Comment créer un groupe de travail sur la gestion de l'identité des machines

Les identités des machines explosent dans les entreprises. Ne cherchez pas plus loin que le Sommet 2022 IAM de Gartner de Gartner pour s'en convaincre.

Et tout comme les identités humaines, ces identités de machines nécessitent une gestion appropriée des secrets, des clés et des certificats pour maintenir la sécurité. Mais contrairement aux identités humaines, ces identités des machines nécessitent une attention particulière à la propriété, à l'automatisation, à la découverte et à l'amélioration des relations avec les développeurs.

Tout simplement, les organisations ont besoin d'une stratégie claire à l'échelle de l'entreprise pour la gestion de l'identité des machines. Cependant, chaque équipe aura des besoins et des préférences différents en ce qui concerne les outils et les meilleures pratiques. Comment ces décisions doivent-elles être prises ?

La réponse est un groupe de travail sur la gestion de l'identité des machines.

Un groupe de travail sur la gestion de l'identité des machines est un groupe interfonctionnel composé de parties prenantes des équipes IAM, sécurité, DevOps, infrastructure et opérations, et cloud qui se réunissent régulièrement pour établir la propriété, prendre des décisions en matière de politique et d'outils et créer des orientations autour des politiques d'identité des machines.

Ce groupe de travail est la prochaine itération d'un centre d'excellence en cryptographie (CCOE) et est conçu pour dépasser l'idée qu'une seule équipe peut gérer avec succès cette stratégie pour l'ensemble de l'organisation. Le groupe de travail reconnaît plutôt qu'aucune équipe ne possède l'expertise nécessaire pour gérer toutes les identités des machines ou pour représenter les divers intérêts de l'organisation.

L'un des principaux défis à relever pour élaborer une stratégie de gestion de l'identité des machines est l'alignement organisationnel.

Un groupe de travail sur la gestion de l'identité des machines peut aider à surmonter ce problème en créant un groupe unique qui représente les différents intérêts des équipes et qui dispose d'une autorité claire :

• Meilleures pratiques, développement de processus et d'outils
• Prise de décision en cas de conflits liés à l'identité de la machine
• Réponses aux questions des utilisateurs dans l'ensemble de l'entreprise

Par conséquent, le fait de confier à ce groupe la responsabilité de diriger la gestion de l'identité des machines permet de créer un alignement sans centraliser l'autorité au sein d'un seul département.

Les principales responsabilités d'un groupe de travail sur la gestion de l'identité des machines sont les suivantes

• Établir une mission : Le groupe doit s'aligner sur la manière dont il soutiendra la gestion de l'identité des machines dans l'ensemble de l'organisation. Sa mission doit décrire comment il centralisera la prise de décision tout en travaillant de manière plus décentralisée pour partager les nouvelles lignes directrices dans l'ensemble de l'organisation au fil du temps. Une partie importante de cette mission doit consister à définir les attentes des équipes concernées quant au fonctionnement du groupe, à leurs responsabilités et à la manière et au moment d'impliquer le groupe.
  
  
• Définir les meilleures pratiques : Définir les meilleures pratiques pour l'ensemble de l'organisation permettra aux équipes individuelles de progresser rapidement dans la gestion de l'identité des machines, car elles pourront se référer à ces pratiques au lieu de devoir consulter le groupe de travail pour chaque question ou initiative qui se présente. En outre, ces meilleures pratiques garantiront que chaque équipe adopte une approche normalisée. Les domaines clés des meilleures pratiques sont les suivants :

• Décisions relatives à l'outillage
• Processus de découverte
• Définitions de la propriété
• Exigences de conformité
• Utilisation de bibliothèques pour interagir avec les identités des machines

