Skip to content
Résumé

Dans tous les secteurs, les programmes de gouvernance de l'identité reposent sur une hypothèse erronée : celle selon laquelle des examens périodiques des droits d'accès, des politiques documentées et des rapports d'audit irréprochables constituent une posture de sécurité défendable. Ce n'est pas le cas.

Le paysage des menaces a radicalement changé. Les identités, qu’elles soient humaines ou non, sont créées, modifiées et exploitées en quelques millisecondes. Les droits d'accès évoluent en permanence entre les cycles de révision. Et lorsqu'une violation se produit, les auditeurs, les régulateurs, les inspecteurs, les assureurs et les avocats ne se demandent pas si des politiques existaient. Ils se demandent si ces politiques ont été appliquées, en temps réel, au moment où l'incident s'est produit.

Cet article soutient que le modèle traditionnel de gouvernance et d’administration des identités (IGA), qui repose sur des campagnes de révision annuelles ou trimestrielles, engendre ce que nous appelons le ‘ fossé de la négligence ’ : un écart grandissant entre ce que stipulent les documents de politique statique d’une organisation et ce que font réellement ses systèmes dynamiques. Si rien n’est fait, ce fossé ne constitue pas seulement un risque pour la sécurité. Il s’agit d’un risque de responsabilité civile et, pour les institutions financières et les organismes publics, d’un constat d’audit inévitable.

L'alternative consiste à adopter la gouvernance de défense active (ADG), un modèle dans lequel la gouvernance fonctionne comme un plan de contrôle continu, automatisé et fondé sur les risques, plutôt que comme un simple exercice d'attestation périodique. Lorsqu'elle est mise en œuvre efficacement, l'ADG transforme la gouvernance des identités, qui passe d'un centre de coûts lié à la conformité à une capacité opérationnelle en matière de sécurité et, surtout, à une source de moyens de défense solides en cas de litige.

Le présent document de synthèse vise à fournir aux professionnels, aux responsables de programmes et aux dirigeants un cadre leur permettant d'évaluer et de faire évoluer leur approche en matière de gouvernance de l'information (IGA), afin de passer d'activités de conformité ponctuelles à un modèle de gouvernance de l'information (ADG) continu et justifiable. Ce document abordera en détail :

  • Pourquoi le cycle traditionnel de révision des accords intergouvernementaux (IGA) ne suffit pas face aux risques actuels
  • Comment le déficit de gouvernance qui en résulte engendre des risques juridiques et réglementaires
  • Un cadre pour la mise en œuvre de l'ADG, des capacités de base à la pleine capacité de défense
  • Les indicateurs que les organisations peuvent utiliser pour évaluer l'efficacité de l'ADG
  • Considérations relatives à la mise en œuvre pour les organisations, quel que soit leur niveau de maturité en matière de gouvernance
Le problème du « théâtre de la conformité »

Le paradoxe de l'audit sans réserve

Aujourd'hui, les entreprises obtiennent régulièrement d'excellents résultats lors des audits SOC 2 de type II, des évaluations de conformité au RGPD, des examens de conformité DORA et des audits de sécurité CJIS, pour ensuite être victimes de violations liées à l'identité quelques semaines seulement après avoir reçu ce certificat de conformité. Ce n'est pas une coïncidence. Il s'agit d'une conséquence structurelle de la manière dont les cadres de conformité traditionnels sont conçus et de la façon dont les entreprises y répondent.

De par leur nature même, les cadres de conformité portent sur un moment donné. Une mission SOC 2 permet de déterminer si des contrôles étaient en place et fonctionnaient efficacement au cours d’une période définie. Un audit CJIS permet de vérifier que les politiques d’accès régissant les informations relatives à la justice pénale sont documentées et respectées.

Les cadres diffèrent, mais ils partagent la même limite : une période donnée, un instantané de la situation, et non en continu application.

