Ce blog a été publié pour la première fois en 2021 et a été mis à jour.
La sécurité de l'identité commence par l'authentification : prouver que l'on est bien celui que l'on prétend être est la première étape de la mise en œuvre de la sécurité organisationnelle, mais c'est loin d'être la dernière. Pour de trop nombreuses organisations, ce qui se passe après l'authentification est un point aveugle majeur. L'accès est provisionné. Les comptes accumulent les autorisations. Les personnes changent de rôle ou partent. Et sans une compréhension claire et continuellement appliquée de qui devrait avoir accès à quoi, quand et pourquoi, les lacunes s'accumulent tranquillement.
La pandémie a presque triplé le travail à distance, ce qui a entraîné une hausse importante des demandes d'accès. Cette ampleur a rendu les lacunes plus difficiles à ignorer. Des pirates se sont introduits dans les réseaux de Colonial Pipeline en utilisant un compte VPN qui n'était plus utilisé. Il ne s'agissait pas d'un exploit sophistiqué. Il s'agissait d'une défaillance dans la gouvernance des accès, exactement le type de défaillance que la gouvernance et l'administration des identités (IGA) est spécifiquement conçu pour l'éviter. Le travail hybride devenant la norme, la mise en place d'une sécurité post-authentification correcte n'est plus optionnelle.
Le travail hybride n'a pas seulement changé l'endroit où les gens travaillent. Il a changé ce que les organisations doivent défendre. Lorsque les employés accèdent aux ressources de l'entreprise à partir de réseaux domestiques, de cafés et d'espaces de travail partagés, le périmètre de sécurité traditionnel n'a plus de sens. La question n'est plus “cette personne est-elle à l'intérieur du réseau ?”. Il s'agit plutôt de savoir si cette personne doit avoir accès à cette ressource, à l'instant même, dans ce contexte. Ce changement introduit une série de défis que la sécurité basée sur le périmètre n'a jamais été conçue pour gérer.
Accès à l'étalement urbain
Le travail à distance s'est développé presque du jour au lendemain pendant la pandémie, ce qui a entraîné un flot de nouvelles demandes d'accès. Les employés avaient besoin de VPN, d'applications SaaS, de ressources en nuage et d'outils de collaboration, souvent en même temps. Les équipes de sécurité ont provisionné l'accès rapidement pour que l'entreprise puisse continuer à fonctionner. Mais les accès qui sont fournis rapidement sont rarement examinés avec soin. Il en résulte une dérive des droits d'accès. Utilisateurs accumuler Les équipes de sécurité n'ont plus la possibilité d'accéder aux autorisations dont elles n'ont plus besoin, dans des systèmes qu'elles ne peuvent plus voir entièrement.
Comptes orphelins et dormants
Les attaquants n'ont pas besoin d'entrer par effraction lorsqu'une porte a été laissée ouverte. Les comptes dormants, c'est-à-dire les informations d'identification qui existent encore longtemps après qu'un employé a quitté l'entreprise ou changé de rôle, sont exactement ce type de porte ouverte. La violation de Colonial Pipeline est un exemple bien documenté : les attaquants ont obtenu un accès par le biais d'un compte VPN qui n'était plus utilisé. Il ne s'agissait pas d'un exploit sophistiqué. Il s'agissait d'une défaillance dans la gouvernance des accès. Et c'est loin d'être un cas unique.
Accès des tiers et des contractants
Les effectifs hybrides fonctionnent rarement de manière isolée. Les fournisseurs, les sous-traitants et les partenaires ont régulièrement besoin d'accéder aux systèmes internes pour effectuer leur travail. Cet accès est généralement accordé en fonction des besoins et rarement réexaminé. Les organisations se retrouvent avec une longue liste d'informations d'identification de tiers qui échappent aux cycles normaux de provisionnement et de révision, créant ainsi exactement le type de confiance implicite que la confiance zéro est censée éliminer.
Risque de mouvement latéral
Une fois qu'un pirate dispose d'une série d'informations d'identification valides, la vraie question est de savoir jusqu'où il peut aller. Dans les environnements où les limites d'accès sont faibles, la réponse est souvent : très loin. Le mouvement latéral, qui consiste à utiliser un accès légitime pour pénétrer plus profondément dans un réseau, est l'un des schémas les plus courants dans les brèches d'entreprise. La meilleure défense n'est pas une meilleure détection après coup. Il s'agit de s'assurer que même un compte compromis ne peut pas accéder à des systèmes qu'il n'était pas censé toucher.
Manque de visibilité
On ne peut pas gouverner ce que l'on ne voit pas. Dans les environnements hybrides, les données d'identité sont rarement centralisées. Les employés s'authentifient auprès de systèmes sur site, d'applications en nuage, d'outils SaaS et de plateformes d'infrastructure, souvent par le biais d'annuaires et de contrôles d'accès différents. Sans une vue unifiée de qui a accès à quoi, les équipes de sécurité doivent prendre des décisions d'accès avec des informations incomplètes, et les examens d'accès deviennent une hypothèse plutôt qu'un contrôle fiable.
