5 questions pour améliorer sa stratégie de gouvernance des identités

La Gouvernance des identités n’est pas forcément évoquée en premier lorsqu’on parle d’arsenal de cybersécurité. Pourtant, elle devrait en être pourtant l’une des composantes les plus importantes. La négliger peut engendrer non seulement une brèche de sécurité dans les données mais aussi la perte de la confiance des clients. Sans parler des problèmes de conformité.

Mais comment déterminer si la stratégie de gouvernance des identités mise en place est efficiente ? Comment générer une stratégie de gouvernance des identités efficace ? Comment construire cette stratégie pour renforcer la cybersécurité ?

Chez Idento, nous accompagnons nos clients sur ces problématiques depuis notre création. Voici 5 questions tirées de notre expérience qui devraient aider à la réflexion.

Quel mode d’authentification est utilisé ?

Les moyens d’authentification devraient être le point de départ d’une bonne stratégie de gouvernance d’identités. Aujourd’hui, l’authentification “simple facteur” reste la plus couramment utilisée dans le monde professionnel comme personnel. Ce mode d’authentification s’appuie généralement sur les mots de passe. Sans surprise, ceux-ci sont connus pour être facilement piratables. Ou juste déduits avec des techniques d’ingénierie sociale. Même le hacker le plus inexpérimenté peut bypasser un mot de passe avec un produit acheté dans le dark-web.

Cette fragilité est d’autant plus importante compte-tenu des comportements imprudents des utilisateurs qui :

• utilisent plusieurs fois le même mot de passe. Cette répétition accroit les chances des pirates pour les deviner.
• définissent des mots de passe d’une simplicité désarmante tel que le tristement célèbre “123456”.

Par conséquent, la stratégie de gouvernance doit pouvoir s’appuyer sur une authentification renforcée. Idéalement, l’entreprise devrait adopter l’authentification multi-facteurs (MFA). Chaque étape d’authentification entre l’environnement extérieur et le système d’information de l’entreprise diminue la probabilité d’une brèche dans les données. Une authentification à 2 facteurs, bien qu’imparfaite, est toujours plus sécure qu’une authentification basée sur un simple facteur.

Et le choix des facteurs d’authentification qui peuvent être utilisés pour sécuriser les identités, est large : la géolocalisation et la surveillance des moments de connexion, la biométrie comportementale, la biométrie physique et les jetons en dur… Nous ferons un article prochainement sur les différents types de moyen d’authentification.

Certaines entreprises vont craindre que l’expérience utilisateur en soit dégradée. Ou, elles vont redouter que cela alourdisse les process métiers. Jusqu’à générer une fronde des utilisateurs et le courroux de quelques VIP. Quel DSI ou RSSI n’a pas été vilipendé pour avoir voulu raccourcir la fréquence de changement de mot de passe ou imposer une complexification de celui-ci ? Sans faire de miracle, il est toutefois possible de concilier l’expérience et la sécurité en augmentant simplement les facteurs requis en fonction du niveau d’accès.

L’authentification de l’identité ne requiert pas obligatoirement le sacrifice de l’expérience utilisateur ni des process métiers. Au contraire, il est nécessaire de faire de cette gouvernance d’identités un élément central des deux.

Pourquoi la stratégie doit-elle intégrer le contrôle des accès basé sur les rôles ?

Le contrôle d’accès basés sur des rôles ou RBAC détermine les permissions accordées à l’utilisateur en fonction de son rôle au sein de l’entreprise. Telle personne avec telle fonction a accès à telles fonctionnalités et données. Idéalement, les accès basés sur des rôles restreignent les permissions aux seules tâches que l’utilisateur doit absolument effectuer, sans plus. Cela peut réduire le zèle ou l’esprit d’initiative mais c’est plus sécurisé.

Résultat, les RBAC suivent le sacro-saint principe du moindre privilège, qui devrait guider la stratégie générale de gestion des identités. Ce principe définit les droits que chaque utilisateur doit posséder, même les utilisateurs à comptes privilégiés, de la manière la plus sécurisée.

En complément, les accès basés sur des rôles renforcent les process business à travers des workflows clairement définis. De plus, ils facilitent l’onboarding et l’offboarding. Ils simplifient la conformité numérique ainsi que la mise en place d’automatisation. Enfin, ils peuvent aussi aider la visibilité du réseau, à détecter les activités suspectes même quand les paramètres de connexion semblent légitimes.

D’ailleurs, avoir une bonne visibilité devrait aussi influencer la stratégie de gouvernance d’identité. Le niveau de visibilité sur les utilisateurs et sur leurs activités permet de mesurer l’efficience de la politique générale. La nouvelle génération de solutions d’IAM peut aider à renforcer la connaissance de ces autorisations et des comportements, spécialement avec des capacités RBAC.

Et là aussi Idento peut vous accompagner.

Quel mode de gestion pour les utilisateurs privilégiés ?

Vu de l’extérieur, les pratiques de gestion des accès privilégiés au sein des entreprises laissent à désirer :

• Selon l’éditeur de solution de Privileged Access Management (PAM), Centrify, 74% des entreprises ont subi une violation liée à un vol ou à une compromission d’un compte à accès privilégié.
• 26% des entreprises américaines ont des problèmes pour définir leurs accès privilégiés
• 63% prennent plus d’un jour pour retirer les accès privilégiés à un ancien collaborateur.

Et ce n’est que la partie immergée de l’iceberg. Nombre d’entreprises s’appuient sur des administrateurs systèmes qui ont un accès total au système d’information et sont les seuls à connaître les comptes d’accès d’administration.

