Pour la première fois, Gartner a compilé un rapport sur le cycle de la hype pour l'un des domaines émergents les plus importants en matière de cybersécurité : l'identité numérique.
Les Hype Cycles de Gartner fournissent une représentation graphique de la maturité et de l'adoption des technologies et des applications, et de la manière dont elles sont potentiellement pertinentes pour résoudre les problèmes réels des entreprises et exploiter de nouvelles opportunités.
"Les technologies transformationnelles couvertes par ce Hype Cycle tournent autour des technologies qui établissent, négocient et gèrent la confiance dans les identités numériques, tout en permettant aux utilisateurs de "posséder" leur identité numérique. Nous pensons que la compréhension de ces outils émergents et établis peut aider les responsables de la sécurité à obtenir plus de flexibilité, d'agilité et de couverture des risques dans le paysage de l'identité numérique.
Pour nous, les tendances observées dans le Hype Cycle de Gartner pour l'identité numérique font partie d'une conversation plus large dans le domaine de la gestion de l'accès à l'identité (IAM). Les cadres IAM dictent les processus système par lesquels les individus et les machines sont identifiés, les rôles sont attribués et reconnus, les données sensibles sont protégées et les niveaux d'accès sont attribués.
Comme l'indique le Gartner Hype Cycle for Digital Identity, "en raison des cybermenaces et des lois sur la protection de la vie privée, les responsables de la sécurité et de la gestion des risques (SRM) doivent soutenir les cas d'utilisation qui permettent l'activité numérique tout en garantissant la protection des données". Ci-dessous, nous nous concentrerons sur les points clés de deux domaines de l'identité numérique mentionnés dans le rapport : La gestion de l'identité des machines et l'authentification IoT .
Gestion de l'identité des machines et IoT Authentification
Les identités des machines sont des clés numériques, des secrets et des certificats qui établissent la validité des transactions numériques.
La gestion de l'identité des machines (MIM) a été mentionnée pour la première fois en 2020 dans le Hype Cycle de Gartner pour la gestion de l'accès à l'identité et a depuis gagné en importance en tant qu'initiative de cybersécurité. Alors que les organisations ont depuis longtemps donné la priorité à la sécurisation des identités des utilisateurs humains accédant aux systèmes, elles manquent souvent d'une stratégie pour valider les identités des machines dans l'ensemble de l'entreprise.
1. Le volume d'identités des machines pose un problème croissant aux organisations.
La définition de "machine" est devenue très large, comprenant non seulement des appareils tels que des ordinateurs portables et des serveurs, mais aussi des API, des algorithmes, des applications, des infrastructures en nuage, des conteneurs et des dizaines d'autres choses.
Il n'est pas surprenant que les identités des machines soient devenues 10 fois plus nombreuses que les identités humaines, en moyenne. Les petites entreprises ont besoin de milliers d'identités machine, tandis que les entreprises du Global 500 en ont besoin de millions.
Bien que les outils permettant d'établir des identités numériques soient relativement mûrs, la gestion de ces identités représente un défi de taille, en particulier lorsqu'elle est effectuée manuellement.
2. Les équipes de sécurité ne sont pas toujours bien informées sur les identités des machines.
Les acteurs malveillants savent que les identités des machines sont l'un des aspects les moins bien compris de la sécurité, ce qui fait de ces identités une vulnérabilité favorite à exploiter. Les nouveaux logiciels malveillants ciblant les vulnérabilités de l'identité des machines sont en augmentation, tout comme le nombre d'attaques de logiciels malveillants contre les certificats. Ces attaques ont augmenté de 400 % entre 2017 et 2021, et en 2020, 50 % des défaillances de la sécurité du cloud résultaient d'une gestion inadéquate des identités et des autorisations des machines.
Selon Gartner, "les machines et les humains ont des exigences différentes en matière d'observabilité, de propriété et d'automatisation". Les organisations doivent s'efforcer de comprendre ces différences pour mettre en œuvre efficacement leurs stratégies.