Les institutions financières soumises aux directives du FFIEC, à la partie 500 du NYDFS ou à la norme PCI DSS v4.0 sont confrontées à des auditeurs qui exigent de plus en plus souvent des preuves de contrôles continus, et non plus de simples attestations ponctuelles. Les agences fédérales soumises à la FISMA, au FedRAMP ou à la norme NIST SP 800-53 fonctionnent selon des modèles de gouvernance qui documentent les contrôles au moment de l'autorisation, mais cette documentation peut ne pas refléter la mise en œuvre opérationnelle entre les cycles d'examen. Dans chaque cas, le cadre d'audit capture un instantané. L'environnement de menaces ne s'arrête pas pendant le cycle d'examen.

Il en résulte ce que les professionnels appellent de plus en plus souvent le « paradoxe de l'audit irréprochable » ou le « paradoxe de la conformité » : plus une organisation a confiance dans ses résultats d'audit, plus elle risque en réalité d'être vulnérable. Un tableau de bord vert établi à partir de données datant de trois, six ou onze mois ne constitue pas une preuve de maîtrise. C'est la preuve de passé contrôle, et en cas de violation, cette distinction est cruciale.

Si votre organisation était victime aujourd’hui d’une violation majeure liée à l’identité, les enquêteurs ne vous demanderaient pas si vous disposiez d’une politique de gouvernance. Ils vous demanderaient si cette politique était en vigueur et appliquée au moment où la violation s’est produite. Si la réponse est “ nous la révisons chaque année ”, vous n’êtes pas seulement vulnérables. Vous êtes dans une situation indéfendable.

La perte de valeur des audits : la date d'expiration cachée de chaque audit

Chaque campagne de certification des accès, chaque révision des droits d'accès et chaque exercice d'attestation des rôles a une date d'expiration que personne ne consigne. Dès qu'une campagne prend fin, les données qu'elle a certifiées commencent à s'écarter de la réalité. C'est ce que nous appelons la « dégradation de l'audit ».

Dans les environnements d'entreprise modernes, les identités et les droits d'accès qui y sont associés ne sont pas figés. Des comptes de service sont créés et mal configurés. Des prestataires sont intégrés et leurs droits d'accès s'étendent au-delà de ce qui était initialement prévu. Les employés changent de poste et accumulent des droits qui ne sont jamais révoqués. Les identités non humaines, notamment les clés API, les comptes machine, l'IA Agentic et les robots d'automatisation des processus robotisés (RPA), se multiplient dans l'infrastructure avec un contrôle minimal.

Dans ce contexte, un cycle de révision trimestriel signifie que les dérives d'accès peuvent passer inaperçues pendant près de quatre-vingt-dix jours avant même de pouvoir être détectées. Un examen annuel signifie jusqu'à une année entière d'exposition non surveillée. La communauté des cyberattaquants est bien consciente de cette dynamique. Les durées de séjour des attaques basées sur l'identité se mesurent en semaines et en mois, et non en heures, précisément parce que les cadences de gouvernance traditionnelles créent des fenêtres d'opportunité prévisibles.

L'évaluation par le supérieur hiérarchique : l'outil le moins fiable de la gouvernance

La forme la plus courante de contrôle des accès dans les programmes IGA d'entreprise est la certification par le supérieur hiérarchique ou le responsable : il s'agit d'une demande périodique dans laquelle les responsables sont invités à examiner les droits d'accès de leurs subordonnés directs et à confirmer que ces droits restent appropriés. Cette pratique est profondément ancrée dans les cadres de conformité et les attentes en matière d'audit. C'est également l'un des contrôles les moins efficaces de la panoplie d'outils de sécurité des identités.

Les problèmes structurels sont bien connus. Les responsables se voient présenter de vastes volumes de données relatives aux droits d'accès, mais ne disposent pas du contexte technique nécessaire pour les analyser de manière pertinente. Les examens sont soumis à des contraintes de temps et entrent en concurrence avec les responsabilités opérationnelles essentielles. Et la solution de facilité, qui consiste à approuver sans discussion le profil d'accès existant, n'entraîne aucune conséquence immédiate, même lorsqu'elle perpétue le risque.

Il en résulte une apathie liée aux audits : un comportement organisationnel acquis dans lequel les auditeurs considèrent les campagnes de certification comme de simples obligations administratives plutôt que comme de véritables activités de gestion des risques. Cette dynamique s'autoalimente. .

