La gestion des identités et des accès (IAM) n'est pas un concept nouveau pour les responsables des technologies de l'information et de la sécurité. Mais la gestion des identités et des accès est aujourd'hui très différente de ce qu'elle était il y a cinq ans.
C'est ce qui a motivé le deuxième rapport annuel de l'Institut Ponemon et de Keyfactor sur l'état de la gestion des identités des machines, qui examine en profondeur le rôle de PKI et des identités des machines, telles que les certificats X.509, dans la sécurisation des entreprises modernes. Le rapport se fonde sur les réponses à une enquête menée auprès de plus de 1 200 responsables mondiaux des technologies de l'information et de la sécurité dans 12 secteurs d'activité.
Nous soulignons ici trois points clés qui mettent en évidence l'impact du cloud et de la confiance zéro sur la gestion des identités et des accès (IAM). Ces points racontent une histoire importante sur la direction que prend l'avenir de l'IAM et sur les forces critiques qui nous y conduisent.
42% ont une stratégie globale de gestion de l'identité des machines qui est appliquée de manière cohérente dans l'ensemble de l'organisation.
Les identités des machines sont tout simplement la prochaine frontière pour les stratégies IAM.
Pendant des années, l'IAM s'est concentrée sur l'identité des utilisateurs (ou identités humaines) dans l'ensemble de l'organisation. Cependant, en 2022 et au-delà, les identités humaines ne représenteront qu'une petite partie de ce que l'IAM doit couvrir.
Les lieux de travail modernes reposent désormais sur des charges de travail dynamiques et basées sur l'informatique en nuage, ce qui a introduit le concept d'identités des machines. Tout comme les humains, ces machines doivent être identifiées, authentifiées et autorisées pour maintenir la sécurité, faute de quoi elles deviennent d'énormes vulnérabilités. L'idée n'est pas nouvelle, mais le nombre de machines et le rythme auquel elles continueront à se développer sont sans précédent.
Par conséquent, il sera essentiel à l'avenir de disposer d'une stratégie globale claire pour la gestion des identités des machines, qui sera appliquée de manière cohérente dans l'ensemble de l'organisation. Il n'est donc pas surprenant que 42 % des organisations s'engagent déjà dans cette voie, soit une augmentation de 5 % par rapport à 2021.
Alors que de plus en plus d'équipes de sécurité cherchent à mettre en œuvre ce type de stratégie, les principaux obstacles sont généralement "trop de changements et d'incertitudes" (41 %) et "le manque de personnel qualifié" (41 %). Investir dans la crypto-agilité peut aider les organisations à se préparer à des changements plus constants pour surmonter ces défis, ce qui explique pourquoi il s'agit d'une priorité stratégique majeure pour 57 % des organisations.
54% déclarent que la stratégie de sécurité zéro confiance est la principale tendance à l'origine du déploiement de PKI, de clés et de certificats.
Le principe de sécurité zéro confiance repose sur le fait que le périmètre traditionnel n'existe plus et que, par conséquent, chaque identité doit être régulièrement validée, authentifiée et autorisée à se connecter (et à se reconnecter) aux données et aux systèmes, indépendamment de qui, de quoi ou d'où elle se trouve. Il est important de noter que ce modèle s'applique à la fois aux humains et aux machines, et que l'identité est au cœur de ce modèle.
L'augmentation de la main-d'œuvre à distance au cours des deux dernières années a accéléré cette stratégie, et plus de la moitié des organisations déclarent que la confiance zéro est la principale tendance qui motive leur déploiement de PKI, de clés et de certificats numériques - qui permettent d'identifier et d'authentifier facilement les identités des machines.
Par ailleurs, 49 % des entreprises déclarent que les services basés sur le cloud sont la principale tendance à l'origine du déploiement de ces identités machine. Ces chiffres sont en parfaite adéquation avec le fait que les entreprises évoluent de plus en plus vers un environnement basé sur le cloud, et que ces services contribuent à créer des flux de travail dynamiques qui s'appuient sur des machines.
Notamment, d'autres tendances telles que le travail à distance (45 %) et les appareils IoT (44 %) sont également des facteurs critiques pour le déploiement de PKI , et elles sont directement liées à la nécessité d'une stratégie de sécurité zéro confiance et de services basés sur le cloud - ce qui aboutit à la création d'un plus grand nombre d'identités de machines.
Dans l'ensemble, ce cycle inévitable rend le passage à la création et à l'authentification des identités des machines par le biais de PKI (y compris l'utilisation de clés et de certificats numériques) inévitable pour les organisations modernes qui continuent à développer ces stratégies.
1/3 passent à une solution PKI basée sur le cloud, qu'il s'agisse d'une AC dans le cloud public ou d'une solution SaaS entièrement gérée. PKI
Enfin, l'informatique dématérialisée n'a pas seulement un impact sur le volume d'identités des machines, mais aussi sur la manière dont les organisations déploient PKI et sur l'endroit où elles le font.
Actuellement, 36 % des organisations utilisent un service géré ou fourni par SaaS PKI, tandis que 31 % utilisent un service d'AC privé d'un fournisseur de services de cloud public comme AWS ou GCP. Cela dit, nous pouvons nous attendre à ce que ces chiffres augmentent considérablement à mesure que de plus en plus de charges de travail se déplacent vers le nuage et que les organisations sont confrontées à des pénuries de compétences sur PKI - 50 % des personnes interrogées estiment qu'elles n'ont pas assez de personnel dédié au déploiement et à la gestion de PKI. Le fait que 52 % d'entre eux aient six équivalents temps plein (ETP) ou plus qui travaillent sur PKI démontre le niveau de soutien requis.
Le transfert de PKI vers le nuage, en particulier avec un SaaS PKI entièrement géré, peut aider à résoudre ce problème et permettre aux organisations d'étendre efficacement leurs programmes PKI afin de soutenir les stratégies de confiance zéro pour le nombre croissant d'identités de machines.
Au-delà de la réduction du temps consacré à la gestion du programme, ce passage à l'informatique dématérialisée pour PKI sera également essentiel pour améliorer la rapidité et l'évolutivité. Cette évolutivité permettra aux organisations d'émettre rapidement des certificats pour de nouvelles identités de machines, contrairement aux solutions sur site, qui peuvent être plus lentes et plus coûteuses à faire évoluer.
Que nous réserve IAM pour 2022 et au-delà ?
Ces conclusions du 2022 State of Machine Identity Management Report illustrent clairement l'impact du cloud et de la confiance zéro sur l'IAM, car ces deux facteurs augmentent non seulement l'importance de PKI, mais influencent également l'endroit et la manière dont les organisations structurent leurs programmes PKI .
Ce blog ne met en lumière que quelques-unes des nombreuses tendances mises en évidence dans le rapport. Nous examinerons plusieurs des résultats les plus importants dans le prochain billet, notamment en ce qui concerne la surface d'attaque de l'identité des machines.
Vous n'en savez pas plus ? Pour un examen plus approfondi de ces tendances et d'autres qui ont un impact sur la gestion de l'identité des machines, cliquez ici pour télécharger le rapport complet.
