Alors que le monde continue d'adopter la transformation numérique et le travail distribué, les entreprises continueront de déployer des applications SaaS tout en continuant d'utiliser des outils sur site. Les écosystèmes hybrides deviennent donc de plus en plus courants. Malheureusement, les pratiques actuelles de gestion des identités et des accès (IAM) ne sont tout simplement pas à la hauteur pour les gérer.
L'entreprise moyenne utilise au moins 20 produits qui gèrent et maintiennent l'identité. Le contrôle d'accès à ces produits peut être un véritable fouillis, les informations d'identification étant généralement réparties dans l'ensemble de l'entreprise. C'est un véritable trésor pour les pirates malveillants.
Que peut-on faire alors ? Lors de la récente conférence sur la protection de l'identité hybride, j'ai animé une table ronde qui a commencé par cette question. Nous avons discuté des problèmes liés aux pratiques actuelles de gestion de l'identité et de la manière dont les entreprises peuvent actualiser leurs pratiques pour les rendre plus efficaces, plus efficientes et plus sûres.
Dans cet article, vous trouverez les principales conclusions de la discussion, à laquelle ont participé Ricky Allen, CISO de Critical Start, Brian Desmond, directeur du Ravenswood Technology Group, Brandon Nolan, responsable mondial de l'identité numérique et de la récupération chez Avanade, et moi-même, fondateur et PDG de TAG Cyber.
1. Les identités et les points de terminaison ne peuvent plus être gérés séparément
La première étape que les entreprises doivent franchir est de reconceptualiser leur approche de l'IAM.
"Il faut tenir compte à la fois de la sécurité des points d'accès et de la sécurité des identités", a déclaré M. Desmond. "Il n'y a plus de différence entre les deux. L'époque où les dispositifs et la gestion des identités étaient gérés par des départements différents est révolue - cela ne fonctionne tout simplement plus, surtout si l'on considère les directives établies autour d'un modèle de confiance zéro."
La gestion des identités et des accès n'est pas quelque chose qu'un produit peut simplement fournir. Les entreprises doivent commencer par la gestion des identités ou des points d'accès, puis combiner cet élément avec son homologue. Dans le cadre de ce processus, il est essentiel d'établir la propriété des actifs tels que les secrets et les coffres-forts, de définir les identités privilégiées et non privilégiées, et de déterminer des niveaux d'accès concrets.
Dans un environnement Microsoft, les entreprises peuvent atteindre cet équilibre en adoptant Azure Active Directory (Azure AD), qui offre des fonctionnalités essentielles, telles que l'authentification multifactorielle (MFA).
2. La consolidation est la première étape pour relever le défi de la sécurité hybride
La complexité est le principal obstacle à une sécurité hybride efficace. Comme de nombreuses entreprises l'ont découvert, une approche intégrée est essentielle pour surmonter cet obstacle. Les entreprises peuvent collaborer avec un fournisseur de services d'identité pour mettre progressivement hors service les solutions existantes pour les terminaux et consolider leurs fonctionnalités dans une plateforme unique. Ce fournisseur de services d'identité peut ensuite se connecter à Azure, ce qui améliore l'efficacité tout en réduisant la prolifération.
"Les acteurs de la menace adorent la complexité", a déclaré M. Nolan. "C'est pourquoi nous voyons de nombreuses organisations chercher à s'affranchir de cette complexité. Nous commençons à voir un mouvement beaucoup plus important vers la plate-forme plutôt que vers les solutions de point d'extrémité.
3. Une visibilité en temps réel est nécessaire
Une entreprise qui n'a pas une vision claire de ses actifs est une cible de choix pour l'exploitation. Malheureusement, les environnements d'entreprise axés sur le cloud évoluent trop rapidement pour les techniques d'audit traditionnelles. Les instantanés sont également inadaptés, car ils offrent une image statique d'un environnement dynamique.
"L'inventaire est une cible mouvante", a déclaré M. Desmond. "Lorsque vous terminez un audit, les informations dont vous disposez sont déjà obsolètes.
