En 2023, les responsables de la sécurité des informations (CISO) et les directeurs de la gestion des identités et des accès (IAM) investissent massivement dans des solutions d'identité unifiées avec une sécurité forte à la clé.
Elles opèrent ce changement parce que les solutions d'identité fragmentées ne sont plus en mesure de sécuriser un nombre croissant d'utilisateurs, d'appareils, de droits et d'environnements, ainsi que les coûts, les risques et la complexité qui résultent de cette croissance. L'identité répond à de multiples cas d'utilisation dans les organisations : elle prévient les risques de sécurité, les prises de contrôle de comptes et les failles de sécurité grâce à l'authentification multifactorielle (MFA). Elle améliore l'expérience des utilisateurs grâce aux fonctions d'annuaire et d'authentification unique (SSO) qui facilitent la gestion des accès. L'identité peut fournir un accès sécurisé à l'ensemble d'un parc informatique, y compris les appareils mobiles et les applications cloud, et accélérer la transformation numérique.
Cette tendance vers des solutions de plateforme d'identité unifiée marque un changement par rapport à la tendance de ces trois dernières années qui se concentrait sur l'authentification forte des employés à distance et étend la sécurité à tous les composants de l'identité. Les RSSI, les experts en sécurité et les équipes informatiques affirment qu'ils sont confrontés à des changements radicaux en matière de culture et de sécurité, car le travail à domicile cède la place au retour au bureau, tandis que les employés changent de veste et d'emploi en un clin d'œil. Ces changements signifient que les informations d'identification de chaque utilisateur sont une voie vers des violations de données dévastatrices - chaque utilisateur est un utilisateur à accès privilégié.
Des fournisseurs comme Microsoft et des sociétés d'investissement comme Thoma Bravo ont réagi en ajoutant rapidement la gestion des accès, les services d'annuaire, l'authentification sans mot de passe et d'autres fonctionnalités d'identité à leurs portefeuilles respectifs. Cependant, les RSSI interrogés dans le cadre de ce rapport se tournent, à quelques exceptions près, vers des fournisseurs axés sur la sécurité pour prévenir les attaques basées sur l'identité de sécurité, détecter les menaces de sécurité et produire une plateforme, un tissu ou une expérience d'identité unifiée et axée sur la sécurité.
Impact Leaders, au nom de RSA Security, a interrogé 25 dirigeants de grandes entreprises sur leurs plans de dépenses pour 2023 et leurs perceptions de la stratégie d'identité, de la transformation numérique, de l'espace de gestion des accès, des attaques basées sur l'identité, des technologies et des tendances.
En outre, en janvier 2023, Impact Leaders a consulté par téléphone six cadres supérieurs de grandes entreprises dont le chiffre d'affaires moyen s'élève à $40 milliards de dollars américains, afin d'obtenir des citations et des informations pertinentes sur leur vision de l'identité unifiée, axée sur la sécurité.
Les RSSI considèrent qu'un fournisseur unique axé sur la sécurité est le bon partenaire d'identité pour l'avenir. L'étude d'Impact Leaders montre que les RSSI ont des opinions bien arrêtées sur les raisons pour lesquelles l'identité est leur priorité aujourd'hui, pourquoi une expérience unifiée est importante et pourquoi l'accent mis sur la sécurité par leurs fournisseurs d'identité préférés est primordial.
Les responsables informatiques se sentent poussés à étendre la protection des données d'une simple défense du périmètre de sécurité à une défense en profondeur. Avec le travail à distance, l'identité est sans doute devenue l'extension la plus poussée de ce concept : c'est le nouveau périmètre lorsque les employés travaillent à domicile, dans des espaces de travail en commun, dans des cafés et d'autres lieux publics.
