{"id":663,"date":"2020-09-29T08:40:37","date_gmt":"2020-09-29T06:40:37","guid":{"rendered":"https:\/\/oxortis.com\/liam-suffit-elle-a-securiser-completement-lacces-pour-les-entreprises\/"},"modified":"2020-10-02T11:52:04","modified_gmt":"2020-10-02T09:52:04","slug":"liam-suffit-elle-a-securiser-completement-lacces-pour-les-entreprises","status":"publish","type":"post","link":"https:\/\/oxortis.com\/fr\/liam-suffit-elle-a-securiser-completement-lacces-pour-les-entreprises\/","title":{"rendered":"L\u2019IAM suffit-elle \u00e0 s\u00e9curiser compl\u00e8tement l’acc\u00e8s pour les entreprises?"},"content":{"rendered":"

[et_pb_section][et_pb_row][et_pb_column][et_pb_text]<\/p>\n

L'application de protocoles stricts de gestion des identit\u00e9s et des acc\u00e8s (IAM) peut \u00eatre complexe. Mais cela vaut-il tout cet effort ? Et l\u2019IAM suffit-elle \u00e0 s\u00e9curiser l'acc\u00e8s au sein de toute l'entreprise ?<\/p>\n

Explorons comment cette gestion est appliqu\u00e9e dans l'industrie aujourd'hui afin de v\u00e9rifier si elle met en danger la s\u00e9curit\u00e9 des donn\u00e9es d'entreprise.<\/p>\n

\"le<\/picture>
Le jeu d\u2019\u00e9quilibrage de la IAM<\/figcaption><\/figure>\n

S\u00e9curit\u00e9 et confort : le jeu d'\u00e9quilibrage de l\u2019IAM<\/h2>\n

L\u2019IAM est un exercice d'\u00e9quilibre. L'objectif principal de l<\/a>\u2019IAM<\/a> est de prot\u00e9ger les donn\u00e9es contre l'acc\u00e8s par des personnes non souhait\u00e9es.<\/p>\n

Mais si vous mettez en place un syst\u00e8me d\u2019IAM trop strict, vous ralentissez la productivit\u00e9 des utilisateurs et ils ne peuvent pas acc\u00e9der aux donn\u00e9es dont ils ont besoin lorsqu'ils en ont besoin.<\/p>\n

Au final, le service informatique doit trouver le juste \u00e9quilibre. Quelle confort \u00eates-vous pr\u00eat \u00e0 sacrifier pour une meilleure s\u00e9curit\u00e9 ? Et vice versa, \u00e0 quel niveau de s\u00e9curit\u00e9 \u00eates-vous pr\u00eat \u00e0 renoncer pour plus de commodit\u00e9 ?<\/p>\n

Dans un environnement informatique d'entreprise, cela conduit souvent \u00e0 des raccourcis. Il y a tellement d'employ\u00e9s \u00e0 l'int\u00e9rieur du pare-feu qu\u2019ils b\u00e9n\u00e9ficient d'un niveau de confiance plus \u00e9lev\u00e9 qu'ils ne devraient en recevoir. Cela conduit \u00e0 des autorisations d'acc\u00e8s aux ressources incorrectes.<\/p>\n

De plus, une fois qu'ils ont obtenu ce niveau d'acc\u00e8s, peu de mesures (voire aucune) sont en place pour \u00e9viter les abus ou re-valider les autorisations.<\/p>\n

Comme le savent tous les professionnels de l'informatique, il suffit d'une seule erreur pour exposer des donn\u00e9es sensibles. C'est cette peur qui pousse les \u00e9quipes informatiques \u00e0 se concentrer sur la fermeture du p\u00e9rim\u00e8tre de s\u00e9curit\u00e9 pour \u00e9carter les mauvais acteurs. Si la s\u00e9curisation du p\u00e9rim\u00e8tre est importante, il est facile de perdre de vue les menaces qui peuvent provenir du pare-feu.<\/p>\n

\u00c9tendre l'acc\u00e8s \u00e0 un utilisateur qui ne devrait pas l'avoir peut \u00eatre l'erreur qui met toute l'entreprise en danger.<\/p>\n

