Les bénéfices de l’IAM peuvent en contrebalancer les coûts
La gestion des identités et des accès est une brique critique de la sécurité de l’information en entreprise. Mais les bénéfices de l’IAM ne s’arrêtent pas juste à la mise en lumière de qui/quoi utilise les ressources du SI.
La sécurité de l’information est d’abord une question de gouvernance, une pratique aux facettes multiples impliquant la création de politiques, leur mise en œuvre et l’atténuation continue des risques. La gestion des identités et des accès (IAM) constitue un élément essentiel d’un programme de sécurité/gouvernance. L’IAM n’est pas un sujet nouveau, mais étonnamment, et malgré tout ce qu’elle apporte, elle n’est pas aussi répandue dans les entreprises qu’on pourrait le penser.
L’un des avantages les plus importants de la gestion des identités et des accès est la capacité à simplifier ce qui est compliqué. Les identités d’entreprise ont évolué bien au-delà des comptes utilisateurs standard. Parmi tous les types d’identité à gérer, on peut citer :
- employés
- clients
- partenaires
- sous-traitants
- applications et services
- objets connectés
- terminaux mobiles
Où l’IAM peut combler les lacunes
De nombreuses équipes IT et SSI sont tellement occupées par leur travail quotidien qu’elles n’ont pas encore réalisé ce qu’il faut faire pour gérer ces identités, à la fois périodiquement et en temps réel. C’est un domaine dans lequel l’IAM peut aider à combler les lacunes.
En outre, la sécurité nécessite aujourd’hui une gouvernance de l’identité plus adaptative, au-delà des traditionnels audits de contrôle ponctuels, pour éliminer les angles morts. Par exemple, des comptes d’utilisateurs sont ajoutés et supprimés régulièrement. Les audits traditionnels qui n’ont lieu que tous les quelques mois peuvent négliger le fait que ces comptes auraient dû être modifiés ou désactivés, rendant ainsi la cartographie des comptes et des droits inexacte.
Cela conduit à une situation où les audits en cours sont « réussis », sur le papier… mais sans que l’entreprise respecte ses propres politiques internes ou les exigences réglementaires qui peuvent s’appliquer. En fait, l’entreprise peut se retrouver ainsi plus exposée à des risques sans s’en rendre compte.
Un autre avantage de l’IAM est la façon dont il met en exergue les processus d’approbation. Les professionnels de la sécurité de l’information sont habitués aux demandes classiques d’employés arrivant dans l’entreprise, ou de prestataires, ayant besoin d’accéder à ceci ou cela, à l’ERP, etc. Pour de petites organisations, cela peut éventuellement être géré manuellement, mais pour les grandes entreprises, c’est une autre affaire. Notamment parce qu’une gestion peu rigoureuse des droits et des accès peut faire l’impasse sur les sujets suivants :
- les droits qui sont réellement nécessaires sur le réseau ou les applications d’entreprise ;
- si la demande est inhabituelle ou non ;
- les niveaux d’accès dont disposent actuellement les autres employés ;
- le(s) rôle(s) le(s) plus courant(s) pour accéder à ces demandes.
Pour avoir une véritable gouvernance, en particulier dans les différentes divisions opérationnelles, tout le monde a besoin de détails. Il est essentiel de s’assurer que les décisions relatives à l’identité et aux accès sont prises non seulement sur la base de politiques ou de workflows établis, mais aussi qu’elles sont assorties d’informations contextuelles détaillées décrivant les besoins spécifiques de l’entreprise et les risques potentiels.
L’IAM peut être compliquée, mais elle en vaut la peine
Il est clair que l’IAM vaut la peine de faire des efforts. Un système IAM moderne est suffisamment flexible et extensible pour s’adapter au fonctionnement d’une organisation, plutôt que de forcer l’entreprise à s’y adapter. Les produits d’IAM ont évolué et se sont améliorés ces dernières années. Cependant, leur essence n’a pas changé et l’investissement peut en valoir la peine.
Pour qu’un programme de sécurité de l’information reste sain et efficace à long terme, tout le monde doit travailler dans le même but, à savoir réduire les risques pour l’entreprise. Et pour ce qui touche à la sécurité des ressources du système d’information, cela passe par la gestion des identités et des accès. Et plus le SI est complexe, plus le besoin est grand.
Vous ne disposez pas encore d’un système IAM, ou vous avez le sentiment qu’il n’est pas suffisamment appliqué ? Prenez du recul et voyez comment les choses peuvent être améliorées. Demandez-vous si vos processus actuels servent les objectifs de sécurité… ou pas. Réfléchissez à ce qui peut être amélioré, aux étapes qui peuvent être simplifiées et à celles qui peuvent être supprimées.
Assurez-vous que le temps de chacun est utilisé à bon escient, du responsable de l’unité commerciale qui fait une première demande, jusqu’à l’équipe informatique ou de sécurité chargée d’approuver et de gérer les adresses réseau. Les avantages de l’IAM donneront à l’entreprise la visibilité et le contrôle nécessaires pour superviser les comptes ainsi que pour satisfaire à la gouvernance en cours.