IAM : les entreprises ont un long et difficile chemin à parcourir pour s’améliorer
Une mauvaise gestion des identités et des accès met en péril les données de l’entreprise, mais la voie vers une gestion plus efficace des identités et des accès reste complexe.
La gestion des identités et des accès (IAM) est un défi difficile et permanent pour les entreprises. Elles doivent trouver un équilibre entre la sécurisation et la gestion efficace des identités et la facilité d’utilisation pour les employés, les clients et les fournisseurs. Si l’on multiplie les couches de contrôle de l’identité et de l’accès, il en résulte des « frictions » : des processus qui compliquent le travail des employés.
« De nombreuses organisations commencent leur parcours d’identité avec une combinaison d’objectifs à court terme, de données d’identité médiocres, d’une architecture d’identité immature et d’une faible vérification des utilisateurs », avertit Scott Swalling, expert en sécurité des données et de l’informatique Cloud chez PA Consulting.
Selon lui, « une mauvaise approche de l’IAM peut, dans le meilleur des cas, rendre les choses lourdes et frustrantes pour vos utilisateurs et votre personnel administratif. Les processus onéreux qui n’exploitent pas pleinement les capacités de l’IAM amèneront les utilisateurs à trouver des moyens de les contourner – comme ils l’ont toujours fait – ce qui conduira à des problèmes de sécurité et potentiellement à des violations ».
Même avec l’expansion de mesures telles que l’authentification à facteurs multiples (MFA) et la biométrie, l’accès reste un point faible de la sécurité des entreprises, ainsi que de la conformité réglementaire et de la protection de la vie privée. L’IAM est devenu d’autant plus critique que les entreprises s’éloignent d’un périmètre fixe pour se tourner vers le travail flexible, le cloud et les applications web.
« Si vous n’identifiez pas vos utilisateurs, il est difficile d’assurer une quelconque sécurité. Si vous ne savez pas qui accède à vos systèmes, comment pouvez-vous savoir s’ils devraient y accéder ou non ? »
Akif KhanAnalyste vice-président, Gartner
L’ampleur du problème est bien réelle. Selon l’édition 2024 du rapport Data breach investigations de Verizon, des identifiants volés ont été utilisés dans 77 % des attaques contre des applications web de base. L’édition 2023 du rapport Threat Horizons de Google a révélé que 86 % des violations impliquaient des informations d’identification volées.
« Nous devons passer à une culture de sécurité axée sur l’identité », prévient Akif Khan, analyste vice-président chez Gartner, qui se concentre sur la gestion des identités et des accès. « Si vous n’identifiez pas vos utilisateurs, il est difficile d’assurer une quelconque sécurité. Si vous ne savez pas qui accède à vos systèmes, comment pouvez-vous savoir s’ils devraient y accéder ou non ? »
Selon Akif Khan, l’IAM est en train de remplacer la vieille idée selon laquelle les organisations disposent d’un périmètre sécurisé. Les risques liés au fait de s’appuyer uniquement sur la sécurité du périmètre sont évidents. En juin de cette année, des violations de données chez Ticketmaster et Santander ont été attribuées à des comptes cloud Snowflake non sécurisés.
La sécurisation des comptes à privilèges va de pair avec une gestion solide des identités et des initiatives telles que le zero-trust. Mais comme le sans-confiance exige des investissements importants et à long terme, les DSI et les RSSI devraient également chercher à améliorer la sécurité existante des informations d’identification et à adopter des approches basées sur le risque pour les identités.
Cela incite les organisations à s’orienter vers des contrôles d’accès basés sur des politiques et des contrôles d’accès adaptés aux risques. Ces systèmes permettent aux entreprises d’imposer la MFA si une action semble présenter un risque élevé, ou de la bloquer complètement. Mais cela dépend d’une stratégie IAM claire dans l’ensemble de l’organisation.
« Les principes de base doivent être respectés afin de garantir une visibilité et un contrôle clairs des personnes ayant accès à vos ressources », recommande Scott Swalling. « Assurez-vous que les données d’identité sont bonnes. En associant cela à une gestion robuste des accès à privilèges, en utilisant l’automatisation et l’apprentissage automatique lorsque cela est possible, vous rationaliserez et améliorerez les tâches administratives et réduirez la frustration des utilisateurs ».
