personnes qui effectuent et approuvent ces changements et les raisons pour lesquelles elles le font. Il est extrêmement important de disposer de cette piste d'audit dans un endroit centralisé pour assurer une gouvernance solide.

Voici quelques bonnes pratiques essentielles dans ce domaine : 

1. appliquer les principes du moindre privilège pour n'accorder aux identités des machines que l'accès dont elles ont besoin pour effectuer leur travail, 
2. la mise hors service des comptes de machines orphelins qui ne sont plus utilisés
3. l'application de la séparation des tâches, de sorte que si quelqu'un prend en charge l'identité d'une machine, il ne peut pas à la fois faire une demande et approuver cette demande.

Les entreprises d'aujourd'hui sont confrontées à un défi de taille, car davantage d'identités de différents types sont créées (et déclassées) à un rythme plus rapide que jamais, grâce à des tendances telles que les migrations vers le cloud, l'essor des machines et le passage à l'Agile et au DevOps. Cette situation peut entraîner davantage de failles de sécurité et d'impasses opérationnelles si elle n'est pas gérée correctement.

Mais il est possible de relever ces défis hautement dynamiques, et cela commence par l'adoption d'une approche agile de la gestion des actifs intellectuels pour le personnel humain et non humain, basée sur les principes suivants : 

• Accès juste à temps : Faire en sorte que les machines demandent l'accès et s'authentifient à chaque fois plutôt que de rester connectées.
• Accès en fonction du contexte : Comprendre le contexte dans lequel une machine a besoin d'un certain accès
• Des privilèges juste suffisants : Ne donner aux machines que l'accès aux systèmes et les autorisations dont elles ont besoin pour faire leur travail.
• L'automatisation : Construire l'automatisation afin d'avancer à la vitesse nécessaire pour toutes les identités tout au long de leur cycle de vie et de fournir une visibilité sur ce cycle de vie complet.

Globalement, le rythme de la transformation numérique signifie que la plupart des entreprises connaissent une augmentation significative du volume, de la vélocité et de la variété des identités - humaines et non humaines - qui nécessitent un accès aux systèmes à la fois sur site et dans le cloud. Cette tendance ne montre aucun signe de ralentissement et continuera à mettre à rude épreuve les pratiques d'IAM si les organisations ne prennent pas des mesures en conséquence.

Vous souhaitez en savoir plus sur ce qu'il faut faire pour atteindre l'agilité de l'IAM avec les identités des machines ? Regardez l'intégralité de notre webinaire avec Forrester pour en savoir plus.