L’argument de la
commodité plutôt que le contrôle

3,2 milliards. Soit le nombre de personnes connectées à Internet aujourd’hui. Un expert en sécurité pourrait regarder ce chiffre et se dire : « Voilà 3,2 milliards de risques potentiels. » Et même si ce n’était pas faux, ce chiffre démontre également le monde numérique au rythme effréné dans lequel nous vivons. Aujourd’hui, les méthodes de travail des individus reposent sur le numérique, qui leur permet de travailler au moment et à l’endroit de leur choix. Cette situation a également créé un niveau de complexité pour les professionnels de la sécurité qui ne peut être ignoré.

Chaque responsable de sécurité informatique semble avoir un utilisateur professionnel frustré criant d’un côté « commodité » (un accès facile maintenant !) et de l’autre, un RSSI criant « contrôle » (verrouillez tout à double tour !).

Blague à part, ces besoins diamétralement opposés sont actuellement ressentis par tout le monde dans le domaine de la sécurité informatique, notamment par les professionnels de la gestion des identités et des accès.

Plaidoyer pour la commodité

Le monde numérique s’étend et devient plus complexe, tout comme le défi consistant à gérer le risque au sein de l’entreprise ouverte actuelle.  Nous souhaitons fournir aux employés, aux partenaires commerciaux et aux sous-traitants un accès au moment et à l’endroit de leur choix, ce qui devient rapidement davantage une nécessité qu’un luxe, nous donnant ainsi des arguments en faveur de la commodité.

Pour être compétitives et progresser, les entreprises doivent fournir à un éventail de plus en plus large d’individus un accès à des actifs numériques de plus en plus nombreux pour travailler efficacement avec l’organisation. Des applications d’entreprise dans le Cloud comme Salesforce ou Workday aux applications Web telles que des portails et des Intranets, en passant par les applications héritées (oui, même celles des ordinateurs centraux), les utilisateurs entrent et sortent régulièrement du réseau d’entreprise physique, souvent depuis leurs propres appareils.

L’urgence de s’attaquer au cyber-risque

Les besoins fondamentaux de l’entreprise restent inchangés, mais il existe une nécessité croissante pour trouver un meilleur équilibre entre les besoins commerciaux et les besoins de sécurité. Les équipes de sécurité IT actuelles s’activent pour répondre à l’explosion du cloud et des applications mobiles en plus des applications sur site conventionnelles des entreprises. Il doit également animer un écosystème mondial de main-d’œuvre et de partenaires brouillant les frontières entre les employés, les sous-traitants et les partenaires, voire parfois les clients.

Alors que le périmètre réseau disparaît, les moyens de sécurité doivent s’adapter à ce changement. Au lieu de cibler des réseaux et des applications, les pirates informatiques s’attaquent à leurs utilisateurs, et ce avec succès. Pour toute entreprise moderne, la sécurité commence par la gouvernance des identités.

L’authentification unique est-elle la réponse ?

Même si elle est très pratique, l’authentification unique (SSO) n’est pas vraiment une mesure de sécurité. Le SSO est une méthode d’accès permettant aux utilisateurs de se connecter une seule fois et d’accéder à diverses applications. Même s’il améliore certainement la productivité et contribue à résoudre des problèmes comme la lassitude liée à la connexion, le SSO n’est pas conçu pour fournir l’automatisation et les moyens nécessaires pour s’assurer que les utilisateurs aient l’accès approprié aux bonnes applications au bon moment d’une manière protégeant l’entreprise.  Le SSO fait partie de la boîte à outils IAM, mais il s’agit d’un outil axé sur la commodité plutôt que sur le contrôle.

Gouvernance des identités – Trouver le juste équilibre entre commodité et contrôle

Pour trouver le juste équilibre entre commodité du SSO et niveaux de contrôle appropriés, les organisations ont besoin d’une solution fiable de gouvernance des identités. La gouvernance des identités fournit les moyens adéquats de prévention et de détection nécessaires pour contrôler les accès, et identifier et résoudre les problèmes de sécurité.

Parmi les fonctionnalités-clés fournies par la gouvernance des identités en complément et en renfort du SSO figurent :

  1. Provisioning utilisateur : pour automatiser des processus définis relatifs à l’octroi, la modification et la révocation de privilèges d’accès utilisateur.
  2. Gestion des règles : pour contribuer à renforcer les mots de passe sur l’ensemble des applications et pour imposer des « combinaisons toxiques » non souhaitées de privilèges d’accès.
  3. La gestion des mots de passe en libre-service : pour permettre aux utilisateurs finaux de gérer leurs propres informations de connexion au moment et à l’endroit de leur choix, sans être obligés d’impliquer le service d’assistance.
  4. Certifications d’accès : pour s’assurer que l’accès utilisateur soit approprié, conforme aux règles établies, et réponde aux exigences d’audit et de conformité.

Grâce à la gouvernance des identités, les organisations de sécurité peuvent fournir un accès en toute confiance à l’entreprise ouverte en sachant que les moyens de prévention appropriés sont en place.

Conclusion atteindre un équilibre difficile à trouver

Que cela vous plaise ou non, l’époque des environnements technologiques « verrouillés » (et de l’interdiction des outils et appareils personnels) est révolue. La plaque tournante des technologies, des utilisateurs et des territoires place les identités au cœur de l’écosystème, rendant ainsi primordiales la gestion et la gouvernance efficaces de ces identités pour toute stratégie de sécurité.

On peut également considérer la population numérique d’une autre façon. Il existe 3,2 milliards d’identités. Nombre d’entre elles évoluent dans notre économie mondialisée, collaborent et font avancer des entreprises à l’échelle planétaire. Placer la gouvernance des identités au cœur de leur écosystème permet aux organisations de renforcer leur sécurité, d’offrir de la commodité aux utilisateurs et de trouver un équilibre sain et durable entre commodité et contrôle.


Discussion