Selon le rapport Verizon Data Breach Investigations Report (DBIR) de 2022, 82% des atteintes à la sécurité ont été causées par le vol d'informations d'identification, l'hameçonnage et d'autres vulnérabilités d'origine humaine.1
Aucune organisation n'est à l'abri sans un plan permettant de gérer en toute sécurité les risques liés à la sécurité, tels que les identifiants, le phishing, les prises de contrôle de comptes et autres vulnérabilités.2 Le DBIR a également montré que les criminels exploitent de plus en plus les informations d'identification des utilisateurs à un rythme équivalent à celui des cinq dernières années combinées.3
Qu'une organisation se lance dans l'authentification forte ou qu'elle réorganise le contrôle d'accès pour accompagner le passage soudain à une main-d'œuvre à distance, l'identité représente bien plus qu'un simple projet de sécurité. C'est le baromètre le plus précis de la santé globale d'un programme de gestion des risques.
100% des RSSI et des responsables technologiques interrogés privilégient la rentabilité par rapport au coût seul.
Lorsqu'une entreprise se développe - organiquement ou par acquisition - elle peut s'appuyer sur l'identité pour faciliter l'intégration des entreprises acquises, intégrer les services en nuage et aider les nouveaux employés à faciliter la transition et à retrouver plus rapidement leur pleine productivité. L'identité facilite également les licenciements ; le déprovisionnement est plus facile parce qu'il peut être automatisé. En bref, l'identité est le fondement de la gestion des risques techniques.
Les responsables des technologies de l'information et de la sécurité interrogés dans le cadre de ce rapport ont détaillé leurs stratégies pour obtenir un soutien en faveur d'une identité unifiée et axée sur la sécurité. Ils ont déclaré qu'ils obtenaient plus de budget, plus d'effectifs et un soutien plus durable de la part de la direction pour les initiatives d'identité en se concentrant sur la valeur en haut et en bas d'un bilan. La ligne du bas montre la valeur des coûts évités, comme la réduction des risques, la réduction des effectifs, la conformité réglementaire, la prévention des failles de sécurité, etc., tandis que la ligne du haut montre la valeur des avantages obtenus, comme les revenus, les nouvelles activités, les taux de renouvellement, l'amélioration de l'expérience des utilisateurs, etc. L'identité unifiée, axée sur la sécurité, permet de suivre à la fois les lignes supérieures et inférieures du bilan selon quatre thèmes (figure 1).
Figure 1 : Les motivations des entreprises pour les solutions d'identité
Source : Impact Leaders
Plus de la moitié des RSSI ont indiqué que l'aspect "le plus gênant" de l'identité est de travailler avec quatre fournisseurs d'identité ou plus. Deux tiers des RSSI préfèrent avoir un ou deux fournisseurs d'identité plutôt que plusieurs.
Seuls quelques RSSI (moins de 10%) pensent que dans dix ans, le marché de la cybersécurité se consolidera autour d'une poignée de grands fournisseurs, tels que Microsoft, Palo Alto Networks, Amazon et Thoma Bravo, mais c'est tout simplement improbable.
La consolidation dans le secteur de la sécurité a été tentée des dizaines de fois au cours des quarante dernières années et elle ne fonctionne tout simplement pas.
Les grands fournisseurs de ressources en nuage s'efforcent aujourd'hui de constituer des portefeuilles de produits et d'intégrer en quelques années ce que les entreprises ont mis des décennies à mettre au point dans leurs propres centres de données.
La ruée de ces grands fournisseurs vers le "tout informatique" crée une résistance naturelle à l'adoption par les entreprises, car les grands fournisseurs de services en nuage ne suivront pas l'évolution rapide de la dynamique des entreprises ou ne s'attaqueront pas aux risques de sécurité qui évoluent rapidement. En outre, les grandes entreprises ne mettront pas tous leurs œufs dans un seul fournisseur de services en nuage, selon l'étude d'Impact Leaders.
Les grands fournisseurs de services en nuage ne se concentrent pas sur la sécurité. Ils la prennent peut-être au sérieux, mais ce n'est pas la même chose que d'en faire leur raison d'être. Aujourd'hui et dans les années à venir, les RSSI prévoient de faire appel à des fournisseurs spécialisés pour s'attaquer aux plus grosses parts du gâteau de la sécurité informatique : les risques de sécurité, les attaques basées sur l'identité, l'identité et l'accès sont des parts que les RSSI et les équipes informatiques veulent prendre en charge en une seule bouchée.
