Cette année, une tempête d'événements a conduit à l'accélération rapide de projets de transformation numérique déjà planifiés et à l'adoption d'initiatives de travail en tout lieu, qui ont rendu obsolètes les frontières traditionnelles de l'entreprise. Dans ce nouveau monde, chacun (et chaque "chose") est un étranger à l'organisation - qu'il soit à distance ou au bureau.
Le rôle de l'identité dans notre façon de travailler et d'interagir
Vous l'avez déjà entendu : le concept "à l'intérieur sont les bons, à l'extérieur sont les méchants" est un héritage laissé derrière nous. La confiance s'est transformée en vulnérabilité. Les attaquants peuvent facilement tirer parti d'informations d'identification compromises ou volées pour infiltrer les réseaux d'entreprise et se déplacer latéralement sans être détectés.
En fait, la récente version 2021 du Data Breach Investigations Report (DBIR) montre que 61 % des violations de données concernent des informations d'identification, tandis que 70 % de tous les cas d'abus sont des abus de privilèges.
À une époque où les stratégies de sécurité s'adaptent au mantra "ne faire confiance à personne, vérifier partout et à chaque fois", il est indispensable de s'assurer que seules les personnes et les appareils autorisés et authentifiés peuvent accéder aux données et aux infrastructures critiques.
En d'autres termes, l'identité n'est pas le nouveau périmètre, c'est le fondement de la sécurité dans un monde sans périmètre.
La sécurité fondée sur l'identité est une tendance majeure
Les entreprises doivent faire évoluer leur programme de gestion des identités pour "permettre aux bonnes personnes d'accéder aux bonnes ressources, au bon moment et pour les bonnes raisons", comme l'indique le Gartner. C'est pourquoi Gartner a fait de la sécurité fondée sur l'identité l'une des principales tendances en matière de sécurité et de risques pour 2021. principale tendance en matière de sécurité et de risque pour 2021.
"L'attaque de SolarWinds a démontré que la gestion et la surveillance des identités n'étaient pas des plus efficaces. Alors que beaucoup d'argent et de temps ont été consacrés à l'authentification multifactorielle, à l'authentification unique et à l'authentification biométrique, très peu ont été consacrés à une surveillance efficace de l'authentification pour repérer les attaques contre cette infrastructure". note Peter Firstbrook, vice-président de la recherche chez Gartner.
Bien que les entreprises aient investi dans l'évolution de leurs solutions de sécurité d'accès pour inclure des éléments tels que l'authentification sans mot de passe, l'identification multifactorielle (MFA) et l'authentification unique (SSO), le fait est qu'elles ne se concentrent que sur une fraction de leur personnel.
Aujourd'hui, les machines représentent une part bien plus importante de votre "main-d'œuvre numérique" que les humains. Cependant, les investissements dans la gestion et la protection des identités des machines, tels que les certificats X.509, sont souvent dérisoires par rapport aux investissements dans la gestion des identités et des accès (IAM) des personnes.
En résumé, les identités des machines doivent faire partie de votre stratégie IAM, en particulier à mesure que nous évoluons vers une main-d'œuvre plus numérique où les équipes qui développent et exploitent l'entreprise reposent entièrement sur les machines qui sous-tendent notre infrastructure (c'est-à-dire les serveurs, les conteneurs, les appareils mobiles, etc.)
L'identité est la clé de voûte de la confiance zéro
Dans la section 3 du récent décret de M. Biden, le document énonce des ordres visant à "moderniser la cybersécurité du gouvernement fédéral" et appelle spécifiquement à des avancées dans les "services en nuage et l'architecture de confiance zéro".
Le décret souligne que l'architecture de confiance zéro "permet aux utilisateurs d'avoir un accès total, mais seulement au strict minimum dont ils ont besoin pour effectuer leur travail". Un élément essentiel de l'architecture de confiance zéro est la délivrance et la gestion des identités numériques, tant pour les humains que pour les machines.
NIST SP 800-207 définit l'infrastructure à clé publique (PKI) comme un élément essentiel pour parvenir à une architecture de confiance zéro. En fait, une enquête auprès des cadres a récemment montré que 96 % des responsables de la sécurité informatique reconnaissent que PKI et les certificats numériques sont essentiels à la confiance zéro.
Faire évoluer votre stratégie IAM pour les machines
Gartner note que "la sécurité axée sur l'identité place l'identité au centre de la conception de la sécurité et exige un changement majeur par rapport à la conception traditionnelle de la périphérie du réseau local". Le problème est que les équipes de sécurité ont du mal à appliquer les meilleures pratiques en matière de gestion et de protection de ces informations d'identification.
Les identités ne sont plus centrées sur l'homme, mais elles permettent d'authentifier et d'autoriser un large éventail d'appareils, de processus DevOps et de services.
Cependant, recherche montre que :
- 55% des organisations ne disposent pas d'un personnel de sécurité informatique suffisant pour s'occuper de leur site PKI.
- 60 % des organisations n'ont pas de contrôle d'accès formel pour les clés de signature de code.
- 40 % des organisations utilisent encore des feuilles de calcul pour assurer le suivi manuel des certificats numériques.
Le fait de s'appuyer sur des processus manuels longs et sujets aux erreurs laisse de nombreuses zones d'ombre et crée des failles de sécurité que les adversaires continuent d'exploiter pour compromettre les données. Les attaques par usurpation d'identité, les pannes liées aux certificats et les logiciels malveillants se faisant passer pour des sites légitimes ( software ) ne sont que quelques-uns des exemples qui devraient convaincre tous les RSSI qu'il est temps de faire évoluer leurs pratiques de gestion des identités et des accès (IAM ) pour impliquer à la fois les humains et les machines.
En savoir plus
La cryptographie est désormais une infrastructure essentielle pour les entreprises numériques et les identités des machines sont le fondement de la confiance numérique. À mesure que le monde se transforme numériquement, les machines continueront à jouer un rôle de plus en plus important dans les entreprises et la société.
Découvrez comment intégrer efficacement les machines dans votre stratégie IAM lors de notre webinaire avec David Mahdi, vice-président et analyste chez Gartner, sur "Comment PKI, Crypto et les machines font tourner le monde numérique". Regardez-le ici.
