La mobilité relance la question des mots de passe en entreprise
Les mots de passe simples n'offrent plus une sécurité suffisante, et de nouvelles options doivent être étudiées. Voici quelques façons de moderniser la gestion des mots de passe en entreprise.
Face aux menaces visant la mobilité d’entreprise qui continuent d’émerger, les approches traditionnelles de gestion des mots de passe montrent leurs limites. D’où l’impératif de trouver de nouveaux moyens de gérer les utilisateurs et les applications en mobilité, pour éviter la compromission d’applications et de données critiques.
Le sujet est d’autant plus important que, si la réflexion s’ouvre avec la mobilité, elle s’étend au-delà, avec les objets connectés, notamment. Dès lors, une bonne gestion des identités et des accès au niveau de l'entreprise est plus importante que jamais.
Au-delà du BYOD
Une politique BYOD et une formation périodique des utilisateurs ne suffisent plus pour la gestion des mots de passe en entreprise. Au lieu de cela, il faut intégrer de l'automatisation et de la simplicité dans le processus. Et les outils nécessaires sont disponibles.
La plupart des entreprises ont besoin d’une visibilité et d’un contrôle sur les applications et les contenus mobiles que les systèmes de gestion des terminaux mobiles (MDM) et de la mobilité d’entreprise (EMM) ne peuvent fournir.
MDM et EMM ont évolué vers une gestion unifiée des terminaux (UEM), en intégrant au passage certains aspects de l'analyse moderne des données et de l'intelligence artificielle pour les combiner aux approches traditionnelles de gestion des identités. Il est dès lors plus facile d’intégrer et de gérer les utilisateurs et les applications dont ils ont besoin, en protégeant l'accès aux ressources de l'entreprise tout au long du cycle de vie du compte utilisateur.
Pour un contrôle plus granulaire et une approche plus globale, il est possible de mettre en place une fédération d'identités et une authentification unique sur les applications métiers communes, d’utiliser l'authentification à facteurs multiples (MFA) pour améliorer encore la sécurité sur les appareils mobiles, d’automatiser l’enrôlement des utilisateurs et la gestion des comptes, de déployer une gestion des applications mobiles (MAM) d'entreprise, y compris avec des catalogues personnalisés, d’intégrer la gestion des menaces et analyser les applications pour minimiser les expositions et enfin d’appliquer l’analytique aux événements de sécurité pour mieux les identifier et les prévenir.
Mettre l'accent sur les processus et les progrès
Pour commencer à gérer les identités et l’authentification mobile, il convient de bien comprendre ses besoins. Il faut pour cela se fixer des objectifs pour le déploiement de la mobilité d’entreprise, tels qu'une expérience utilisateur positive, une gestion simplifiée et une sécurité améliorée.
Pour mesurer les progrès en continu, il est important de suivre le déroulement du travail. Et cela commence par une analyse des risques actuels liés aux applications mobiles et à l’authentification. Cela fait, il faut déterminer les écarts entre le réseau traditionnel et le réseau mobile, et discuter des besoins en matière de mobilité avec les utilisateurs et les responsables métiers concernés. Le suivi d’indicateurs associés au fil du temps permettra de suivre l’évolution de la situation. Et là, il faudra notamment suivre les délais de traitement des risques observés.
Enfin, il est important de surveiller les violations tangibles des politiques, les pertes de périphériques et de données afin d'améliorer les processus et de comprendre comment ajuster la gestion de l’authentification en mobilité. Des outils tels qu’AirWatch de VMware, MaaS360 d'IBM, Mobile Device Manager Plus de ManageEngine et Enterprise Mobility + Security (EMS) de Microsoft peuvent aider à simplifier ces processus.
A long terme, il faut aller au-delà de la simple conformité pour ses environnements mobiles et rechercher une véritable sécurité qui s'intègre à l'ensemble du programme de sécurité de l'entreprise - à la fois localement et dans le cloud.