En matière de cybersécurité, l'identité est essentielle. Et avec l'identité, vous devez absolument être en mesure de répondre aux questions les plus importantes : qui accède à vos systèmes, ce qu'ils peuvent atteindre et si cet accès est approprié.
Les équipes de sécurité s'efforcent d'obtenir des réponses fiables depuis des décennies. C'était plus facile lorsque tout le monde travaillait sur le même site, ou du moins derrière le même pare-feu. Mais aujourd'hui, les utilisateurs peuvent travailler de n'importe où, et ils peuvent avoir besoin d'accéder à des applications et à des ressources dans le nuage, dans plusieurs nuages ou dans un centre de données.
Il peut être compliqué d'essayer de sécuriser, de gouverner et de gérer les utilisateurs dans ces environnements. Dans les sections suivantes, nous aborderons les questions d'identité et d'accès que les équipes de sécurité doivent se poser et nous expliquerons comment la gouvernance des identités vous aide à transformer ces réponses en contrôles plus solides, en réduction des risques et en preuves de conformité plus claires.
Gouvernance des identités est important car il permet de contrôler et de prouver qui a accès à quoi, pourquoi il y a accès et comment cet accès évolue dans le temps. Dans les environnements hybrides, c'est la différence entre l'hypothèse du moindre privilège et son application effective.
Sans gouvernance, la prolifération des accès s'accroît tranquillement à mesure que les utilisateurs changent de rôle, que de nouvelles applications apparaissent et que les exceptions deviennent permanentes. Cela augmente l'impact des violations, ralentit les enquêtes et rend les audits plus difficiles.
Avant de pouvoir réduire les risques liés à l'identité, vous avez besoin de réponses fiables concernant la confiance dans la signature et la visibilité de l'accès. Commencez par séparer la vérification de l'identité de la compréhension de l'accès existant dans les systèmes et les environnements.
Les utilisateurs sont-ils ceux qu'ils prétendent être ?
La gestion des identités et des accès (IAM) vérifie l'identité d'un utilisateur lors de son inscription et décide s'il doit être autorisé à entrer dans un système. En pratique, il s'agit d'authentifier l'utilisateur et d'autoriser l'accès aux ressources appropriées, souvent au moyen d'une authentification multifactorielle (MFA).
L'IAM est essentiel, mais ce n'est que la première étape. Une fois qu'un utilisateur est entré, les équipes de sécurité ont encore besoin de visibilité sur ce à quoi cet utilisateur peut accéder à travers les apps SaaS, l'infrastructure multi-cloud, les appareils IoT et les systèmes tiers. Sans cette visibilité, il est plus difficile de repérer les accès à risque, de hiérarchiser les menaces liées à l'identité et de prendre en charge les exigences en matière de sécurité et de confidentialité.
Qui est dans le système et à quoi peut-il accéder ?
La gouvernance et l'administration des identités (IGA) offrent une visibilité et un contrôle sur qui a accès à quoi, dans les environnements cloud et sur site. Elle aide les équipes à déterminer quels accès existent, s'ils sont appropriés et comment ils devraient évoluer au fil du temps.
La plupart des programmes d'AGI se concentrent sur quatre capacités essentielles :
- Gouvernance des identités : Comprendre et examiner qui a accès à quoi, y compris les utilisateurs, les rôles et les applications à haut risque.
- Cycle de vie de l'identité : Automatiser les processus d'adhésion, de transfert et de départ, y compris les demandes, les approbations, l'approvisionnement et l'application des politiques.
- Gouvernance de l'accès aux données : Identifier qui peut accéder aux données non structurées, détecter les accès problématiques et y remédier rapidement.
- Gestion du rôle de l'entreprise : Définir les rôles et les politiques, réduire la prolifération des rôles et automatiser la certification des rôles.
Lorsque l'identité est utilisée à mauvais escient ou compromise, un accès excessif ou imprécis augmente l'impact. Une vue centralisée des accès permet aux équipes de détecter les problèmes plus tôt, de répondre aux besoins de conformité (notamment SOX, HIPAA et GDPR) et de réduire le travail manuel lié aux certifications, aux demandes et au provisionnement.
Savoir qui a accès n'est qu'une partie du problème. L'étape suivante consiste à s'assurer que l'accès est justifié, adapté au rôle et limité par la politique et les risques.
Pourquoi les utilisateurs ont-ils besoin d'accéder à des ressources spécifiques ?
Les utilisateurs ont besoin d'accéder aux ressources pour assumer des responsabilités professionnelles définies, et non parce qu'ils possèdent un compte ou appartiennent à un service. La gouvernance des identités vous aide à lier l'accès à une justification commerciale claire, à un rôle et à une politique approuvée par le propriétaire.
