L’identité au centre des politiques de sécurité
Au début de la décennie écoulée, le processus était encore simple : l'embauche d'un nouveau salarié reposait de ce point de vue sur la création de son compte dans l'active Directory et d'une boîte mail, et sur leur suppression lorsqu'il quittait l'entreprise. Il n'en fallait guère plus pour donner accès aux outils et autres systèmes indispensables à sa productivité, soit des droits liés à une identité. Depuis, les paradigmes organisationnels ont changé.
Olivier Detilleux, Ingénieur avant- vente chez Sailpoint.
« L’identité, c’est la pierre fondamentale de toute politique de sécurité. »
« On a changé de modèle. Historiquement, on s’intéressait principalement aux employés, on s’attachait à protéger des identités internes à l’organisation, donc un seul point d’accès vers les applications du système, basé au bureau et avec peu d’évolutions » relate Hicham Bouali, Directeur avant- vente EMEA de One Identity. « Aujourd’hui, les organisations vont avoir des fournisseurs, des partenaires. La gestion d’identité doit aussi s’y intéresser. Pareillement, au sein d’une carrière, les employés vont être amenés à changer de rôle : il faut alors changer les droits, à provisionner ou déprovisionner. De même, l’accès aux applications se fait de différentes manières, depuis un téléphone, un ordinateur personnel » . Claire Loffler, Ingénieure avant- vente chez Vectra, complète le tableau avec les évolutions impulsées par l'importance croissante des métiers dans les décisions IT ainsi que la multiplication des outils métiers et des services cloud. « La principale complexité, aujourd’hui, est d’avoir des identités hybrides, certaines sur L’AD, certaines sur AWS, etc. » .
Nouvelles règles, mêmes méthodes
Désormais, il est courant que le salarié travaille de son domicile, voire ailleurs que dans son lieu de résidence, et il utilise son ordinateur personnel pour accomplir ses tâches, et peutêtre même son smartphone. Il devient dès lors bien plus complexe d'identifier celui qui demande un accès ou utilise le tunnel VPN donnant sur le réseau de l'entreprise. La gouvernance des identités ( IGA) et la gestion des accès s'adaptent progressivement à ce contexte nouveau qui place l'identité au centre des politiques de sécurité. « L’identité, c’est la pierre fondamentale de toute politique de sécurité » assure Olivier Detilleux, Ingénieur avant- vente chez Sailpoint. Nous ne crierons pas cependant au Zero Trust, du moins pas avant la fin de ce dossier. « Parce que les salariés peuvent travailler de n’importe où avec n’importe quel device, il est indispensable d’être plus proche de la personne, c’est le meilleur moyen de vérifier l’identité » poursuit- il. Et ne pas se contenter de vérifier que le terminal qui demande l'accès n'est pas vérolé. Surtout, le télétravail contraint à donner plus d'autonomie aux utilisateurs sur leurs demandes d'accès. Difficile en effet d'appeler un utilisateur en visio douze fois par jour pour s'assurer que c'est bien lui qui demande l'accès à Salesforce ou à Sage. D'où la tendance à l'automatisation dans le secteur de L'IAM. « Ce qui a changé depuis la crise, ce sont les habitudes, ce qui a redistribué les cartes en termes de règles de sécurité et de moyens à mettre en oeuvre côté applicatif » soutient Laurent Szpirglas, Country Manager France de Ping Identity. « Il est nécessaire de repenser la façon dont les gens vont se connecter aux applications d’entreprise mais, pour autant, les méthodes d’authentification restent les mêmes » . Mots de passe, biométrie, codes par SMS, mail ou application dédiée, clés de sécurité physiques : les moyens d'authentification multifacteurs sont désormais bien connus. Hicham Bouali compte également sur l'analyse comportementale, « qui permet de détecter que la personne qui demande l’accès est la bonne, en fonction de sa manière de saisir au clavier ou de bouger sa souris, à corréler avec les accès qu’il demande ou encore sa localisation » .
Puisque l'identité est fondamentale, il convient de la protéger. Or, le cas récent de la compromission d'okta, qui n'a pas donné suite à nos demandes d'interview, par le groupe cybercriminel LAPSUS$, rappelle qu'aucun système n'est inviolable et qu'une attaque réussie contre un fournisseur d'identité ou de services d'authentification peut avoir des conséquences gravissimes pour les entreprises utilisatrices de ces solutions. Plus généralement, selon Alain Takahashi, directeur général de Hermitage Solutions en France, « les professionnels de la cybersécurité sont en train de reconnaître d’une manière exponentielle l’importance de la protection de l’identité et tous les éléments liés à l’identité pour la protection des systèmes de l’entreprise » . Et, sans aller jusqu'à de tels extrêmes, la moindre erreur de configuration des accès liés à une identité risque d'avoir des répercussions. Ou, pour citer Claire Loffler, « si on donnait exactement les bons droits aux bonnes personnes tout le temps dans les bonnes configurations, nous n’existerions pas »