Équilibrer la sécurité et la vie privée
Pour assurer une sécurité optimale dans un environnement hybride, il faut permettre l'accès, et pas seulement le restreindre. L'objectif de la gouvernance des identités n'est pas de tout verrouiller, mais de s'assurer que les bonnes personnes ont le bon accès sans créer de frictions pour ceux qui font exactement ce qu'ils doivent faire. Pour parvenir à cet équilibre, il faut que les politiques, l'automatisation et la gouvernance fonctionnent ensemble, et pas seulement des restrictions plus strictes.
Un programme mature de gouvernance des identités relève ces défis en intégrant la sécurité directement dans la manière dont l'accès est accordé, contrôlé et révoqué. Les composants essentiels sont les suivants :
- Gouvernance et administration des identités (IGA). La couche fondamentale. L'IGA définit qui doit avoir accès à quoi, automatise le provisionnement et le dé-provisionnement, et crée un enregistrement vérifiable de chaque décision d'accès.
- Contrôle d'accès basé sur les rôles (RBAC). Attribuer des autorisations basées sur la fonction plutôt que sur la négociation individuelle. Le système RBAC limite le rayon d'action de tout compte compromis et accélère considérablement l'examen des accès.
- Examens continus de l'accès. Des certifications périodiques qui vérifient si les droits actuels correspondent toujours aux responsabilités professionnelles actuelles, ce qui permet d'éviter les dérives avant qu'elles ne deviennent un fardeau.
- Déprovisionnement automatisé. La révocation instantanée de l'accès lorsque les employés quittent l'entreprise, changent de rôle ou sont déconnectés élimine le risque de compte dormant qui a permis la violation de Colonial Pipeline.
- Détection des anomalies et analyse comportementale. Identifier des schémas d'accès inhabituels qui peuvent indiquer une compromission des informations d'identification ou une menace interne, même si la connexion elle-même semble légitime.
- Accès au réseau sans confiance (ZTNA). Remplacer la confiance implicite basée sur la localisation du réseau par une vérification continue de l'identité, de l'état de l'appareil et du contexte avant d'accorder l'accès à toute ressource.
La mise en place d'un programme mature de gouvernance et d'administration des identités (IGA) commence par la compréhension du fossé post-authentification et sa résorption. L'IGA fournit la sécurité post-authentification dont les entreprises d'aujourd'hui ont besoin pour maintenir leur productivité tout en garantissant la sécurité.
Cela signifie qu'il faut donner aux équipes de sécurité les outils nécessaires pour automatiser les décisions d'accès, révéler les anomalies et contrôler le plan d'identité à l'échelle requise par le travail hybride.
En pratique, cela se traduit par :
- Comprendre ce qui se passe lorsqu'un pen-tester peut accéder à un réseau d'entreprise et s'y déplacer latéralement, et comment l'AGI peut limiter ce type de mouvement.
- Évaluer si l'identité centrée sur l'utilisateur est toujours possible et comment elle s'aligne sur l'AGI.
- Utiliser le contrôle d'accès basé sur les rôles pour authentifier les utilisateurs, les systèmes, les applications et les données d'une manière suffisamment précise pour protéger l'entreprise sans la ralentir.
RSA ID Plus peut prendre en charge les utilisateurs dans tous les environnements, y compris dans les configurations cloud, hybrides et sur site. En savoir plus sur la solution ou Commencez votre essai gratuit de ID Plus maintenant.
L'AGI est l'ensemble des politiques, processus et outils que les organisations utilisent pour gérer les identités numériques et contrôler l'accès aux systèmes et aux données. Elle va au-delà de l'authentification pour régir ce que les utilisateurs sont réellement autorisés à faire une fois qu'ils sont dans un réseau.
Confiance zéro part du principe qu'aucun utilisateur ou appareil n'est intrinsèquement digne de confiance. L'IGA concrétise ce principe en appliquant l'accès au moindre privilège, en automatisant les révisions d'accès et en évaluant en permanence si une identité donnée devrait encore avoir accès à une ressource donnée.
Le travail hybride augmente considérablement le nombre de demandes d'accès, de points d'entrée à distance et de combinaisons de droits qu'une organisation doit gérer. Sans AGI, cette complexité crée des failles que les attaquants peuvent exploiter, notamment des comptes dormants, des rôles surprovisionnés et des accès tiers non revus.
Le mouvement latéral se produit lorsqu'un attaquant utilise un compte compromis pour naviguer plus profondément dans un réseau. L'IGA limite ce phénomène en imposant des limites d'accès strictes, de sorte que même si un compte est compromis, l'attaquant ne peut pas accéder aux systèmes ou aux données en dehors du champ d'application autorisé de ce compte.