3. IoT est devenu la prochaine vague du MIM.
Les produits connectés représentent un cas d'utilisation et un environnement entièrement nouveaux pour le MIM, apportant les avantages de l'infrastructure numérique aux processus physiques qui génèrent des données de production en temps réel, alertent les opérateurs sur les besoins de maintenance à venir, suivent les actifs, et bien plus encore.
Selon Gartner, "ces appareils connectés relient les mondes cybernétique et physique et ouvrent la voie à de nouveaux vecteurs de menace". Nous pensons qu'une stratégie MIM solide s'avérera essentielle pour prévenir les atteintes à la vie privée dans les secteurs à haute gouvernance tels que la finance et la santé. Elle permettra de se prémunir contre les attaques visant les "dispositifs industriels qui ont des répercussions sur les opérations et, potentiellement, des événements catastrophiques dans les zones de production où la sécurité est essentielle".
IoT présentent des exigences et des défis uniques en termes de conformité et de conception. Si la sphère publique a progressé dans la définition d'approches pour l'authentification IoT , il reste encore beaucoup de travail à faire. Selon Gartner, "la plupart des systèmes IIoT sont autonomes et utilisent des moyens propriétaires natifs pour l'authentification". En outre, "certaines méthodes d'authentification ne sont pas de bons candidats en raison de certains dispositifs IoT qui sont limités en ressources ou en fonctionnalités, avec une faible puissance de calcul et une capacité de stockage sécurisée limitée", suggère Gartner. "Évaluer et adopter des cadres d'authentification qui prennent en charge la gamme de types d'appareils dans les domaines d'activité IoT ."
4. L'infrastructure de soutien autour des identités des machines est encore en train de trouver ses marques.
En plus d'une plus grande variété et d'un plus grand volume de machines, les cas d'utilisation entre les différentes unités commerciales et les différents départements diffèrent également. Cette utilisation généralisée nécessite un ensemble de normes centralisées pour assurer l'alignement de la MIM dans l'ensemble de l'organisation, tout en laissant aux départements la flexibilité nécessaire pour mettre en œuvre la MIM selon des modalités adaptées à leurs contextes particuliers.
Cependant, les cadres et la gouvernance qui soutiennent les meilleures pratiques en matière de MIM sont encore en train d'émerger. Le Hype Cycle identifie un problème de "poule et d'œuf", dans la mesure où "les applications cibles attendent de voir si une norme décolle et les fournisseurs IAM attendent un large soutien dans leurs applications cibles".
Selon Gartner, "la convergence des outils n'est que partielle. De nombreux outils ont des approches différentes en ce qui concerne les interfaces utilisateur, les intégrations, la découverte, les capacités de reporting, la portée et la latence. Il en résulte une stratégie "best-of-breed" utilisant plusieurs outils. Gartner suggère de "déterminer l'interdépendance globale des identités des machines en établissant des processus de découverte. Évaluez un mélange d'outils multiples qui peuvent fournir une observabilité continue des machines dans votre environnement hybride et multicloud."
Les nouvelles plateformes MIM et les nouveaux modèles de service facilitent la gestion des identités des machines et de l'infrastructure à clé publique. Ces plateformes centralisées constituent une plaque tournante pour l'état de la MIM dans l'entreprise et préparent le terrain pour l'automatisation. Elles permettent également de réaliser des économies. Par le passé, chaque unité commerciale gérant les identités des machines avait besoin de sa propre autorité de certification (AC), et chaque AC avait besoin de son propre serveur. Les plateformes MIM modernes peuvent héberger plusieurs autorités de certification sur un seul serveur. Ces offres sont prêtes à l'emploi avec des bases de données et des intégrations, ce qui permet aux utilisateurs d'éviter la multiplication des fournisseurs. PKI-Les offres "en tant que service" permettent aux organisations d'externaliser complètement le MIM grâce à un modèle d'abonnement SaaS efficace.