D'un point de vue tactique, cela signifie généralement la mise en place de modèles d'accès basés sur des rôles ou des politiques, l'exigence d'un objectif déclaré pour les exceptions et l'affectation de propriétaires d'applications et de données qui peuvent approuver l'accès en fonction du risque et de la nécessité. Au fil du temps, la gouvernance réduit la “dérive d'accès” en vérifiant à nouveau si l'accès est toujours nécessaire lorsque les utilisateurs changent de rôle ou de projet.
Que feront les utilisateurs avec certains accès ?
L'accès n'est pas une simple question de oui ou de non. Il détermine les actions qu'un utilisateur peut entreprendre, les données qu'il peut atteindre et l'ampleur des dégâts qu'un compte compromis peut causer.
La gouvernance des identités aide les équipes à évaluer les accès en fonction des risques, notamment les actions privilégiées, l'exposition aux données sensibles et les combinaisons toxiques d'accès qui ne devraient jamais exister ensemble. En pratique, c'est là que l'on introduit le moindre privilège, la séparation des tâches, les certifications d'accès et les flux de travail de remédiation ciblés pour les droits à haut risque. C'est également à ce stade que les capacités d'assurance de l'accès continu, telles que celles de la solution Gouvernance et cycle de vie de l'ASR, Les systèmes d'information et de communication (SIG), qui permettent une détection et une correction plus rapides, sont également très utiles.
Comment définir le moindre privilège dans la pratique ?
Le principe du moindre privilège signifie que les utilisateurs n'ont que l'accès dont ils ont besoin pour faire leur travail, pendant le temps nécessaire, et rien de plus. Il ne s'agit pas d'une décision ponctuelle. Il s'agit d'une discipline permanente.
Les équipes définissent l'accès basé sur les rôles et les paquets d'accès “par défaut”, puis traitent tout ce qui sort de la norme comme une exception qui doit être justifiée et approuvée. Les examens continus des accès, les vérifications de la séparation des tâches et le nettoyage ciblé des droits à haut risque permettent d'éviter l'augmentation des privilèges au fur et à mesure que l'environnement évolue.
L'accès change constamment au fur et à mesure que les personnes rejoignent l'entreprise, changent de rôle et quittent l'entreprise. Une gouvernance solide garantit l'exactitude des droits grâce à des flux de travail reproductibles, des mises à jour opportunes et des examens qui conduisent à une véritable remédiation.
Comment les processus de recrutement, de transfert et de départ réduisent-ils les risques ?
Les processus d'entrée, de sortie et de départ réduisent les risques en alignant l'accès sur le statut de l'emploi et les changements de rôle, de sorte que l'accès ne perdure pas une fois qu'il n'est plus nécessaire. Lorsque ces flux de travail sont interrompus, les comptes orphelins et les autorisations obsolètes deviennent des voies faciles d'utilisation abusive.
L'objectif pratique est la cohérence et la rapidité. Un bon processus de cycle de vie automatise les demandes, les approbations, le provisionnement et le déprovisionnement entre les systèmes, et enregistre ce qui a changé et pourquoi. Cela réduit la prolifération des accès, limite l'impact des violations et facilite grandement les enquêtes et les audits.
Comment les examens d'accès et les certifications fonctionnent-ils réellement ?
Les révisions et les certifications d'accès fonctionnent en demandant aux réviseurs appropriés de confirmer si l'accès d'un utilisateur est toujours approprié, sur la base du rôle, de la politique et du risque. Le résultat est un ensemble de décisions, approuver, révoquer ou ajuster, qui devrait aboutir à une remédiation réelle.
Si elles sont bien menées, les révisions sont circonscrites à un accès significatif, acheminées vers les propriétaires responsables et hiérarchisées en fonction des droits à haut risque. Ils produisent également des preuves prêtes à être auditées en suivant qui a révisé quoi, ce qu'ils ont décidé, quand ils l'ont décidé, et si les changements ont été effectués et vérifiés.
La gouvernance des identités devrait faire partie de toute stratégie de lutte contre les cyberrisques, car les décisions les plus importantes en matière de risques sont des décisions d'accès. Si vous ne pouvez pas expliquer en toute confiance qui a l'accès, pourquoi il l'a et s'il est approprié, vous ne pouvez pas réduire les risques de manière cohérente, réagir rapidement ou produire des preuves prêtes à être auditées.
La gouvernance opérationnalise la stratégie de risque en rendant l'accès mesurable et applicable. Elle aide les équipes à prioriser la remédiation en fonction de l'impact, à réduire le sur-accès et à prévenir les accès orphelins grâce à l'automatisation des entrées, des sorties et des départs. De nombreuses équipes font également évoluer leur programme au-delà de la conformité des cases à cocher en appliquant une lentille de risque aux décisions d'accès, comme décrit dans le point de vue de RSA sur les points suivants pourquoi la gouvernance doit être envisagée sous l'angle du risque.