72% des responsables informatiques déclarent que la sécurité est le premier facteur de choix d'un fournisseur d'identité.
Les RSSI à la recherche de solutions d'identité veulent aujourd'hui un partenaire fournisseur sur lequel ils peuvent compter, un partenaire qui intègre l'ensemble de l'infrastructure et du cycle de vie de l'identité, et un partenaire qui reflète les meilleures pratiques des experts en sécurité :
"Windows ne peut pas être notre seul partenaire en matière de sécurité. Il n'en fait tout simplement pas assez pour sécuriser et intégrer notre environnement fragmenté et nos centaines d'applications en aval."
-CISO, $30BN CONSUMER PRODUCTS COMPANY
C'est ce qu'a déclaré un RSSI lorsqu'on lui a demandé pourquoi il préférait un portefeuille de produits unifiés d'un fournisseur axé sur la sécurité :
"Nos employés n'ont souvent pas de téléphone intelligent au travail, mais nous avons quand même besoin d'une sécurité élevée à tous les niveaux de notre empreinte d'identité et d'accès. Je fonde de grands espoirs sur l'authentification multifactorielle sans mot de passe (MFA) à l'avenir, mais aujourd'hui, j'ai besoin d'un partenaire qui peut s'occuper de l'identité, la faire fonctionner et la sécuriser."
-CADRE SUPÉRIEUR, FABRICANT DE PUCES ÉLECTRONIQUES (FORTUNE 500)
Selon son directeur informatique, une coopérative de crédit nationale a obtenu, sur une période de deux ans, des avantages nets de 2,9 millions de dollars US en termes d'infrastructure et de risques en déployant une solution d'identité unifiée et axée sur la sécurité :
"Nous avons entendu des histoires d'horreur de la part de nos collègues d'autres coopératives de crédit et d'entreprises locales du secteur de la santé, qui ont été attaquées et ont dû payer des rançons en bitcoins ou rester hors service pendant des jours ou des semaines, le temps de rétablir les opérations. Nous savions que pour nous, ce n'était qu'une question de temps avant que nous ne soyons touchés".
-CADRE, COOPÉRATIVE NATIONALE DE CRÉDIT
84% des personnes interrogées souhaitent que les solutions de sécurité s'intègrent à Microsoft, tandis que 92% ne veulent pas s'appuyer entièrement sur la sécurité Microsoft.
Microsoft est un fournisseur historique et respecté d'infrastructures sur site dans la plupart des grandes entreprises. Microsoft est également un fournisseur respecté de services en nuage avec Microsoft Azure Active Directory et un portefeuille croissant d'applications en nuage.
Le défi auquel sont confrontés les RSSI est que Microsoft n'offre pas les mêmes produits avec les mêmes fonctionnalités pour les environnements en nuage et les ressources sur site. Il s'agit essentiellement de deux portefeuilles de produits qui ne peuvent pas reproduire les performances dans leurs déploiements respectifs.
Chaque identifiant est une cible pour les criminels sophistiqués ; par conséquent, chaque utilisateur doit être considéré comme ayant un accès privilégié.
Les RSSI préfèrent unifier l'identité plutôt que d'avoir un ou deux fournisseurs. Un fournisseur d'identité unifié, axé sur la sécurité, produit des avantages mesurables en développant un système de sécurité plus solide, en prévenant les risques et en améliorant l'expérience de l'utilisateur.
L'identité est l'aspect de l'infrastructure informatique qui a le plus d'impact sur le risque d'une organisation. L'accent mis sur la sécurité est le principal facteur utilisé dans la sélection d'un fournisseur d'identité.
Cet article est basé sur le rapport original Impact Leaders. Voir le rapport original ici.