Mustafa Mustafa, responsable des solutions d’identité pour la région EMEA chez Cisco, reconnaît que les utilisateurs frustrés sont des victimes toutes désignées, avec un risque très réel d’attaques par MFA flooding.
Confiance zéro
Cisco est un partisan du modèle de sécurité dit « sans confiance », mais Mustafa Mustafa admet que peu d’organisations y sont parvenues.
En fait, une étude de Cisco a révélé que 86 % des entreprises ont commencé à utiliser le zéro-trust, mais que seulement 2 % d’entre elles déclarent avoir atteint le stade de la maturité. Les obstacles incluent la complexité et une expérience utilisateur incohérente.
« Le principe est de ne faire confiance à personne et de vérifier tout le monde », explique Mustafa Mustafa. « La seule façon de mettre en œuvre une politique de sans confiance est de procéder à une vérification continue de tous les utilisateurs, appareils et applications, à tout moment et en tout lieu, à l’intérieur ou à l’extérieur d’un réseau donné ». Il s’agit notamment de déployer l’authentification à facteurs multiples, l’accès à moindre privilège et la microsegmentation.
Selon lui, le sans confiance en vaut la peine. Cette approche améliore la sécurité, la conformité et la gestion des risques, mais simplifie également les opérations – une fois qu’elle est correctement mise en œuvre – et permet potentiellement aux organisations de réduire les frais généraux d’administration, les coûts, ainsi que les retards et les frustrations des utilisateurs. Elle facilite également la gestion du travail hybride et à distance.
Dans le même temps, les entreprises doivent continuer à investir dans la MFA, la gouvernance et l’administration des identités, la gestion des accès privilégiés et l’authentification unique (SSO), pour n’en citer que quelques-uns. Cela peut obliger les DSI à opérer sur deux voies : l’une pour améliorer la sécurité des identités et des accès dès maintenant, et l’autre, à plus long terme, pour passer à la confiance zéro.
À terme, il s’agira notamment d’utiliser davantage l’intelligence artificielle (IA) pour repérer les comportements ou les actions inhabituels des utilisateurs qui pourraient être la preuve d’une infraction, et de s’orienter vers une gestion de l’information basée sur le risque, plutôt que sur la seule identité. C’est ce que l’on appelle parfois l’authentification adaptative.
« En intégrant des évaluations de risques en temps réel, les organisations peuvent accorder l’accès en fonction du contexte plutôt que de l’identité seule », déclare John Paul Cunningham, RSSI chez Silverfort, un fournisseur de protection de l’identité. « Cette évolution permettrait de réduire les frais généraux opérationnels et la charge de travail liée à la gestion de l’authentification et de l’autorisation. En fin de compte, l’adoption de ce modèle permettrait aux entreprises de renforcer la sécurité, d’améliorer l’expérience des utilisateurs et de réduire le coût du maintien de la sécurité de l’identité », ajoute-t-il.
Dans la pratique, les organisations s’appuieront probablement sur des couches de sécurité pour des couches d’accès, du moins pour l’instant.
Portefeuilles numériques
« Les organisations les plus avant-gardistes accordent la priorité à l’identité. Mais le défi consiste toujours à assembler des systèmes disparates », relève John Paul Cunningham. « Si l’on se tourne vers l’avenir, on peut construire de nouvelles plates-formes, mais les entreprises ont encore beaucoup d’architectures patrimoniales ».
Cependant, les entreprises doivent toujours vérifier l’identité d’un utilisateur – qu’il s’agisse d’un employé, d’un fournisseur ou d’un client – en premier lieu. C’est là que l’évolution vers les portefeuilles d’identité globaux, qui font généralement partie d’un programme soutenu par les gouvernements, peut être utile.
Le plus souvent associés à des initiatives d’administration numérique, ces portefeuilles ne sont peut-être pas l’outil le plus approprié pour la gestion quotidienne des accès, mais ils pourraient jouer un rôle dans l’intégration du personnel ou des clients, et potentiellement réduire la fraude et le vol de justificatifs d’identité. Il existe déjà une certaine convergence entre ces portefeuilles et l’IAM, avec Entra Verified ID de Microsoft intégré dans l’application Authenticator de l’entreprise, par exemple.
Selon Gartner, plus de 500 millions de personnes dans le monde utiliseront des portefeuilles d’identité numérique basés sur le téléphone d’ici 2026. Cela représente une croissance significative et devrait résoudre un certain nombre de problèmes liés à la vérification de l’identité, en particulier pour les services gouvernementaux.