5. La MIM est essentielle pour permettre des flux de travail plus agiles dans les domaines de la conception, du développement et des opérations de sécurité.
Les processus agiles et DevOps font largement appel aux systèmes cloud et autres plateformes décentralisées pour faciliter le développement itératif et les boucles de rétroaction rapides. Du point de vue de la sécurité, cela signifie une plus grande vélocité des demandes et des transactions numériques qui doivent être sécurisées sans devenir un goulot d'étranglement.
Les phases de sécurité, de test software et de conformité sont souvent considérées comme des obstacles à l'agilité et à l'innovation. Mais la tendance du "shift left" transforme ces phases difficiles en accélérateurs en intégrant les parties prenantes de la sécurité, des tests et de la conformité dans la conversation sur la conception dès les premiers stades, une approche connue sous le nom de DevSecOps. Avec les outils appropriés, nous pensons que les principes clés de DevOps, comme l'automatisation, peuvent être étendus à la sécurité et au MIM.
6. La MIM jette les bases de la confiance zéro.
La confiance zéro est le dernier mouvement en date dans le domaine de la sécurité des entreprises. Traditionnellement, une fois qu'un utilisateur ou une machine a franchi le pare-feu, il est "fiable" et peut se déplacer latéralement, sans contrôle, dans l'ensemble des systèmes. Une approche de confiance zéro vérifie chaque demande comme si elle provenait d'un réseau ouvert et non sécurisé.
La confiance zéro est une stratégie, pas un outil. Pour mettre en œuvre cette stratégie sans ralentir les processus d'entreprise, les organisations doivent disposer de l'architecture et des cadres nécessaires pour gérer efficacement les identités des machines.
Prochaines étapes
En ce qui concerne les identités des machines, le train a quitté la gare. Les certificats et les clés sont déjà utilisés dans toutes les entreprises et font partie intégrante de toute infrastructure numérique moderne.
En tant qu'entreprise, il est peu probable que votre fonction première soit de créer un processus MIM efficace. Nous pensons que la méthode traditionnelle de gestion des identités des machines est fastidieuse, manuelle et souvent mal comprise, et qu'elle peut considérablement empêcher votre équipe de sécurité de se concentrer sur ses objectifs de haut niveau.
Le domaine de la gestion de l'information et de la communication (MIM) et son ombrelle, la gestion intégrée de l'information (IAM), se sont scindés en de nouveaux sous-domaines passionnants qui positionnent la MIM non seulement comme une solution durable, mais aussi comme une valeur ajoutée pour votre organisation. C'est là que Keyfactor entre en jeu. Nous aidons les organisations à reprendre le contrôle et à sécuriser l'identité de chaque machine afin qu'elles puissent se concentrer sur la création de valeur pour l'entreprise. Laissez-nous vous montrer comment notre plateforme " cloud-first " facilite la gestion et la protection de chaque clé et certificat au sein de votre entreprise - planifiez une démonstration pour en savoir plus.
Gartner, Hype Cycle for Digital Identity, 2022, Felix Gaehtgens, 25 juillet 2022
Gartner et Hype Cycle sont des marques déposées et des marques de service de Gartner, Inc. et/ou de ses filiales aux États-Unis et dans le monde, et sont utilisées ici avec autorisation. Tous les droits sont réservés. Gartner ne soutient aucun fournisseur, produit ou service décrit dans ses publications de recherche, et ne conseille pas aux utilisateurs de technologies de choisir uniquement les fournisseurs les mieux notés ou désignés. Les publications de recherche de Gartner représentent les opinions de l'organisation de recherche de Gartner et ne doivent pas être interprétées comme des déclarations de fait. Gartner décline toute garantie, expresse ou implicite, concernant cette recherche, y compris toute garantie de qualité marchande ou d'adéquation à un usage particulier.