Par ailleurs, les types d'audits les plus susceptibles de mettre en évidence des risques significatifs, notamment les audits des droits d'accès aux rôles, les audits des exceptions aux politiques, les audits de l'accès aux données non structurées et les audits des identités non humaines, comptent parmi les moins fréquemment réalisés. Ces audits exigent une expertise sectorielle et une responsabilité en matière de gestion que les modèles centrés sur les superviseurs ne sont pas conçus pour prendre en compte.

Le « fossé de la négligence » et ses conséquences juridiques

Quand la gouvernance devient un handicap

Pendant la majeure partie des deux dernières décennies, les principales conséquences d'une gouvernance insuffisante en matière d'identité ont été d'ordre opérationnel : violations de données, pertes de données, atteinte à la réputation. Les risques juridiques et réglementaires, bien que réels, étaient souvent gérés par le biais d'engagements de remédiation et d'accords de règlement.

Cette donne est en train de changer. Les obligations d'information de la SEC imposent désormais de signaler en temps opportun et avec précision les incidents de cybersécurité significatifs, et les autorités de régulation évaluent activement si les organisations ont fait preuve d'une diligence raisonnable dans leurs pratiques de sécurité, et non pas seulement si elles se sont conformées à une liste de contrôle. La directive DORA, applicable à l'ensemble des entités financières de l'UE, établit des exigences explicites en matière de gestion des risques liés aux technologies de l'information et de la communication (TIC) et de réponse aux incidents, qui s'étendent aux contrôles d'accès et d'identité des tiers. Les exigences de la politique de sécurité CJIS relatives à l'accès aux informations de la justice pénale sont rigoureuses et non négociables, les défaillances en matière de contrôle d'accès entraînant de graves conséquences au niveau fédéral. Pour les institutions financières et les agences gouvernementales, les auditeurs s'attachent de plus en plus à vérifier si les contrôles fonctionnent en continu, et non pas simplement s'ils étaient en place lors du dernier audit.

Dans ce contexte, une action en justice ou une procédure réglementaire engagée à la suite d'une violation ne tiendra pas compte de l'existence d'un programme de gouvernance au sein de l'organisation. Elle portera plutôt sur la question de savoir si ce programme était opérationnel et appliqué au moment de l'incident. La procédure de communication préalable exigera les journaux d'accès, les registres de certification, les autorisations d'exception et les preuves de l'application des politiques. La question ne sera pas d'ordre philosophique. Elle sera d'ordre probatoire.

Une organisation qui ne peut produire que des rapports de certification annuels, sans aucune preuve d'une surveillance continue, n'a pas démontré sa conformité. Elle a mis en évidence le décalage entre sa politique documentée et son niveau de sécurité réel, et ce dans le contexte le plus préjudiciable qui soit.

Définir le « déficit de diligence »

Le « fossé de négligence » désigne l'écart grandissant entre ce que stipulent les documents de politique statique d'une organisation et ce que font réellement ses systèmes d'identité dynamiques entre deux cycles de révision. Il ne s'agit pas d'un risque théorique, mais d'une vulnérabilité avérée qui s'aggrave à chaque jour qui s'écoule entre deux mesures de gouvernance.

Ce fossé s'explique par plusieurs facteurs :

Tout d'abord, la dérive des accès : l'accumulation de droits, d'attributions de rôles (y compris des définitions de rôles obsolètes) et d'octrois d'autorisations qui se produit entre deux périodes de révision sans déclencher aucune mesure de gouvernance.

Deuxièmement, le délai de détection : le temps écoulé entre le moment où une anomalie d'accès se produit et celui où l'organisation en prend connaissance par le biais de son processus de gouvernance.

Troisièmement, le délai de correction : le temps qui s'écoule entre la détection et la révocation effective ou la correction d'un accès non conforme à la politique.

En cas de violation de données, la « zone de responsabilité » correspond à l'ensemble des éléments relevant de la responsabilité. Les avocats des plaignants et les autorités de régulation l'évalueront en termes de durée : combien de temps l'accès non autorisé a-t-il perduré, quand aurait-il dû être détecté, et quelles mesures un programme de gouvernance raisonnable aurait-il prises différemment ?.

