Sean Deuby | Technologue principal

L'investissement dans la sécurité et la protection de l'identité a atteint un niveau record. Cette année, la valeur du marché mondial de la gestion des identités et des accès (IAM) devrait atteindre 20,75 milliards de dollars. Cela n'est guère surprenant : Gartner a récemment estimé qu'environ 75 % de toutes les défaillances en matière de sécurité sont imputables à une mauvaise gestion des identités, des accès et des privilèges. Que réserve l'avenir à la gestion des identités ?

Malgré l'augmentation des investissements dans la détection et la réponse des menaces des systèmes d'identité (ITDR), les organisations ont toujours du mal à la mettre en œuvre. Souvent, les départements d'une organisation sont fondamentalement déconnectés, ce qui réduit à néant toute chance d'instaurer une culture de l'identité durable. Selon Denis Ontiveros Merlo, vice-président des plateformes d'entreprise chez BP, cette déconnexion n'est pas quelque chose que les entreprises peuvent régler en interne.

« Nous avons construit un écosystème entier qui, sans s'en rendre compte, a créé des anti-modèles [au nom de la sécurité] qui vont à l'encontre de l'objectif final qui est de rendre l'identité sans friction, sûre et sécurisée », explique M. Ontiveros Merlo. « Les gens adoptent ces modèles parce qu'ils pensent que c'est la bonne chose à faire, et nous nous retrouvons dans un cercle vicieux. Il y a beaucoup d'éducation à faire pour que nous puissions nous libérer de ce cercle vicieux. » ajoute-t-il.

La formation aux dernières capacités de gestion des identités est le premier pas vers l'avenir de la gestion des identités. Mais ce n'est pas le seul défi que les organisations rencontreront sur leur chemin.

Un nouveau paysage pour la gestion des identités

À bien des égards, le secteur des entreprises ne s'est pas encore remis du changement de paradigme qui s'est produit pendant la pandémie. Tout est désormais numérique, distribué et fédéré, que nous le voulions ou non. Ce changement représente un défi considérable pour les organisations qui sont habituées à gérer une infrastructure et des équipes centralisées.

« Lorsqu'il s'agit de mettre en œuvre une certaine gouvernance, il n'y a plus une seule gorge à étrangler, comme le dit l'adage », déclare Ontiveros Merlo. «Alors que tout était monolithique auparavant, nous avons maintenant une multitude de petits composants qui fonctionnent tous ensemble. Parallèlement à la transformation numérique et au travail à distance, l'architecture microservices devient la norme» explique-t-il.

« Tous ces composants doivent s'authentifier et se faire confiance. Chaque utilisateur, machine, application, dispositif et capteur. C'est un défi considérable, mais je pense que c'est aussi une opportunité. Nous le voyons avec Azure B2B, que l'on pourrait considérer comme le début de l'identité décentralisée » indique-t-il.

La folie de forcer la gestion de l'identité dans une boîte

Nous aimons l'idée qu'il existe une solution unique pour l'ITDR. Cependant, les organisations ont des capacités, des contraintes et des exigences différentes. Les technologies et les stratégies qui fonctionnent pour une entreprise peuvent s'avérer totalement inefficaces pour une autre.

« J'ai toujours trouvé intéressant qu'en ce qui concerne les problèmes d'identité tels que l'accès privilégié, nous ayons tendance à construire des solutions et des écosystèmes qui tendent finalement vers une dérive de la configuration », remarque Ontiveros Merlo. Il ajoute : « le modèle idéal consisterait à pousser le code de manière déclarative par le biais de l'intégration continue/la livraison continue (CI/CD). Cependant, avant d'en arriver là, nous devons être plus conscients et attentifs aux préjugés que nous pouvons avoir lorsque nous adoptons une nouvelle technologie, aux anti-modèles dans lesquels nous pouvons tomber.

« Nous devons également être plus conscients de la manière dont nous intégrons la technologie dans l'organisation », ajoute-t-il.

La gestion des identités n'est pas réservée aux administrateurs

La gestion de l'identité est traditionnellement considérée comme une préoccupation administrative. Cependant, elle ne concerne pas seulement les administrateurs.

