Par Herve Liotaud, AVP Europe du Sud, chez SailPoint
Essor du télétravail, développement du Cloud, cyber-attaques… Les changements profonds que nous vivons actuellement obligent à affiner un certain nombre d’éléments doctrine, à commencer par la notion de sécurité périmétrique. Ils impliquent ce faisant une évolution dans la manière dont nous concevons l’identité en entreprise.
Une réflexion ubiquitaire
Longtemps, l’image du château fort a prévalu : le système informatique était pensé en termes périmétriques. Si ce mode de pensée ne doit pas être abandonné, la réflexion s’est aussi déplacée en termes ubiquitaires, en lien avec la démultiplication des outils informatiques. Car avec le Cloud, les applications SaaS sont accessibles partout, à tout moment et sur tout type d’équipement. Pour les cybercriminels, l’aubaine est grande tant la surface d’attaque est large. Phishing, ransomware, attaques d’ingénierie sociale, les agressions se démultiplient et obligent les organisations à revoir leurs fondements stratégiques. Pour celles-ci, il ne s’agit plus seulement de peaufiner une politique ainsi qu’une procédure de sécurité, mais bien de revoir la mise en œuvre de leur sécurité périmétrique dans le sens d’une rigueur accrue. Dans un tel contexte, l’identité numérique occupe une place centrale. Dans la lignée des efforts de transformation numérique effectués, elle évolue d’autant plus que toutes les identités ne sont plus exactement les mêmes.
Trois disciplines distinctes : l’IGA en pointe
Souvent catégorisées de manière générique, à l’image de la gestion des accès (IAM) ou de la gestion des identités (IDM), les capacités d’identités atteignent un niveau de sophistication élevé. Elles représentent désormais plusieurs disciplines distinctes, liées les unes aux autres et communes à l’ensemble des entreprises : la gestion des identités et des accès, la gestion des accès à privilèges et enfin la gouvernance et administration des identités.
La gestion des identités et des accès comprend l'authentification unique (SSO) et l'authentification multi-facteur (MFA). Il s'agit d'éléments importants de la gestion globale de l'identité, qui représentent la clé permettant d'entrer dans l'entreprise, c'est-à-dire d’identifier que vous êtes précisément qui vous prétendez être. Mais que se passe-t-il une fois que vous êtes entré ? Qu'est-ce qui contrôle ce que vous pouvez faire, où vous pouvez aller ? Qu'est-ce qui détermine l'accès dont vous disposez ? Ces questions sont gérées par ailleurs, par l’IGA (gouvernance et administration des identités).
Pour sa part, la gestion des accès à privilèges (PAM) est, comme son nom l'indique, conçue pour protéger les informations d'identification les plus privilégiées des entreprises. Considérez-la comme le coffre-fort contenant les clés qui déverrouillent la porte pour accéder à vos biens les plus précieux.
Enfin, la gouvernance et administration des identités (IGA), souvent appelée simplement sécurité des identités est sans doute la discipline la plus importante dans l'entreprise numérique d'aujourd'hui. C’est elle qui se trouve à la base du Zero Trust où la mise en œuvre et l'application de l'accès au moindre privilège est un principe clé. Pourquoi l'accent sur la sécurité des identités est-il désormais si prononcé et mis en avant ? Tout simplement parce que le paysage technologique a changé. Il évolue depuis de nombreuses années afin d'accroître la collaboration et la productivité et de moderniser le lieu de travail. En réponse à la pandémie, nous avons tous pu observer que le flux régulier d'initiatives de transformation numérique dans l'entreprise s’était amplement accéléré, et ce du jour au lendemain.
Dans un monde en plein bouleversements, la sécurité des identités représente la convergence de la conformité et de l'automatisation de l'IGA. Elle intègre une véritable intelligence artificielle et le Machine Learning dans ses plateformes, ce qui en fait une partie intégrante de l'écosystème de sécurité global. Ainsi, dans l'orientation actuelle de la sécurité, la sécurité des identités se doit d’être partout, sur chaque équipement, à chaque instant. Il en va de la survie et de la pérennité des organisations.