Il est temps de planifier la prochaine génération de stratégies de gestion des identités et des accès (IAM).
Il n'est pas surprenant que ce soit l'un des thèmes clés du 2022 IAM Summit de sommet 2022 IAM de Gartner, qui s'est tenu à Las Vegas.. L'événement promettait de partager des informations précieuses sur la gestion des accès privilégiés (PAM), les programmes et la stratégie IAM, l'authentification unique, l'authentification multifactorielle (MFA), les méthodes sans mot de passe, et bien plus encore - et il a tenu toutes ses promesses.
J'ai eu la chance d'assister à l'événement et de m'entretenir avec divers leaders de la gestion des identités et des accès (IAM). Sur la base de mes discussions et des informations communiquées par Gartner, voici les principales tendances en matière de gestion des identités et des accès (IAM) pour l'année à venir.
1) Refonte de la gestion des identités pour y inclure les identités des machines
De nombreuses entreprises sont en train de revoir leur approche de la gestion des identités, et l'un des principaux changements sur lequel elles se concentrent est l'intégration des identités des machines dans leur stratégie globale de gestion des identités et des accès (IAM).
Cela représente un changement important dans la manière dont nous envisageons les identités des machines, les conversations dans ce domaine s'éloignant des domaines techniques et centrés sur la sécurité pour s'étendre au contexte plus large de l'IAM (pensez au provisionnement, au dé-provisionnement, au déplacement, au changement, et ainsi de suite).
Dans l'ensemble, l'inclusion des identités des machines est un élément important de la "stratégie IAM de la prochaine génération", et se reflète même dans le passage du Hype Cycle de Gartner pour l'IAM au Hype Cycle pour l'identité numérique. Hype Cycle pour l'identité numérique.
2) Mise en œuvre d'une sécurité fondée sur l'identité
Tout le monde sait que l'identité est un élément fondamental de la sécurité, mais le Gartner IAM Summit a clairement montré que dans un monde post-COVID, l'identité est désormais au centre de l'infrastructure de sécurité.
En fait, selon Erik WahlstromSenior Director Analyst chez Gartner, la prochaine évolution de la stratégie d'identité ne consiste pas seulement à délivrer des identités, mais aussi à protéger ces identités et l'infrastructure qui les sous-tend contre les attaques.
À l'avenir, cela signifie que nous pouvons nous attendre à ce que l'accent soit davantage mis sur l'ensemble du cycle de vie de l'identité (y compris les identités des machines) afin d'assurer une protection à chaque étape du processus.
3) Vers une convergence de l'IAM
Avec l'évolution du marché de l'IAM, les équipes n'ont plus à choisir entre des solutions "best of breed" et des solutions "all in one", et peuvent adopter une approche "best in suite". Ce changement est alimenté par une convergence significative des capacités des différents outils IAM et un chevauchement croissant entre les fournisseurs IAM.
Cela dit, nous avons encore des progrès à faire. De nombreuses organisations ont dû créer des outils maison pour synchroniser les différents gestionnaires de secrets, les outils PAM et les outils fournis par l'IaaS, ce qui montre clairement la nécessité d'une plus grande interopérabilité entre les plateformes et d'une convergence continue.
4) Soutenir la sécurité centralisée et décentralisée
La sécurité centralisée et décentralisée (CeDeSec) est l'idée que les équipes de sécurité et de gestion des identités et des accès doivent adopter le concept de contrôle centralisé et d'application décentralisée. Lorsqu'elle est bien menée, cette approche aboutit à une architecture maillée de cybersécurité (CSMA).
CeDeSec est né du constat que dans un monde où l'informatique est décentralisée, les équipes ont besoin d'un moyen de maintenir un point de contrôle unique tout en permettant aux différentes équipes d'utiliser les outils et les flux de travail qui répondent le mieux à leurs besoins.
Heureusement, CeDeSec est facilement accessible : cette approche se prête bien à la gestion des identités de PKI et de la machineles domaines dans lesquels les équipes de sécurité sont déjà rompues au maintien d'une visibilité et d'une gestion centralisées à travers une variété d'outils différents.
5) Réfléchir au courtage d'accès juste à temps
Le courtage d'accès juste à temps (JIT) prend de l'ampleur. Dans cette approche, les entreprises utilisent toujours des certificats comme forme d'authentification pour les utilisateurs, mais chaque fois que les utilisateurs se connectent à un système, ils obtiennent un nouveau certificat.
De cette manière, le courtage d'accès JAT réduit considérablement les risques de compromission ou de vol des informations d'identification, étant donné que ces informations sont de courte durée et ne peuvent généralement être utilisées qu'une seule fois. Bien entendu, pour que le courtage d'accès JAT fonctionne - en particulier sans causer de maux de tête aux utilisateurs - il faut une approche très efficace et évolutive de l'émission et du déprovisionnement de ces identités.
6) Création d'un groupe de travail sur l'identité des machines
Enfin, de nombreuses organisations s'éloignent des centres d'excellence en cryptographie et mettent en place des groupes de travail sur l'identité des machines.
Gartner souligne deux problèmes liés au modèle CCoE plus traditionnel : (1) le crypto a perdu sa signification en tant que terme de sécurité informatique puisqu'il s'agit désormais d'une monnaie et (2) l'idée qu'une seule équipe (souvent la sécurité ou l'IAM) puisse gérer tout ce qui concerne le crypto pour l'ensemble de l'organisation n'est pas réaliste.
Au lieu de cela, les organisations ont tout intérêt à créer un groupe de travail interfonctionnel composé d'acteurs clés des équipes IAM, sécurité, DevOps, infrastructure et opérations, et cloud, qui se réunissent régulièrement pour établir la propriété, prendre des décisions en matière de politique et d'outils, et créer des orientations. Réunir ce groupe interfonctionnel permet d'étendre la responsabilité des identités machine à un plus grand nombre d'équipes au sein de l'organisation et de s'assurer que tous les points de vue de ces équipes sont représentés dans les stratégies.
Se préparer à la prochaine génération d'IAM
Le 2022 IAM Summit de Gartner a clairement montré que la nouvelle génération d'IAM est à nos portes et qu'il est temps de repenser les stratégies, les solutions et la gestion.
Les tendances telles que l'intégration des identités des machines dans les stratégies IAM, la mise en œuvre d'une sécurité fondée sur l'identité et la création d'un groupe de travail sur les identités des machines ne sont que quelques-unes des mesures que les organisations peuvent prendre pour suivre le rythme de la nouvelle génération et éviter d'être à la traîne.
Votre équipe est-elle prête à opérer ces changements ? C'est maintenant qu'il faut en discuter.
