La plupart des organisations pensent qu'elles maîtrisent la gouvernance des identités parce qu'elles procèdent à des vérifications d'accès, appliquent des politiques et procèdent à des certifications à intervalles réguliers. Mais lorsque l'on pose des questions simples telles que “Qui a accès à quoi et pourquoi ?”, cette confiance commence souvent à s'effriter.
En fait, les organisations prennent aujourd'hui en moyenne 241 jours pour identifier et contenir une brèche, ce qui montre combien de temps un accès excessif ou inapproprié peut passer inaperçu. Ce n'est pas parce que les équipes s'en désintéressent. C'est parce que le modèle sur lequel elles s'appuient ne correspond plus à l'environnement dans lequel elles opèrent.
Pendant des années, la gouvernance des identités a suivi un rythme prévisible. Des examens trimestriels, des certifications annuelles, des rôles définis et des systèmes relativement stables ont permis de garder le contrôle. Sans être parfait, le processus était gérable.
Ce n'est plus la réalité. L'environnement a changé, mais pas le modèle.
Aujourd'hui, les environnements d'identité changent constamment. Les applications SaaS continuent de se développer, les employés changent de rôle plus fréquemment, les sous-traitants vont et viennent, et les machines sont de plus en plus nombreuses.
Les identités non humaines se développent en arrière-plan. Dans de nombreuses organisations, les identités non humaines sont aujourd'hui plus nombreuses que les utilisateurs humains, souvent de plus de 50 à 1, ce qui augmente considérablement le volume d'accès qui doit être régi. L'accès évolue chaque jour, souvent sans visibilité claire.
La gouvernance, cependant, fonctionne toujours sur la base d'un calendrier et s'appuie fortement sur les humains. Cela signifie que l'accès est examiné sur la base d'un calendrier, et non en fonction du moment où le risque est réellement présent.
changements.
La gouvernance traditionnelle repose sur la prise de décisions par des personnes. Les réviseurs valident les accès, les responsables certifient les droits et les équipes informatiques appliquent les politiques.
Cette approche fonctionnait lorsque le champ d'application de la gouvernance était plus limité. Elle devient beaucoup plus difficile lorsque le volume et le rythme augmentent.
Les examinateurs doivent désormais évaluer des dizaines, voire des centaines de décisions d'accès à la fois, souvent dans un contexte limité. Dans le même temps, les problèmes peuvent persister bien plus longtemps que prévu, passant souvent inaperçus pendant des mois. Au fil du temps, le défi est moins lié à l'effort qu'à l'échelle. Au fur et à mesure que le volume augmente, les examens commencent à ressembler à quelque chose qu'il faut compléter plutôt qu'à quelque chose qu'il faut soutenir.
C'est alors que les examens d'accès commencent à perdre de leur efficacité. Les certifications se transforment en tampons et l'écart entre la politique définie et l'accès réel commence à se creuser.
Plus l'écart se creuse, plus le risque augmente.
Les accès excessifs persistent plus longtemps qu'ils ne le devraient. Les comptes orphelins restent actifs. Les droits s'accumulent sans qu'il y ait de propriété ou de justification claire. Plus important encore, les organisations perdent la capacité de répondre en toute confiance aux questions de base sur l'accès, non seulement lors des audits, mais aussi dans les opérations quotidiennes.
C'est là que l'identité devient un véritable problème de sécurité. Aujourd'hui, la plupart des violations ne commencent pas par des exploits complexes. Elles commencent par des informations d'identification valides et un accès qui n'aurait pas dû exister en premier lieu. Le coût moyen d'une violation de données s'élève à $4,44 millions Les lacunes en matière de contrôle d'accès sont donc bien plus qu'un simple problème de conformité. Lorsque des problèmes d'accès ne sont pas détectés pendant des mois, le coût n'est pas seulement financier. Il s'agit d'une perturbation opérationnelle, d'une exposition aux audits et d'une perte de confiance. Sans une visibilité et un contrôle clairs, les conséquences peuvent être à la fois immédiates et coûteuses.
Le problème n'est pas que la gouvernance soit défaillante. C'est qu'elle n'a pas évolué assez vite pour suivre le mouvement. Les modèles traditionnels s'appuient sur des examens périodiques et des efforts manuels pour gérer des environnements qui changent désormais en permanence. Cette inadéquation entraîne une lassitude des révisions, des décisions incohérentes et une incertitude quant à l'accès.
Si la gouvernance doit fonctionner à grande échelle, elle doit s'orienter vers une approche plus continue et mieux informée. Une approche qui offre une visibilité permanente, favorise une meilleure prise de décision et aide les organisations à se concentrer sur ce qui est réellement important.
Il s'agit là du fondement de la gestion de la posture de sécurité de l'identité, dont l'objectif n'est pas seulement d'examiner l'accès, mais de le comprendre et de l'améliorer en permanence.
L'IA ne remplace pas la gouvernance. Elle la renforce.
Au lieu de demander aux examinateurs de tout évaluer de la même manière, l'IA aide à hiérarchiser les risques. Les organisations qui utilisent largement l'IA et l'automatisation en matière de sécurité réduisent les coûts liés aux failles de sécurité d'en moyenne $1,9 million, qui montre l'impact de l'application de l'intelligence à grande échelle. Il met en évidence les accès inhabituels ou à haut risque, fournit un contexte pour étayer les décisions et guide les examinateurs occasionnels et les administrateurs expérimentés vers les actions qui ont le plus d'impact.
L'objectif s'en trouve modifié. Le but n'est plus de terminer les examens, mais de prendre des décisions meilleures et plus sûres.
Si cette question vous intéresse, nous l'approfondirons lors d'un prochain webinaire :
Pourquoi la gouvernance des identités ne fonctionne pas à grande échelle et comment l'IA y remédie
Nous couvrirons :
- Pourquoi les modèles de gouvernance traditionnels ont-ils du mal à s'adapter aux environnements modernes ?
- Comment réduire le bruit et concentrer les évaluateurs sur ce qui compte vraiment ?
- Où l'IA apporte une réelle valeur ajoutée dans les examens d'accès et les décisions relatives à l'identité
- À quoi ressemble l'évolution vers une gouvernance continue et fondée sur la connaissance ?
S'inscrire pour réserver votre place