Identités non humaines : la surface d'attaque non contrôlée

Le périmètre des identités s'est considérablement étendu au-delà des utilisateurs humains. Les comptes de service, les jetons API, les identités machine, les robots RPA et les agents IA représentent désormais une part importante de l'ensemble des identités dans la plupart des environnements d'entreprise. Ces identités non humaines opèrent souvent avec des privilèges élevés, apparaissent rarement lors des campagnes de vérification par les superviseurs et disposent de périmètres d'accès qui évoluent naturellement au fur et à mesure que les systèmes et les intégrations changent.

Du point de vue d'un attaquant, les identités non humaines constituent une cible particulièrement attrayante : elles offrent des privilèges élevés, une faible visibilité et un long délai avant d'être détectées. D'un point de vue juridique, l'utilisation de comptes de service compromis comme vecteurs de déplacement latéral soulève des questions cruciales quant à savoir si les organisations ont exercé une surveillance efficace sur tous les types d'identités, et pas seulement sur celles qui figurent dans l'organigramme.

Les programmes de gouvernance qui ne sont pas en mesure de démontrer qu'ils assurent une surveillance active et l'application des politiques pour les identités non humaines présentent une lacune structurelle dont les régulateurs, les avocats et les adversaires sont de plus en plus conscients.

Gouvernance de la défense active : un cadre pour un contrôle continu

Le tournant philosophique

La gouvernance de la défense active (ADG) marque un changement radical dans la manière dont la gouvernance des identités est conçue et mise en œuvre. Le modèle traditionnel pose la question suivante : « Qui a accès ? » Le modèle ADG pose quant à lui les questions suivantes : « Pourquoi cette identité dispose-t-elle de cet accès à l'heure actuelle ? » et « Cet accès est-il conforme à la politique en vigueur et à la posture de risque actuelle ? »

Il ne s'agit pas simplement d'une distinction philosophique. Cela reflète un changement structurel dans le fonctionnement de la gouvernance au sein de l'environnement des opérations de sécurité. Dans le modèle traditionnel, la gouvernance est une fonction périodique, une campagne qui se déroule, s’achève, puis attend d’être relancée. Dans le modèle ADG, la gouvernance est un flux de télémétrie continu : chaque événement d’accès, chaque action de provisionnement et chaque modification des droits est évalué par rapport à la politique en temps réel, avec des capacités de réponse automatisées qui n’ont pas besoin de cycles de révision humaine pour prendre effet.

Dans ce modèle, la campagne officielle de certification des accès ne disparaît pas. Elle est simplement repensée. Plutôt que de servir de principal mécanisme de contrôle, les certifications périodiques servent à confirmer et à attester ce que la surveillance continue a déjà détecté, géré et documenté. La campagne valide le système et les politiques. Elle ne constitue plus le système en soi.

Compétences clés d'un programme ADG

Un programme efficace de gouvernance de la défense active repose sur plusieurs capacités interdépendantes :

  • Une surveillance continue des accès avec évaluation des politiques en temps réel, remplaçant les cycles d'examen statiques par des déclencheurs de gouvernance basés sur les événements
  • Une hiérarchisation des certifications fondée sur les risques, qui concentre les efforts de vérification humaine sur les autorisations et les identités présentant le plus grand risque, plutôt que de les répartir de manière uniforme sur l'ensemble des accès
  • L'attribution d'accès « juste à temps » (JIT), dans le cadre de laquelle l'accès est accordé pour une période déterminée lorsque le risque le justifie, et où cette attribution est liée à un besoin avéré plutôt qu'à un droit permanent
  • Gestion des identités non humaines, consistant à appliquer aux comptes de service, aux identifiants API, à l'IA, aux robots RPA et aux identités machine les mêmes mécanismes de surveillance continue et d'application des politiques que ceux utilisés pour les utilisateurs humains
  • La mesure du délai de révocation (TTR), qui consiste à suivre le temps écoulé entre un événement de modification d'identité et la révocation des accès concernés, en tant qu'indicateur de sécurité principal