« En principe, vous pourriez avoir un portefeuille d’identité sur votre téléphone, et ce n’est pas très différent d’une application d’authentification. Elle pourrait être utilisée », explique Akif Khan. « Il ne s’agit pas d’un identifiant Microsoft, mais d’un identifiant dans une application Microsoft ».
« Le marché s’oriente vers l’identité numérique portable, de sorte que les utilisateurs n’auront plus à vérifier leur identité chaque fois, mais disposeront d’un portefeuille d’identité sur un appareil mobile [...]. »
Akif KhanAnalyste vice-président, Gartner
Les normes ouvertes relatives à l’identification numérique et l’interopérabilité entre les plates-formes devraient favoriser l’adoption par les organismes publics et, par voie de conséquence, l’adhésion des citoyens. La technologie des portefeuilles d’identité globaux, malgré tous ses avantages, sera probablement trop coûteuse pour que les entreprises puissent la mettre en place seules. Et leur avantage réside en partie dans l’échelle et dans la confiance que suscite une pièce d’identité délivrée par un gouvernement.
« Le marché s’oriente vers l’identité numérique portable, de sorte que les utilisateurs n’auront plus à vérifier leur identité chaque fois, mais disposeront d’un portefeuille d’identité sur un appareil mobile qui vérifiera cette identité », explique Akif Khan.
Les entreprises qui paient actuellement pour des services de vérification d’identité par des tiers pourraient même économiser de l’argent grâce à de tels portefeuilles. « La façon dont les offres commerciales s’alignent sera déterminante à cet égard », ajoute-t-il. Les organisations doivent également accepter l’atout que représente l’identité dans le portefeuille, d’où l’importance du soutien des gouvernements, des normes ouvertes et de l’interopérabilité. L’utilisation de ces portefeuilles pourrait présenter des avantages dans des domaines aussi divers que le recrutement ou la fourniture de services à de nouveaux clients.
« D’un point de vue technique, il est tout à fait logique qu’il existe un moyen d’intégrer quelqu’un plus rapidement », analyse Akif Khan. Et « dans un marché concurrentiel, les organisations chercheront à explorer cette possibilité ».
Malgré cela, les portefeuilles d’identité globaux semblent devoir faire partie du paysage de l’IAM, plutôt que de remplacer les systèmes d’identité et d’authentification internes. « Vous avez un identifiant, et cet identifiant a des attributs tels que “Je suis un employé de Gartner”. Ensuite, vous avez vos attributs pour les droits d’accès, ce qui représente plusieurs couches d’informations », explique Akif Khan. Pour autant, « il se peut que toutes ces informations ne se trouvent pas dans le portefeuille. Les entreprises devront toujours vérifier les détails par rapport à leur propre infrastructure d’identité ».
« En adoptant les portefeuilles numériques comme outil d’authentification quotidien, les organisations peuvent renforcer leur sécurité tout en améliorant la commodité et la productivité des utilisateurs ».
John Paul CunninghamRSSI, Silverfort
Les perspectives d’utilisation des portefeuilles d’identité par les entreprises, et une grande partie du développement futur de l’IAM, dépendront du type d’informations et des niveaux d’accès que les organisations doivent sécuriser.
« Les portefeuilles numériques peuvent jouer un rôle important dans l’authentification quotidienne, au-delà des événements ponctuels tels que l’intégration ou la vérification d’identité », estime John Paul Cunningham. « En adoptant les portefeuilles numériques comme outil d’authentification quotidien, les organisations peuvent renforcer leur sécurité tout en améliorant la commodité et la productivité des utilisateurs ».
Il s’attend à ce que les soins de santé, l’administration publique, l’accès aux prestations et le contrôle aux frontières soient pris en compte, du moins dans un premier temps.
Mais les portefeuilles numériques pourraient également renforcer la MFA et donner aux équipes chargées de la sécurité des données un peu de répit, alors qu’elles envisagent des options à plus long terme, y compris le sans confiance.
« Les portefeuilles numériques servent de facteur supplémentaire dans la MFA, d’identifiant unique similaire aux jetons basés sur des certificats, et de solution de stockage sécurisée pour les données sensibles telles que les mots de passe et les clés cryptographiques », explique John Paul Cunningham.
Bien utilisées, elles pourraient améliorer la sécurité et la facilité d’utilisation tout en réduisant les coûts de support pour les entreprises.
Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)