L\u2019\u00e9tagement des acc\u00e8s privil\u00e9gi\u00e9s peut am\u00e9liorer l\u2019IAM<\/h2>\n

Comme vous pouvez le constater, la mise en \u0153uvre d'une solution d\u2019IAM seule n'est souvent pas suffisante pour s\u00e9curiser l'acc\u00e8s \u00e0 toutes les ressources\/applications de l'entreprise. Il y a trop de place pour l'erreur, ce qui fait que trop de gens re\u00e7oivent le mauvais niveau d'acc\u00e8s. Cependant, l\u2019IAM peut \u00eatre int\u00e9gr\u00e9e \u00e0 la Privileged Identity Management (PIM), \u00e9galement connu sous le nom de Privileged Access Management (PAM), pour des r\u00e9sultats plus complets.<\/p>\n

L\u2019IAM en elle-m\u00eame permet au service informatique de contr\u00f4ler qui peut acc\u00e9der \u00e0 quoi. La PIM\/PAM, combin\u00e9e avec l\u2019IAM, permet au service informatique de contr\u00f4ler de pr\u00e8s le niveau appropri\u00e9 de cet acc\u00e8s. Ils peuvent alors d\u00e9cider si les activit\u00e9s associ\u00e9es sont appropri\u00e9es pour l'utilisateur.<\/p>\n

Cela dit, la superposition et l'int\u00e9gration de la PIM\/PAM avec l\u2019IAM sont complexes. La dur\u00e9e des programmes dictera dans quelle mesure ils communiquent entre eux. Plus cette communication est bonne, plus l'\u00e9quipe informatique sera en mesure de contr\u00f4ler les comptes et les niveaux d'acc\u00e8s.<\/p>\n

Si une solution int\u00e9gr\u00e9e IAM et PIM\/PAM peut fournir un niveau de protection plus global, est-ce suffisant ? Ou existe-t-il une m\u00e9thode alternative permettant de mieux s\u00e9curiser l'acc\u00e8s pour l'entreprise ?<\/p>\n

\"Arr\u00eatez<\/picture>
Arr\u00eatez de faire confiance \u00e0 tout le monde<\/figcaption><\/figure>\n

Arr\u00eatez de faire confiance \u00e0 tout le monde<\/h2>\n

Le probl\u00e8me principal avec l\u2019IAM est la confiance. L\u2019IAM valide l'identit\u00e9 de l'utilisateur et accorde l'acc\u00e8s si l'utilisateur est \u00ab de confiance \u00bb. Mais, trop de confiance est souvent accord\u00e9e \u00e0 tout le monde au sein du pare-feu (c'est-\u00e0-dire aux employ\u00e9s de l'entreprise).<\/p>\n

Une meilleure approche consiste \u00e0 construire une base de s\u00e9curit\u00e9 sur la non-confiance. En ne faisant confiance \u00e0 personne, vous pouvez encapsuler l'int\u00e9gralit\u00e9 du chemin des donn\u00e9es de bout en bout.<\/p>\n

Cette m\u00e9thode de s\u00e9curit\u00e9 est connue sous le nom de mod\u00e8le Zero Trust (confiance z\u00e9ro). La s\u00e9curit\u00e9 Zero Trust se concentre sur l'endroit o\u00f9 la menace est la plus susceptible de se produire : l'utilisateur final. Mais, fait int\u00e9ressant, cela ne se limite pas \u00e0 l'identit\u00e9 de l'utilisateur, comme l\u2019IAM.<\/p>\n

Selon l'Institut national am\u00e9ricain des normes et de la technologie (NIST)<\/a>, l'objectif de l'architecture de r\u00e9seau Zero Trust est de r\u00e9duire l'incertitude en appliquant des d\u00e9cisions d'acc\u00e8s pr\u00e9cises aux syst\u00e8mes d'information. Dans un r\u00e9seau Zero Trust, la confiance n'est jamais accord\u00e9e d\u2019embl\u00e9e et elle est continuellement \u00e9valu\u00e9e.<\/p>\n