Une journalisation automatisée et conforme aux normes d'audit qui génère des enregistrements continus et inviolables des décisions d'accès, des évaluations des politiques et des mesures de gouvernance, immédiatement disponibles pour un examen réglementaire ou juridique

Gouvernance « juste à temps » et alignement sur le modèle Zero Trust

La gouvernance des accès « juste à temps » s'attaque à l'une des faiblesses structurelles les plus tenaces de la gestion des accès basée sur l'identité (IGA) traditionnelle : les privilèges permanents. Dans la plupart des environnements d'entreprise, les accès sont attribués puis persistent jusqu'à ce qu'ils soient explicitement révoqués, ce qui, dans la pratique, signifie souvent qu'ils perdurent indéfiniment. Les privilèges permanents constituent un facteur clé facilitant les mouvements latéraux et l'escalade des privilèges dans le cadre des attaques basées sur l'identité.

La gouvernance JIT renverse ce modèle pour les demandes d'accès à haut risque, et non pour les ressources courantes telles que la messagerie électronique. Plutôt que de considérer tous les privilèges comme permanents jusqu'à leur révocation, elle applique des autorisations limitées dans le temps et évaluées au regard des politiques là où un accès permanent présente le plus grand risque. Chaque événement d'accès privilégié ou sensible devient une décision de gouvernance, et non un vestige du passé. L'objectif n'est pas de créer des frictions pour chaque demande d'accès, mais de garantir que, lorsque le risque le justifie, l'accès soit délibéré, limité dans le temps et lié à un besoin vérifié, plutôt qu'un accès permanent qui persiste simplement parce qu'il a été accordé par le passé.

Cette approche s'inscrit directement dans les principes de l'architecture Zero Trust, notamment l'exigence d'une vérification continue et de l'application du principe du privilège minimal. Elle produit également les artefacts de gouvernance les plus défendables dans un contexte réglementaire ou contentieux : ces artefacts sont horodatés, liés à des politiques, automatisés et démontrent ce que la fonction de gouvernance d’une organisation fait dans la pratique plutôt que ce à quoi elle aspire en théorie. Lorsque les enquêteurs demandent pourquoi une identité particulière a eu accès à une ressource particulière à un moment donné, un modèle de gouvernance JIT fournit une réponse précise et documentée.

Mesurer ce qui compte vraiment

Indicateurs reflétant la réalité en matière de sécurité

Les programmes de gouvernance ont toujours été évalués en fonction des taux de réalisation des campagnes : le pourcentage d'examens certifiés dans un délai défini. Cet indicateur est presque totalement déconnecté des résultats en matière de sécurité. Un taux de réalisation des campagnes de 100 %, obtenu grâce à des validations automatiques, témoigne d'une conformité administrative, et non d'une gestion des risques.

Un programme ADG nécessite un ensemble d'indicateurs distinct, axé sur l'état réel de la sécurité et la validité juridique. Parmi les indicateurs clés à prendre en compte, on peut citer :

  • Taux d'application des politiques (en continu), remplaçant le taux d'achèvement des campagnes en tant qu'indicateur de contrôle principal
  • Taux de détection des anomalies en temps réel, mesurant le pourcentage d'anomalies d'accès détectées au cours des fenêtres SLA définies
  • Délai de révocation (TTR) : mesure du temps écoulé entre le déclenchement d'un événement lié à l'identité et la révocation de l'accès
  • Couverture des entités non humaines, mesurant le pourcentage d'entités non humaines faisant l'objet d'une gouvernance active
  • Taux d'adoption de l'accès JIT, mesurant le pourcentage d'accès privilégiés accordés via des mécanismes JIT par rapport aux privilèges permanents
  • Vérification de l'exhaustivité des éléments probants, en évaluant la disponibilité et l'intégrité des journaux de gouvernance continus pour une période donnée

Le délai avant révocation en tant qu'indicateur au niveau du conseil d'administration

Le délai de révocation (TTR) mérite une attention particulière, car il mesure directement la fenêtre d'opportunité dont dispose un attaquant à la suite d'un événement d'identité déclencheur, qu'il s'agisse d'une résiliation, d'un changement de rôle, de la détection d'une anomalie ou d'une violation de la politique.

