L'application de protocoles stricts de gestion des identités et des accès (IAM) peut être complexe. Mais cela vaut-il tout cet effort ? Et l’IAM suffit-elle à sécuriser l'accès au sein de toute l'entreprise ?
Explorons comment cette gestion est appliquée dans l'industrie aujourd'hui afin de vérifier si elle met en danger la sécurité des données d'entreprise.
Sécurité et confort : le jeu d'équilibrage de l’IAM
L’IAM est un exercice d'équilibre. L'objectif principal de l’IAM est de protéger les données contre l'accès par des personnes non souhaitées.
Mais si vous mettez en place un système d’IAM trop strict, vous ralentissez la productivité des utilisateurs et ils ne peuvent pas accéder aux données dont ils ont besoin lorsqu'ils en ont besoin.
Au final, le service informatique doit trouver le juste équilibre. Quelle confort êtes-vous prêt à sacrifier pour une meilleure sécurité ? Et vice versa, à quel niveau de sécurité êtes-vous prêt à renoncer pour plus de commodité ?
Dans un environnement informatique d'entreprise, cela conduit souvent à des raccourcis. Il y a tellement d'employés à l'intérieur du pare-feu qu’ils bénéficient d'un niveau de confiance plus élevé qu'ils ne devraient en recevoir. Cela conduit à des autorisations d'accès aux ressources incorrectes.
De plus, une fois qu'ils ont obtenu ce niveau d'accès, peu de mesures (voire aucune) sont en place pour éviter les abus ou re-valider les autorisations.
Comme le savent tous les professionnels de l'informatique, il suffit d'une seule erreur pour exposer des données sensibles. C'est cette peur qui pousse les équipes informatiques à se concentrer sur la fermeture du périmètre de sécurité pour écarter les mauvais acteurs. Si la sécurisation du périmètre est importante, il est facile de perdre de vue les menaces qui peuvent provenir du pare-feu.
Étendre l'accès à un utilisateur qui ne devrait pas l'avoir peut être l'erreur qui met toute l'entreprise en danger.
L’étagement des accès privilégiés peut améliorer l’IAM
Comme vous pouvez le constater, la mise en œuvre d'une solution d’IAM seule n'est souvent pas suffisante pour sécuriser l'accès à toutes les ressources/applications de l'entreprise. Il y a trop de place pour l'erreur, ce qui fait que trop de gens reçoivent le mauvais niveau d'accès. Cependant, l’IAM peut être intégrée à la Privileged Identity Management (PIM), également connu sous le nom de Privileged Access Management (PAM), pour des résultats plus complets.
L’IAM en elle-même permet au service informatique de contrôler qui peut accéder à quoi. La PIM/PAM, combinée avec l’IAM, permet au service informatique de contrôler de près le niveau approprié de cet accès. Ils peuvent alors décider si les activités associées sont appropriées pour l'utilisateur.
Cela dit, la superposition et l'intégration de la PIM/PAM avec l’IAM sont complexes. La durée des programmes dictera dans quelle mesure ils communiquent entre eux. Plus cette communication est bonne, plus l'équipe informatique sera en mesure de contrôler les comptes et les niveaux d'accès.
Si une solution intégrée IAM et PIM/PAM peut fournir un niveau de protection plus global, est-ce suffisant ? Ou existe-t-il une méthode alternative permettant de mieux sécuriser l'accès pour l'entreprise ?
Arrêtez de faire confiance à tout le monde
Le problème principal avec l’IAM est la confiance. L’IAM valide l'identité de l'utilisateur et accorde l'accès si l'utilisateur est « de confiance ». Mais, trop de confiance est souvent accordée à tout le monde au sein du pare-feu (c'est-à-dire aux employés de l'entreprise).
Une meilleure approche consiste à construire une base de sécurité sur la non-confiance. En ne faisant confiance à personne, vous pouvez encapsuler l'intégralité du chemin des données de bout en bout.
Cette méthode de sécurité est connue sous le nom de modèle Zero Trust (confiance zéro). La sécurité Zero Trust se concentre sur l'endroit où la menace est la plus susceptible de se produire : l'utilisateur final. Mais, fait intéressant, cela ne se limite pas à l'identité de l'utilisateur, comme l’IAM.
Selon l'Institut national américain des normes et de la technologie (NIST), l'objectif de l'architecture de réseau Zero Trust est de réduire l'incertitude en appliquant des décisions d'accès précises aux systèmes d'information. Dans un réseau Zero Trust, la confiance n'est jamais accordée d’emblée et elle est continuellement évaluée.
Ce qui est significativement différent de l’IAM, car une fois qu'un utilisateur obtient l'accès à un certain niveau d'autorisation, il peut se déplacer latéralement au sein du réseau. Comme la IAM ne re-valide pas les niveaux d'autorisation, les utilisateurs peuvent facilement mal utiliser ou abuser délibérément de cette liberté de mouvement latéral. Il s'agit d'un vecteur de menace interne courant auquel de nombreuses entreprises sont obligées de faire face.
Vous pensez peut-être que vos exigences d'accès distant sécurisé suffisent pour protéger votre organisation, mais avec un modèle Zero Trust, vous pouvez mettre en œuvre des règles d'accès encore plus granulaires pour défendre vos données.
Mettre en place les décisions d'accès avec un modèle Zero Trust
Une solution Zero Trust permet à l’équipe informatique de l’entreprise de surveiller en permanence le comportement et l'activité des utilisateurs sur le réseau. Cela permet au service informatique d'adapter les exigences d'authentification individuellement, en fonction du comportement ou de l'activité qu'il voit. Par exemple, si un utilisateur agit de manière inappropriée, il recevra une autre demande d'authentification.
Le modèle Zero Trust allège également le fardeau de la sécurité de l'utilisateur. Au lieu de les forcer à se souvenir de mots de passe difficiles et complexes, ils peuvent suivre le processus d'authentification via un système unique. Grâce à des processus d'autorisation plus faciles à utiliser pour les personnes et les appareils, l'équipe informatique ne se sentira pas obligée de donner à certains utilisateurs un accès plus important que nécessaire.
Les utilisateurs peuvent rester productifs tout en obtenant les données dont ils ont besoin quand ils en ont besoin. Et le service informatique peut avoir l'esprit tranquille, sachant que les ressources sont protégées et que les menaces internes sont minimisées.
Cela dit, le modèle Zero Trust nécessite une sécurité globale des informations et des pratiques de résilience de l'information pour se révéler efficace. L’IAM n'est qu'un élément de l'ensemble : elle doit être associée à une surveillance continue et à des politiques et des conseils de sécurité clairement définis. Les principes essentiels du modèle Zero Trust doivent être intégrés dans l'infrastructure de l'entreprise dès le départ ou introduits progressivement.
Découvrez comment sécuriser l'accès au sein de votre entreprise
Bien que l’IAM seule ne soit pas suffisante pour protéger votre entreprise, il s'agit d'un pas dans la bonne direction, en particulier lorsqu'elle est combiné avec la PIM/PAM. Mais si vous recherchez une protection des données plus complète, peut-être voudrez-vous envisager les avantages d'un accès réseau Zero Trust.
Le chemin vers un accès plus sécurisé dans l'entreprise est long, sinueux et complexe. Si vous souhaitez plus de conseils ou d'informations sur le sujet, n'hésitez pas à nous contacter à Oxortis.