Une machine a- t- elle une identité ?
Les machines ont- elles une âme ? La science- fiction se pose toujours la question. Mais, pour ce qui touche à l'identité, le secteur de L'IAM y a déjà répondu. Longtemps limitée à l'humain, l'identité a été amenée à prendre en compte les machines dans les environnements informatiques modernes. « Dans ce monde, il y a les personnes et il y a les machines, comme les ordinateurs, les objets connectés, les VM, les services cloud…. Nous devons être capables de distinguer de manière unique une machine d'une autre. Et ce qu'il lui est permis de faire » , assène d'entrée de jeu Kevin Bocek, Vice- Président Security Strategy & Threat Intelligence de Venafi. La problématique n'est donc pas à négliger.
Pour Olivier Detilleux, Ingénieur avant- vente chez Sailpoint, « il est de plus en plus compliqué de faire de l'analyse de risque car il y a de plus en plus d'applications, de données, d'objets… Il y a encore quelques années, on se cantonnait aux employés et aux “contractors“. Depuis, le périmètre s'est étendu et il est toujours plus complexe d'estimer le risque » . D'autant que les entreprises peinent bien souvent à correctement identifier les machines dans les systèmes robotiques ou de contrôle industriel, et plus généralement dans tous les domaines touchant à l'automatisation. Entre absence d'audit, droits insuffisamment documentés et accès imprécis, les identités machines étendent la surface d'attaque et ouvrent la porte aux cyberattaquants.
Mais faut- il une identité unique pour chaque machine, au risque d'être soudain confronté à des problèmes de sizing et de performances, ou regrouper plusieurs machines sous une même identité ? Pour Kevin Bocek, la question ne se pose pas. « J'aime toujours revenir à un peu de philosophie. Dans Métaphysique, Aristote édicte la loi de l'identité : si quelque chose existe, ça a une identité, si ça n'existe pas, ça n'a pas d'identité. Une caméra, ça existe, ça doit avoir une identité. Un lot, ça enfreint cette règle. Comme tous les clients, tous les employés, les objets doivent avoir une identité propre, pour l'identifier et déterminer de quel objet il s'agit et ce qu'il peut faire. Tout ce qui peut être utilisé contre nous doit être identifié » .
Machine Identity Management
Un avis partagé par Hicham Bouali, Directeur avantvente EMEA de One Identity, qui précise qu' « on préconise ce modèle “un objet une identité“parce que les objets, même s'ils ont la même utilisation, peuvent avoir des besoins d'accès différents, en sus des nécessités de monitoring et d'audit » . Car une application, un robot ou une VM peut avoir besoin, pour réaliser ses tâches, d'accès à diverses ressources de l'entreprise. Un compte machine sera donc créé, ou un compte de service éventuellement. Et, comme pour un sous- traitant dont le contrat se termine ou un salarié qui change de poste ou quitte l'entreprise, la machine peut changer de fonction, il faut alors provisionner ou déprovisionner de nouveaux droits. « Ce compte machine, il ne faut pas l'oublier » souligne Claire Loffler, Ingénieure avantvente chez Vectra.
Mais encore faut- il pouvoir identifier la machine liée au compte ? Se pose alors le problème des sources d'identité machine. Des sources diverses et variées, puisque la plupart du temps, ces identités sont créées par les ingénieurs et les développeurs, mais d'autres sont attribuées par tel ou tel organisme, des clés et certificats SSH aux certificats Code- Signing, en passant par les certificats X. 509. On comprend aisément pourquoi, face à une telle diversité de clés et de certificats établissant l'identité d'une machine, les responsables informatiques en entreprise peuvent se retrouver fort dépourvus. « Ce n'est pas un problème que nous résoudrons du jour au lendemain » indique Kevin Bocek. D'où l'intérêt de faire du Machine Identity Management un véritable pan de L'IAM et de rapprocher autant que possible la source de l'identité de l'application. Quant à savoir s'il faudrait une autorité unique, le vice- président de Venafi balaie le sujet : « Si cette autorité centrale devait être compromise, c'est l'ensemble du système d'identité machine qui s'effondrerait » . Soit l'impossibilité dès lors de faire confiance à la moindre machine. Ce qui, dans le contexte actuel d'adoption de l'automatisation, n'est pas envisageable. ☐
Kevin Bocek,
Vice- Président Security Strategy & Threat Intelligence de Venafi.
« Comme tous les clients, tous les employés, les objets doivent avoir une identité propre, pour l'identifier et déterminer de quel objet il s'agit et ce qu'il peut faire. »