Les organisations dotées de capacités de gouvernance continue bien établies mesurent le TTR en minutes. Celles qui s'appuient sur des cycles d'examen périodiques le mesurent en jours, en semaines, voire indéfiniment (si tant est qu'elles le mesurent) pour les types d'accès non couverts par les campagnes standard. Cette différence n'est pas une simple nuance. C'est la différence entre une attaque d'identité qui est maîtrisée et une qui se transforme en violation majeure. Pour les institutions financières et les agences gouvernementales, cette différence a une importance qui dépasse le cadre du centre des opérations de sécurité. Les auditeurs s'attendent de plus en plus à une réponse précise et documentée sur la rapidité avec laquelle l'accès a été révoqué à la suite d'un événement déclencheur, et non à une simple référence au prochain cycle de certification.

Le TTR est également l'un des indicateurs les plus efficaces pour le reporting au conseil d'administration, car il traduit les capacités techniques en matière de gouvernance en résultats concrets en termes de réduction des risques. Une organisation capable de démontrer un TTR moyen inférieur à quinze minutes après un incident de compromission fournit ainsi une information pertinente sur son niveau de sécurité, ce que le taux de réussite d'une campagne ne permet pas de refléter.

Considérations relatives à la mise en œuvre

Le continuum de maturité

Le passage d'une gestion des identités (IGA) axée sur la conformité à une gestion des identités et des accès (ADG) ne se fait pas d'un seul coup. Il s'agit d'un processus de maturation que la plupart des organisations aborderont de manière progressive, en commençant par les catégories d'identités présentant le plus de risques, puis en élargissant progressivement la couverture.

Un modèle de maturité pratique pour l'adoption de l'ADG se déroule en quatre étapes :

  • Étape 1 | Fondamentale : inventaire centralisé des identités, workflows cohérents de création et de suppression des droits d'accès, et campagnes de certification des accès de référence. Cette étape constitue le préalable indispensable à toutes les étapes suivantes.
  • Phase 2 | Approche axée sur les risques : mise en place d'une notation des risques pour les identités et les droits d'accès, hiérarchisation des efforts de vérification en fonction de la pondération des risques, et mise en œuvre initiale de capacités de détection des anomalies.
  • Étape 3 | En continu : évaluation des politiques en temps réel, déclencheurs de gouvernance basés sur les événements, mesure du TTR et intégration avec les outils d'opérations de sécurité. Il s'agit du seuil ADG.
  • Étape 4 | Sécurisée : mise en œuvre d'une gouvernance des accès JIT là où les accès permanents présentent le plus grand risque, couverture complète des identités non humaines, journalisation continue de qualité auditable et automatisation des rapports réglementaires. Cette étape correspond à une posture prête à faire face à un litige.

L'IA, un levier pour une gouvernance continue

Le volume des événements d'accès, des modifications des droits d'accès et des interactions liées à l'identité dans une entreprise moderne rend la gouvernance manuelle continue impossible sur le plan opérationnel. L'analyse basée sur l'IA n'est pas une amélioration facultative d'un programme de gouvernance des accès (ADG). Il s'agit d'une exigence architecturale.

Utilisées à bon escient, les capacités d'IA intégrées à une plateforme IGA peuvent remplir plusieurs fonctions qui dépassent les capacités pratiques des processus de révision menés par des humains. L'analyse comportementale permet d'établir des modèles d'accès de référence pour chaque identité et de signaler les écarts qui justifient une réévaluation des politiques. Les modèles d'apprentissage automatique peuvent évaluer le niveau de risque associé à chaque autorisation et combinaison d'accès, identifiant ainsi les combinaisons de privilèges dangereuses que les révisions standard des rôles ne détectent pas. Le traitement du langage naturel permet d'interpréter les documents de politique et de mettre en correspondance les droits avec l'intention de la politique, ce qui permet une évaluation automatisée de la conformité plutôt qu'une interprétation manuelle.