Ce qui est significativement diff\u00e9rent de l\u2019IAM, car une fois qu'un utilisateur obtient l'acc\u00e8s \u00e0 un certain niveau d'autorisation, il peut se d\u00e9placer lat\u00e9ralement au sein du r\u00e9seau. Comme la IAM ne re-valide pas les niveaux d'autorisation, les utilisateurs peuvent facilement mal utiliser ou abuser d\u00e9lib\u00e9r\u00e9ment de cette libert\u00e9 de mouvement lat\u00e9ral. Il s'agit d'un vecteur de menace interne courant auquel de nombreuses entreprises sont oblig\u00e9es de faire face.<\/p>\n

Vous pensez peut-\u00eatre que vos exigences d'acc\u00e8s distant s\u00e9curis\u00e9 suffisent pour prot\u00e9ger votre organisation, mais avec un mod\u00e8le Zero Trust, vous pouvez mettre en \u0153uvre des r\u00e8gles d'acc\u00e8s encore plus granulaires pour d\u00e9fendre vos donn\u00e9es.<\/p>\n

Mettre en place les d\u00e9cisions d'acc\u00e8s avec un mod\u00e8le Zero Trust<\/h2>\n

Une solution Zero Trust permet \u00e0 l\u2019\u00e9quipe informatique de l\u2019entreprise de surveiller en permanence le comportement et l'activit\u00e9 des utilisateurs sur le r\u00e9seau. Cela permet au service informatique d'adapter les exigences d'authentification individuellement, en fonction du comportement ou de l'activit\u00e9 qu'il voit. Par exemple, si un utilisateur agit de mani\u00e8re inappropri\u00e9e, il recevra une autre demande d'authentification.<\/p>\n

Le mod\u00e8le Zero Trust all\u00e8ge \u00e9galement le fardeau de la s\u00e9curit\u00e9 de l'utilisateur. Au lieu de les forcer \u00e0 se souvenir de mots de passe difficiles et complexes, ils peuvent suivre le processus d'authentification via un syst\u00e8me unique. Gr\u00e2ce \u00e0 des processus d'autorisation plus faciles \u00e0 utiliser pour les personnes et les appareils, l'\u00e9quipe informatique ne se sentira pas oblig\u00e9e de donner \u00e0 certains utilisateurs un acc\u00e8s plus important que n\u00e9cessaire.<\/p>\n

Les utilisateurs peuvent rester productifs tout en obtenant les donn\u00e9es dont ils ont besoin quand ils en ont besoin. Et le service informatique peut avoir l'esprit tranquille, sachant que les ressources sont prot\u00e9g\u00e9es et que les menaces internes sont minimis\u00e9es.<\/p>\n

Cela dit, le mod\u00e8le Zero Trust n\u00e9cessite une s\u00e9curit\u00e9 globale des informations et des pratiques de r\u00e9silience de l'information pour se r\u00e9v\u00e9ler efficace. L\u2019IAM n'est qu'un \u00e9l\u00e9ment de l'ensemble : elle doit \u00eatre associ\u00e9e \u00e0 une surveillance continue et \u00e0 des politiques et des conseils de s\u00e9curit\u00e9 clairement d\u00e9finis. Les principes essentiels du mod\u00e8le Zero Trust doivent \u00eatre int\u00e9gr\u00e9s dans l'infrastructure de l'entreprise d\u00e8s le d\u00e9part ou introduits progressivement.<\/p>\n

D\u00e9couvrez comment s\u00e9curiser l'acc\u00e8s au sein de votre entreprise<\/h2>\n

Bien que l\u2019IAM seule ne soit pas suffisante pour prot\u00e9ger votre entreprise, il s'agit d'un pas dans la bonne direction, en particulier lorsqu'elle est combin\u00e9 avec la PIM\/PAM. Mais si vous recherchez une protection des donn\u00e9es plus compl\u00e8te, peut-\u00eatre voudrez-vous envisager les avantages d'un acc\u00e8s r\u00e9seau Zero Trust.<\/p>\n

Le chemin vers un acc\u00e8s plus s\u00e9curis\u00e9 dans l'entreprise est long, sinueux et complexe. Si vous souhaitez plus de conseils ou d'informations sur le sujet, n'h\u00e9sitez pas \u00e0 nous contacter \u00e0 Oxortis.<\/p>\n