Les entreprises peuvent résoudre ce problème en adoptant des outils de détection automatisés. Les outils basés sur l'intelligence artificielle et l'apprentissage automatique peuvent surveiller activement l'infrastructure et catégoriser les alertes pour que les équipes de sécurité humaines puissent les traiter. De cette manière, une entreprise peut s'engager dans la gestion en temps réel, la détection des menaces et la remédiation.
"La visibilité a tendance à être très complexe", a déclaré M. Nolan. "Dans notre cas, nous décomposons un écosystème en une couche d'identité, de point final, de réseau et d'automatisation, respectivement. L'idée est que la visibilité ne se limite pas aux actifs ou à l'inventaire : Il s'agit tout autant de télémétrie d'authentification et de services de fédération."
4. La culture de l'héritage est un point d'arrêt important
Pour que les entreprises adoptent l'IAM hybride, elles doivent d'abord se débarrasser de leurs anciennes habitudes, idées et croyances en matière d'authentification et de contrôle d'accès. Les systèmes existants sont un symptôme de cette ancienne façon de penser. Ils constituent à la fois la plus grande menace pour la sécurité de nombreuses entreprises et le point d'ancrage qui les retient pendant la transformation numérique.
"Je pense que le sujet principal de cette conversation est de déterminer le risque le plus important", a déclaré M. Allen. "Et je trouve que c'est l'équipement hérité. Nous avons toujours adopté une approche inversée et rétrocompatible, même si nous avançons de plus en plus vite. Nous n'apportons pas le plus petit dénominateur commun avec nous. En conséquence, nous sommes obligés de revoir à la baisse tous nos systèmes d'authentification".
S'éloigner de ce paradigme et se débarrasser des habitudes prises depuis plus de 20 ans n'est pas une mince affaire. Cela nécessite une collaboration importante entre les services informatiques et les autres secteurs de l'entreprise. Il faut également que les entreprises acceptent l'idée que moins c'est plus - moins il y a de systèmes distincts sur lesquels une organisation s'appuie, mieux c'est.
Ce que l'avenir nous réserve
Microsoft joue depuis longtemps un rôle de premier plan dans la sécurité des entreprises. En ce qui concerne l'IAM hybride, Azure AD peut jouer un rôle encore plus important. Pour toute entreprise qui travaille avec la pile Microsoft, les licences E5 sont particulièrement importantes, car elles permettent d'améliorer le contrôle d'accès, la visibilité et la détection des menaces.
"Je pense qu'en fin de compte, l'accent devrait être mis sur ce que Microsoft fait dans le domaine de la sécurité", a conclu M. Allen. "L'approche de l'entreprise à l'égard de ses produits a changé, convergeant vers un produit unique qui gère désormais le courrier électronique, les points d'extrémité et l'identité dans tous les domaines. Cela vaut vraiment la peine d'être pris en considération et d'examiner les licences E5."
Parallèlement, de nouvelles technologies telles que la blockchain pourraient redéfinir la façon dont nous gérons le chiffrement. En stockant une clé dans un grand livre distribué, on peut non seulement sécuriser cette clé, mais aussi s'assurer qu'elle conserve son intégrité. Cela dit, cette technologie est encore très théorique, et il est peu probable qu'elle voie le jour avant 2023.
Pour la sécurité hybride, les partenariats sont la voie à suivre
La sécurisation d'un environnement hybride est une tâche complexe et gourmande en ressources, qui oblige l'entreprise à repenser non seulement son infrastructure, mais aussi toute sa culture. La pénurie actuelle de talents représente peut-être le plus grand obstacle à la transformation. En fin de compte, l'identité hybride signifie qu'il ne sera pas seulement conseillé de s'associer avec d'autres organisations, mais que cela deviendra nécessaire.
"D'après mon expérience, une organisation ne peut tout simplement pas le faire seule", a ajouté M. Nolan. "Il n'y a tout simplement pas assez de ressources qualifiées en matière de sécurité hybride pour faire le travail. Il faudra un village - le bon partenariat entre le vendeur, le fournisseur de services et l'entreprise.