« Nous devons nous demander qui est le client dans cette situation. Parce que l'identité tend à être un service partagé, elle est souvent utilisée comme point d'application de la gouvernance. Mais en réalité, la gouvernance et la responsabilité incombent à chacun », déclare Ontiveros Merlo.

Nous ne pouvons pas attendre des équipes chargées de la gestion des identités qu'elles s'occupent de questions telles que la protection de la vie privée ou la séparation des tâches. Lorsque nous développons et déployons des solutions de gestion de l'identité, nous devons également prendre en compte l'expérience de l'utilisateur et la manière dont nos processus et nos politiques jouent un rôle à cet égard. La sécurité et la commodité ne peuvent plus être en contradiction.

Aller au-delà du RBAC

À long terme, explique M. Ontiveros Merlo, le contrôle d'accès basé sur les rôles (RBAC) pourrait ne pas être le mieux adapté à un avenir distribué. Ce changement pourrait être très perturbateur.

Le système de RBAC était très bien dans les systèmes plus anciens et plus monolithiques où il n'y avait pas beaucoup de changements. Mais aujourd'hui, le paysage commercial (et les rôles) sont très dynamiques.

« Lorsque votre organisation change et que vos rôles ne changent pas, cela crée des frictions. Les utilisateurs finissent par avoir trop ou trop peu d'accès. L'accès basé sur des règles est beaucoup plus dynamique, et c'est pourquoi nous avons vu les normes d'authentification évoluer à ce point ces dernières années », a-t-il expliqué.

Bien que l'authentification ait évolué, l'autorisation semble être à la traîne. Ce n'est que maintenant que nous commençons à voir apparaître de nouvelles technologies qui externalisent et normalisent les concepts d'autorisation. La recertification, en particulier en ce qui concerne les actifs contextuels, est un autre défi majeur que l'industrie doit relever en matière de gestion de l'identité.

Éviter les anti-modèles de la gestion de l'identité

La communauté de la sécurité a une fâcheuse tendance à se braquer lorsqu'elle pense avoir trouvé la « bonne » manière de faire quelque chose, et c'est dangereux.

« Lorsque nous mettons fin à des conversations sans réfléchir à leur signification exacte, nous poussons les choses vers un canal beaucoup moins sûr. En particulier dans le cas de systèmes complexes, nous avons tendance à adopter des comportements figés. Nous devons tous être un peu plus conscients du contexte, de nos propres préjugés, de l'industrie au sens large et de ce que les autres départements peuvent nous apprendre sur le nôtre », explique M. Ontiveros Merlo. 

Ce dernier recommande d'appliquer les pratiques d'ingénierie et de psychologie à la gestion de l'identité, en adoptant une approche large et multidisciplinaire qui se concentre sur la résolution des problèmes grâce aux données, à l'orientation client et à la pensée critique.

« En fin de compte, traitez l'identité comme un produit et soyez curieux des frictions qu'elle crée pour vos clients », dit-il. « Il peut s'agir d'utilisateurs finaux, de développeurs d'applications ou même de développeurs qui réinventent votre parcours d'enregistrement et de connexion. Quels qu'ils soient, essayez de réduire la charge cognitive de ces équipes distribuées, afin qu'elles puissent se concentrer sur ce qu'elles font le mieux. » ajoute-t-il.

Nous sommes tous dans le même bateau

L'espace de l'identité a évolué à pas de géant au cours des dernières années, mais les plus grands défis sont encore à venir. Les identités des machines rejoignent les identités des clients et des entreprises à mesure que de multiples entreprises et entités collaborent au sein de chaînes d'approvisionnement aux connexions complexes. Inévitablement, une entreprise devra accorder l'accès à des identités pour lesquelles elle ne fait pas autorité.

Dans ce scénario, la collaboration n'est pas simplement une recommandation, elle représente la seule voie à suivre.

« Nous utiliserons beaucoup plus les données pour l'analyse comportementale et pour fournir un contexte aux identités », prédit M. Ontiveros Merlo. Il ajoute également : « Et pour tout gérer, de la recertification à la sécurité des transactions. Personne ne pourra résoudre seul de tels problèmes. À l'avenir, nous aurons besoin d'une pollinisation croisée. Nous aurons besoin de partenariats et de collaborations entre les entreprises et les disciplines. »

En savoir plus sur la protection hybride de l'identité