Une forte sécurité de l'identité nécessite à la fois une vérification lors de l'inscription et une gouvernance après l'octroi de l'accès. RSA solutions et produits permettent d'avoir une vue d'ensemble, de l'authentification à l'assurance permanente de l'accès dans les environnements hybrides.
Pour en savoir plus, explorez Gouvernance et cycle de vie de l'ASR pour l'assurance d'un accès continu, et les capacités d'authentification de RSA, notamment l'authentification multifactorielle (AMF) et authentification sans mot de passe.
La gestion des identités et des accès (IAM) vérifie l'identité d'un utilisateur au moment de la connexion et détermine s'il doit être autorisé à entrer dans un système. Elle authentifie l'utilisateur et autorise l'accès aux ressources appropriées, souvent au moyen d'une authentification multifactorielle (MFA). L'IAM est essentiel, mais ce n'est que la première étape. Une fois qu'un utilisateur est entré, les équipes de sécurité ont encore besoin de visibilité sur ce à quoi cet utilisateur peut accéder à travers les apps SaaS, l'infrastructure multicloud, les appareils IoT et les systèmes tiers.
La gouvernance et l'administration des identités (IGA) offrent une visibilité et un contrôle sur qui a accès à quoi dans les environnements en nuage et sur site. Elle aide les équipes à déterminer les accès existants, s'ils sont appropriés et comment ils doivent évoluer dans le temps. La plupart des programmes d'AGI se concentrent sur la gouvernance des identités, le cycle de vie des identités, la gouvernance des accès aux données et la gestion des rôles professionnels. Une vue centralisée des accès permet aux équipes de détecter les problèmes plus tôt, de répondre aux besoins de conformité et de réduire le travail manuel lié aux certifications, aux demandes et au provisionnement.
Les utilisateurs ont besoin d'accéder aux ressources pour assumer des responsabilités professionnelles définies, et non parce qu'ils possèdent un compte ou appartiennent à un service. La gouvernance des identités lie l'accès à une justification commerciale claire, à un rôle et à une politique approuvée par le propriétaire. En pratique, cela signifie que l'on utilise des modèles d'accès basés sur des rôles ou des politiques, que l'on exige un objectif précis pour les exceptions et que l'on désigne des propriétaires d'applications et de données qui peuvent approuver l'accès en fonction du risque et de la nécessité.
L'accès n'est pas une simple question de oui ou de non. Il détermine les actions qu'un utilisateur peut entreprendre, les données qu'il peut atteindre et l'ampleur des dommages qu'un compte compromis peut causer. La gouvernance des identités aide les équipes à évaluer les accès en fonction des risques, notamment les actions privilégiées, l'exposition aux données sensibles et les combinaisons toxiques d'accès qui ne devraient jamais exister ensemble. Elle prend en charge le moindre privilège, la séparation des tâches, les certifications d'accès et les flux de travail de remédiation pour les droits à haut risque.
Le principe du moindre privilège signifie que les utilisateurs n'ont que l'accès dont ils ont besoin pour faire leur travail, pendant le temps nécessaire, et rien de plus. Les équipes définissent l'accès basé sur les rôles et les paquets d'accès par défaut, puis traitent tout ce qui sort de la norme comme une exception qui doit être justifiée et approuvée. Les examens continus des accès, les vérifications de la séparation des tâches et le nettoyage ciblé des droits à haut risque permettent d'éviter la dérive des privilèges au fur et à mesure que l'environnement évolue.
Les processus d'adhésion, de transfert et de départ réduisent les risques en alignant l'accès sur le statut professionnel et les changements de rôle, de sorte que l'accès ne perdure pas une fois qu'il n'est plus nécessaire. Un bon processus de cycle de vie automatise les demandes, les approbations, le provisionnement et le déprovisionnement à travers les systèmes, et enregistre ce qui a changé et pourquoi. Cela permet de réduire la dispersion des accès, de limiter l'impact des violations et de faciliter les enquêtes et les audits.
Les révisions et les certifications d'accès fonctionnent grâce à des réviseurs appropriés qui confirment si l'accès d'un utilisateur est toujours approprié en fonction du rôle, de la politique et du risque. Les réviseurs approuvent, révoquent ou ajustent l'accès, et les décisions doivent déboucher sur des mesures correctives réelles. Si elles sont bien menées, les révisions sont ciblées sur des accès significatifs, acheminées vers les propriétaires responsables, priorisées autour des droits à haut risque et suivies en tant que preuves prêtes à être auditées.