Il est essentiel que les décisions d'accès fondées sur l'IA s'appuient sur des scores de risque vérifiables et des liens documentés avec les politiques, et non pas simplement sur les résultats des modèles. Ce qui importe dans un contexte juridique ou réglementaire, ce n'est pas qu'une IA ait pris une décision, mais que cette décision ait été prise conformément à un processus d'évaluation des politiques documenté et vérifiable, les éléments de risque ayant été consignés au moment de la décision.

Repositionner la gouvernance en tant que fonction de sécurité

Le principal défi lié à la mise en œuvre de l'ADG réside peut-être davantage dans l'organisation que dans la technique. Les programmes traditionnels de gouvernance des identités (IGA) relèvent souvent des services chargés de la conformité, des technologies RH ou des opérations informatiques. L'ADG exige que la gouvernance des identités soit considérée comme une capacité de sécurité fondamentale, intégrée aux opérations de sécurité, à la gestion des incidents et au renseignement sur les menaces.

Le repositionnement de l'ADG dans ce contexte a des implications concrètes. Les indicateurs de gouvernance doivent figurer dans les rapports sur les opérations de sécurité, et pas seulement dans les tableaux de bord de conformité. Les anomalies de gouvernance doivent être intégrées dans les flux de travail SIEM et SOAR. Enfin, les responsables de la gouvernance doivent disposer d'une ligne de communication directe avec les responsables de la sécurité, et non d'une relation hiérarchique passant par les fonctions de conformité ou d'audit.

Cette évolution nécessite également de repenser la manière dont les investissements en matière de gouvernance sont évalués. Les dépenses consacrées à une infrastructure de gouvernance continue ne constituent pas un coût lié à la conformité. Il s'agit d'un investissement en sécurité dont les résultats en termes de réduction des risques sont mesurables et qui a une incidence directe sur les primes d'assurance cyber, la situation réglementaire et la position face aux litiges.

L'impératif de la défendabilité

L'argument central de cet article n'est pas que la conformité soit sans importance. Les référentiels tels que SOC 2, DORA et la politique de sécurité CJIS remplissent des fonctions importantes : ils établissent des attentes de base, fournissent une structure d'audit et créent des mécanismes de responsabilisation. L'argument est que la conformité, telle qu'elle est actuellement mise en œuvre par la plupart des organisations, est insuffisante, et que cette insuffisance ne constitue plus seulement un risque pour la sécurité. Il s'agit d'un risque juridique et de réputation.

Le paysage des menaces liées à l'identité a évolué à un point tel que tout programme de gouvernance incapable de démontrer un contrôle d'accès continu, régi par des politiques et en temps réel, présente une vulnérabilité structurelle. Les examens périodiques peuvent encore jouer un rôle, notamment pour attester et confirmer la continuité des contrôles, affiner les politiques et répondre aux exigences réglementaires. Mais ils ne peuvent constituer le contrôle principal. Les risques n'attendent pas les cycles d'examen.

Les organisations qui adoptent l'ADG ne se contentent pas de mettre en place un programme de sécurité plus efficace. Elles établissent une stratégie de gouvernance qui tient la route dans les situations les plus critiques : une enquête réglementaire, une réunion du conseil d'administration, une enquête après une violation de données et, le cas échéant, une audience devant un tribunal.

La question n'est pas de savoir si votre organisation dispose d'une politique de gouvernance. La question est de savoir si vous pouvez prouver qu'elle a fonctionné au moment où cela comptait et qu'elle continue de fonctionner aujourd'hui.

À propos de cet article

Ce document de synthèse a été rédigé par les experts en gouvernance et administration des identités de RSA. Il a pour objectif de fournir aux professionnels, aux responsables de programmes et aux dirigeants un cadre leur permettant d'évaluer et de faire évoluer leur stratégie de gouvernance des identités, au-delà des simples activités de conformité ponctuelles, vers un modèle de gouvernance de défense active continu et défendable.

Vous pourriez également être intéressé par...

Demander une démonstration

Nous vous remercions de l'intérêt que vous portez à l'ASR.
Obtenir une démonstration