Kalawin - stock.adobe.com
La PAM passe à l’heure du cloud (Étude Thycotic)
Un sondage tend à montrer que la moitié des professionnels de la sécurité de l’information prévoient de migrer vers une solution cloud de gestion des comptes à privilèges, ou y réfléchissent sérieusement.
Plus d’un cinquième (21 %) sur plus de 200 professionnels de la sécurité interrogés lors de l’édition 2019 de la conférence RSA utilisent déjà des services de gestion des comptes à privilèges (PAM) en mode cloud, ou prévoient d’y passer. En outre, 26 % des autres envisagent de migrer vers des services PAM en mode cloud, selon une enquête réalisée par l’éditeur Thycotic.
Le sondage visait à quantifier et évaluer les pratiques PAM des professionnels de la sécurité informatique, dont les défis liés à l’adoption de ces solutions, mais aussi l’appétence de ces professionnels pour des solutions de PAM en mode cloud.
Seuls 36 % des répondants ont déclaré prévoir de rester sur leur solution PAM en local. De quoi laisser penser que la plupart des organisations envisagent leur avenir avec des systèmes de sécurité en mode cloud et prévoient d’augmenter leur utilisation de ces systèmes à 65 % au cours des deux prochaines années.
Pour Joseph Carson, directeur scientifique sécurité chez Thycotic, « alors que de plus en plus d’entreprises adoptent une stratégie de “cloud first”, la dynamique s’accélère pour l’adoption de solutions PAM étant elles aussi en mode cloud ». Car ainsi, « en optant pour le cloud, une entreprise peut payer uniquement pour les services qu’elle utilise, réduire les délais de mise en production, minimiser les investissements initiaux et automatiser les mises à jour, tout en assurant une haute disponibilité et une géoredondance ».
Et justement, selon ce sondage, l’accès non autorisé à des ressources – contre lequel doit justement protéger un système de PAM – est identifié comme le principal risque métier des environnements cloud. Les comptes et les accès à privilèges sont au cœur de toute entreprise, car ils permettent à l’équipe informatique d’administrer et de gérer les systèmes, l’infrastructure et les logiciels de l’organisation, et aux employés d’accéder aux données qui leur permettent de prendre des décisions métiers critiques.
Mais les comptes à privilèges sont aussi les plus susceptibles d’être visés par des cyberdélinquants, car ils permettent aux attaquants de se déplacer facilement dans l’infrastructure, d’accéder à des systèmes critiques et à des données sensibles, tout en passant inaperçus, ou du moins en pouvant effacer leurs traces plus aisément.
Mais les résultats du sondage suggèrent que les équipes informatiques et de sécurité ont encore du mal à faire comprendre à la direction et aux utilisateurs quotidiens la nécessité des systèmes de PAM : 28 % des répondants ont ainsi déclaré que le plus grand défi consiste à persuader les membres de l’équipe d’utiliser le système de PAM.
Étude Thycotic
Et pour près d’un quart des répondants (24 %), la formation des dirigeants des organisations constitue un défi pour le déploiement des systèmes de PAM. Ils étaient 19 % de plus à déclarer que trouver le budget pour la PAM est un obstacle à son adoption.
Ainsi, malgré une sensibilisation accrue aux systèmes de PAM et à la nécessité de les déployer pour empêcher les cyberdélinquants de détourner des comptes puissants, Thycotic estime que 85 % des organisations ne respectent pas les normes de sécurité de base de la PAM. Toutefois, l’éditeur a également relevé quelques indications positives du sondage, dont le fait que 66 % des répondants augmentent leurs connaissances des technologies de PAM.