• Servir de point de contact unique : Le groupe de travail doit être un point de contact unique pour les utilisateurs des différentes équipes de l'organisation pour toute question ou problème concernant la gestion de l'identité des machines. Quelle que soit l'origine des questions, le groupe doit donner une réponse unique par le biais d'un processus standardisé afin d'éviter les divergences au sein de l'organisation.
• Effectuer des recherches : L'espace de gestion de l'identité des machines évolue rapidement, les protocoles et les technologies changeant très régulièrement. Il incombe au groupe de travail d'étudier régulièrement ces changements et d'en comprendre l'impact afin d'adapter les meilleures pratiques et les processus, le cas échéant, pour rester en phase avec les tendances du marché, voire les devancer.
• Assurer un leadership éclairé : La gestion de l'identité des machines devient de plus en plus critique pour la pratique globale de sécurité d'une organisation. Par conséquent, le groupe de travail ne doit pas se contenter de formuler des recommandations exploitables. Il doit également rester à l'avant-garde des tendances afin de fournir un leadership éclairé sur les pratiques innovantes et les changements à venir dans ce domaine.
• S'approprier la prise de décision stratégique : Le groupe de travail devra s'approprier la prise de décision stratégique concernant les politiques de gestion de l'identité des machines, en particulier lorsqu'il s'agit de l'outillage. Par exemple, le groupe devrait fournir des orientations claires sur le type d'outil à mettre en œuvre dans différentes situations et sur la manière de gérer les systèmes existants vieillissants.
• Attribuer la propriété : Il est important de noter que le groupe de travail n'a pas besoin de posséder tous les outils de gestion de l'identité des machines - il doit simplement s'approprier les politiques et les décisions relatives à cette technologie. Il s'agit notamment de déterminer quelles équipes doivent être propriétaires des différentes solutions et comment elles doivent gérer ces outils.

La création d'un groupe de travail sur la gestion de l'identité des machines est une étape importante dans l'élaboration d'une stratégie à l'échelle de l'entreprise - et la participation à un tel groupe est une responsabilité que les membres doivent prendre au sérieux.

Dans cette optique, les principaux éléments à prendre en compte pour réussir à créer un tel groupe sont les suivants personnes possédant les compétences nécessaires et assurer la représentation des différentes équipes et unités opérationnelles, dont beaucoup peuvent avoir des objectifs contradictoires. En rassemblant ces personnes, l'objectif doit être de réunir un groupe de représentants offrant un bon mélange de compétences, d'expériences et de compréhension des différentes parties de l'organisation.

Au-delà des personnes qui composeront le groupe de travail, il est également essentiel de prendre en compte les environnements hybrides et multiclouds ainsi que tout autre cadre de sécurité (comme la confiance zéro). (comme la confiance zéro) déjà en place et les identités actuellement utilisées dans l'entreprise.

D'une manière générale, il est important de donner au groupe les moyens d'orienter de manière proactive la stratégie et la prise de décision, plutôt que de servir d'organe réactif.

Une stratégie de gestion stratégie de gestion de l'identité des machines est une stratégie qui évolue en fonction des besoins de l'organisation et des tendances environnementales. Le groupe de travail sur la gestion de l'identité des machines peut aider à guider cette stratégie à travers les phases clés suivantes :

• Lancer : Introduire une stratégie pour améliorer les orientations, répondre aux exigences en matière de sécurité et développer de manière cohérente l'adoption d'outils de sécurité dans l'ensemble de l'organisation.

• Définir : Définir clairement ce qu'est une identité de machine (par opposition à une identité humaine), y compris les catégories d'identités d'appareils et d'identités de charge de travail.

• Établir : Désigner une équipe responsable de la stratégie de gestion de l'identité des machines, c'est-à-dire un groupe de travail composé de représentants de l'ensemble de l'organisation.
• Décider : Choisir les bons outils pour gérer les identités des machines pour chaque cas d'utilisation auquel l'organisation est confrontée.

Au-delà de ces phases initiales, plusieurs autres phases doivent être envisagées pour chaque cas d'utilisation :

• Découvrir : Identifier les machines qui doivent être gérées et contrôlées.
• Évaluer : Utiliser des données pour mesurer le succès, rendre compte de ces efforts et les ajuster si nécessaire.
• Aligner : Définir les meilleures pratiques à suivre par tous les membres de l'organisation.
• Correction : Ajuster les systèmes non conformes et supprimer les identités de machines non utilisées.
• Automatiser : Introduire l'automatisation de la gestion du cycle de vie des identités.
• Permettre : Permettre aux parties prenantes de suivre les meilleures pratiques établies pour faire évoluer la gestion de l'identité des machines.

La gestion de l'identité des machines est appelée à devenir encore plus importante au cours de l'année à venir. Par conséquent, il est essentiel de s'assurer que votre organisation dispose d'une stratégie clairement définie et bien alignée le plus tôt possible. Le meilleur moyen de commencer est de créer un groupe de travail sur la gestion de l'identité des machines.

Bien entendu, la gestion des identités des machines à long terme n'est pas une mince affaire. Pour en savoir plus sur les enjeux et sur la manière dont Keyfactor peut vous aider, n'hésitez pas à nous contacter, contactez-nous ici.