Par Hervé Liotaud, VP Western Europe chez SailPoint
Nous avons atteint un certain point d’inflexion en matière de sécurité des identités au cours des derniers mois par le fait que de plus en plus d’entreprises se sont intéressées de plus près à la manière dont elles connectaient leurs employés aux systèmes et aux données nécessaires à leur travail, en particulier après la transition massive de l’année dernière vers le télétravail.
Il ne s’agissait pas seulement d’un regard plus attentif sur l’efficacité de l’accès des travailleurs, mais aussi d’une meilleure compréhension et d’une plus grande importance accordée à la sécurisation de ces points d’accès. Cela peut sembler une nuance mineure – permettre ou sécuriser l’accès – mais il est en fait essentiel de la comprendre afin de protéger correctement une entreprise.
L’entreprise d’aujourd’hui est entourée d’un périmètre qui aujourd’hui est une question d’identités. Ces identités comprennent tout, des employés à temps plein ou à temps partiel aux entrepreneurs, en passant par les partenaires. Chacune d’entre elles s’accompagne de centaines, voire de milliers de points d’accès différents, car ces travailleurs se connectent aux systèmes, aux outils et aux ressources en Cloud nécessaires à leur travail. Chaque identité et chaque point de connexion devient alors un point de risque s’il n’est pas correctement sécurisé.
C’est d’ailleurs le fil conducteur de l’identité qui échappe à certaines organisations. Si vous vous contentez d’ouvrir la porte à votre personnel sans mettre en place les contrôles de sécurité adéquats autour de chacun de vos points d’accès, vous exposez votre entreprise à un niveau de risque potentiel important.
Pendant longtemps, on a supposé qu’en permettant à votre personnel d’accéder à la technologie dont il a besoin pour faire son travail, avec une authentification forte, comme l’AMF, vous étiez en sécurité. Mais pour véritablement sécuriser votre périmètre, vous devez trouver un équilibre entre l’habilitation de vos employés et la sécurisation de leur accès à la technologie.
Supposons qu’un employé type ait besoin d’accéder à des centaines d’applications, de données et de ressources professionnelles pour faire son travail. Cela inclut à la fois les applications logicielles traditionnelles et l’afflux d’applications SaaS que la plupart des entreprises doivent désormais gérer. Ce n’est pas parce qu’un employé demande l’accès à certains fichiers, systèmes et applications qu’il doit l’obtenir sur la base d’une approbation superficielle. En fait, cela soulève une série de questions très importantes :
- Qui est cet employé qui demande l’accès et quel est son rôle dans l’entreprise ?
- Doit-il avoir l’accès ?
- Que doit-il pouvoir faire avec son accès ?
- Combien de temps auront-ils besoin de cet accès ?
- Si son rôle change, ses privilèges d’accès doivent-ils également changer, être affinés, voire supprimés ?
Et ce ne sont là que les questions les plus élémentaires de la liste.
Le problème est que si vous accordez simplement un accès sans avoir la capacité de répondre facilement et rapidement à chacune de ces questions (et plus encore), vous venez d’exposer votre entreprise à un déluge de risques potentiels.
Mais en réalité, il suffit d’un seul. Un seul employé compromis. Un point d’accès. Un point d’exposition. C’est tout ce qu’il faut à un adversaire pour pénétrer dans une entreprise d’aujourd’hui.
Accorder un accès au nom de la poursuite de l’activité sans tenir compte de la question de savoir si/comment/pourquoi votre personnel a l’accès qu’il a, est une faille fatale pour les organisations d’aujourd’hui.
L’habilitation sans contrôle introduit aujourd’hui un faux sentiment de sécurité. C’est autoriser tous ces travailleurs à entrer dans le bâtiment proverbial, mais sans une couche de contrôles de sécurité des identités en place pour garantir que l’accès est nécessaire, qu’il est conforme à la politique de sécurité et qu’il est pertinent pour le travail et le rôle de ce travailleur. Et vous ne vous en rendrez peut-être compte que lorsqu’il sera trop tard.
Il est temps de repenser l’idée que l’octroi d’un accès est suffisant. Ce n’est en fait que le début. Pour sécuriser réellement une entreprise, nous devons dépasser ce faux sentiment de sécurité et sécuriser réellement chaque identité et chaque point d’accès. La seule façon de parvenir à une « sécurité totale » est de s’assurer que chaque travailleur et chaque point d’accès dont il dispose est protégé par la sécurité de l’identité. C’est la voie sûre à suivre.