Le PAM doit devenir un composant critique de la stratégie de management de l’identité. Et il existe de nombreuses solutions sur le marché, un peu chères mais relativement faciles et rapides à mettre en œuvre. Une bonne solution de PAM offre en premier lieu de la visibilité (comme évoqué précédemment) sur ces comptes à accès privilégiés. En complément, elle doit également proposer les fonctionnalités

• de coffre-fort à mots de passe,
• la rotation des mots de passe,
• de multi-facteurs d’authentification
• et la surveillance de session.

Enfin, elle doit offrir des fonctionnalités qui permettent également d’automatiser des contrôles. Le manque de fiabilité des contrôles manuels est un véritable tapis rouge déroulé aux pieds des menaces externes et internes.

D’un point de vue philosophique, des restrictions les plus strictes devraient être imposées sur les privilèges et comptes les plus forts. Aussi, tout compte avec des droits privilégiés devrait être géré selon le principe du moindre privilège, comme évoqué précédemment. D’un point de vue pratique, il faudrait également faire preuve de pédagogie ou de diplomatie vis-à-vis de ces utilisateurs spécifiques. En effet, ils pourraient se sentir vexés de ce qui pourrait être perçu comme une perte de confiance ou une perte de pouvoir.

Quid de la supervision des accès des partenaires externes ?

Les identités tierces se connectent et interagissent avec le système d’information de l’entreprise, bien qu’elles n’en soient pas effectivement des utilisateurs natifs.

Les utilisateurs tiers sont les personnes externes à l’entreprise avec lesquels l’entreprise collabore, tels que les vendeurs ou partenaires. Ce sont des personnes avec qui l’entreprise travaille mais qui ne travaillent pas nécessairement pour l’entreprise. A prendre en compte également, les acteurs “non-humains”, tels que des applications ou des bases de données.

Des personnes mal attentionnées pourraient exploiter des droits de tiers ayant des privilèges inappropriés. Il est donc nécessaire, pour une bonne stratégie de gestion d’identités, de prendre en compte la sécurité de ces identités des tiers.

Comme les identités d’utilisateurs réguliers, la gestion des identités des tiers nécessite une visibilité accrue et l’application du principe de moindre privilège. De plus, les tiers devraient utiliser l’authentification multi-facteurs et une fédération d’IAM. Mais si la solution de sécurisation des identités mise en place ne permet pas de gérer et protéger ces accès tiers, il est temps de réfléchir à son remplacement. Et heureusement, Idento peut accompagner dans cette réflexion.

Par-dessus tout, il est indispensable d’avoir confiance envers ces tiers. Il est évident de ne pas inviter un étranger suspect dans sa maison, et il devrait en être de même avec le système d’information. Avant de faire affaire, il est nécessaire de vérifier la fiabilité de ses partenaires, vendeurs ou contractants et comment ils gèrent les accès de leurs collaborateurs. Les politiques d’achat au moins disant peuvent faire oublier ces précautions et sous-estimer les risques de sécurité liés à une mauvaise gestion du cycle de vie de ses employés.

Pourquoi a-t-on besoin d’une gouvernance des identités ?

En dehors des comptes à accès privilégiés, chaque compte utilisateur classique peut acquérir des droits éloignés de ses prérogatives professionnelles. Même si les droits ont été corrects à un moment donné, le professionnel a peut être évolué depuis. Le système d’information de même. Son compte peut donc conserver des droits qui ne sont plus d’actualité (droits résiduels). S’il n’y a pas de régulation ou d’évaluation, ce compte continue de grossir avec des droits inutiles. Jusqu’à ce qu’ils attirent l’attention de hackers ou de menaces internes…

Le management des rôles aide à prévenir ces problèmes. A l’heure actuelle, les entreprises ont des difficultés à mettre en place et à maintenir leur gestion des rôles. Selon le rapport Identity Report 2018 de notre partenaire Sailpoint, seulement 20% des entreprises ont de la visibilité sur l’ensemble de leurs utilisateurs. Seulement 10% des entreprises supervisent et gèrent les accès utilisateurs aux données stockées dans les fichiers. Une marge de progression est donc possible.

La stratégie de management des identités doit inclure la gouvernance et l’administration des identités. Celle-ci supervise les flux et trafic de données. Elle surveille qui accède à quelle donnée et qui l’utilise, quand et comment. Tout cela pour s’assurer d’un usage approprié.

Pour finir, la gouvernance des identités peut aider à gérer le cycle de vie des identités et à centraliser les requêtes d’accès au système d’information. Ce dernier point ne devrait pas être sous-estimé. Sans cette centralisation, l’équipe de sécurité des SI ne sera pas en capacité de superviser ces accès sans y consacrer un temps démesuré. A l’heure où les ressources IT de sécurité sont rares, leur temps d’activité est précieux.

En conclusion

Toutes ces pratiques participent au renforcement de la politique de gouvernance des identités et ainsi de la cybersécurité du système d’information. Elles peuvent paraître lourdes à mettre en place, contraignantes pour les utilisateurs, sources de frustration. Mais à une époque où la cybercriminalité est considérée comme un risque stratégique majeur, elles sont pourtant nécessaires. De plus, les solutions existent pour concilier sécurité et expérience utilisateur.

Idento, cabinet de conseil leader sur la gestion des identités et des accès, peut vous accompagner pour bâtir cette gouvernance, que ce soit dans les phases amont d’audit, de réflexion, que dans le choix d’outils et dans leur mise en œuvre.

Pour en savoir plus, contactez-nous !