La gestion des identités et des accès (IAM) est une base cruciale de la cybersécurité. Le principe de l’IAM est de garantir que seuls les individus et les systèmes autorisés puissent accéder aux ressources de l'entreprise. Malheureusement, bien que de nombreuses organisations excellent dans la gestion des identités humaines, elles négligent souvent une catégorie croissante et potentiellement plus dangereuse d'acteurs numériques : les identités non humaines (ou NHI pour
Non-Human Identities).

Ces entités que l’on pourrait qualifier d’invisibles comprenant les comptes de service, les API, les bots etc. et se multiplient rapidement, augmentant ainsi une surface d'attaque qui est largement ignorée et, par conséquent, insuffisamment protégée.

Les identités non-humaines, nouveau facteur de cyber risques

Une identité non-humaine est une identité numérique qui représente des machines, des applications ou des services au sein d'un environnement numérique. Ces identités sont essentielles à la communication machine-à-machine, qui alimente presque tout le numérique de l’entreprise, de l'automatisation informatique aux services Cloud, etc. Contrairement aux identités humaines, les identités non-humaines fonctionnent selon des algorithmes et des scripts prédéfinis, souvent sans supervision humaine directe. Cette autonomie leur permet d'accomplir des tâches à des vitesses et à des échelles bien au-delà des capacités humaines, mais elle amplifie également les risques liés à leur compromission.

Les avancées technologiques telles que le Cloud, les méthodologies DevOps ou encore l'Internet des objets (IoT) ont fait exploser le nombre de ces identités. Chaque nouveau service, dispositif ou application ajouté à l'environnement d'entreprise s'accompagne généralement d'un nouveau lot d’identités non-humaines. Cette expansion rapide a rendu presque impossible pour les organisations de suivre toutes leurs entités non-humaines, créant ainsi un environnement où ces identités opèrent souvent dans l'ombre, hors de vue.

Quelles Implications pour la cybersécurité ?

Les identités non-humaines présentent des défis uniques qui diffèrent considérablement de ceux des identités humaines. L’un de ces défis est que ces NHI ont souvent un accès plus profond et plus large aux systèmes critiques, ce qui en fait des cibles de grande valeur
pour les attaquants.

À cela s'ajoute le fait que de nombreuses identités non-humaines s'appuient sur des identifiants statiques, tels que des clés API ou des mots de passe, qui sont rarement mis à jour. Et cela augmente également la probabilité qu'un acteur malveillant
exploite ces identifiants.

La vitesse à laquelle les identités non-humaines opèrent accroît également le potentiel de dommages. Une fois compromise, une identité non-humaine peut se déplacer latéralement à travers un réseau, exécuter des tâches et accéder à des données à une vitesse que les intervenants humains peuvent avoir du mal à contrer. De plus, la nature automatisée et continue des opérations des identités non-humaines signifie que la fenêtre d'opportunité pour les attaquants est beaucoup plus large que pour les identités humaines, qui sont généralement actives uniquement pendant les heures de travail définies.

Enfin, les NHI existent souvent dans des environnements où elles ne sont pas étroitement surveillées. Ce manque de visibilité représente un facteur de risque important, car la détection d'une NHI compromise peut être difficile. Par conséquent, les organisations sont confrontées à un problème croissant de « shadow IT », où elles ne connaissent souvent pas l'étendue complète de leur empreinte INH, sans parler de la manière
de la sécuriser efficacement.

Quelques bonnes pratiques à mettre en place pour la gestion des INH

Étant donné les risques et les défis uniques associés aux NHI, les organisations doivent adopter une approche proactive pour gérer ces identités. Les bonnes pratiques suivantes peuvent aider à atténuer les risques :
  1. Inventaire complet et visibilité : La première étape pour gérer les identités
    non-humaines consiste à obtenir une visibilité complète sur leur présence et leurs activités au sein de l'entreprise. Cela implique de réaliser des audits réguliers des services d'annuaire et de maintenir un inventaire à jour de toutes les NHI. Des outils spécialisés peuvent aider à découvrir et à cataloguer ces identités, facilitant ainsi leur
    suivi et leur gestion.

  2. Gestion du cycle de vie et automatisation : les NHI ont souvent des cycles de vie différents de ceux des identités humaines, certaines n'existant que temporairement. Les organisations doivent mettre en place des processus automatisés pour la création, la gestion et la désactivation des NHI. Cela réduit le risque d'identités « orphelines » et garantit que les autorisations sont révoquées lorsqu'elles ne sont plus nécessaires. La gestion du cycle de vie doit inclure une stratégie de définition de la propriété de chaque NHI, afin que la raison d'être de la NHI soit comprise et que la responsabilité de son contrôle soit établie.

  3. Gestion des accès à privilèges (PAM) : Les identités non-humaines nécessitent souvent des autorisations élevées pour accomplir leurs tâches, mais ces privilèges doivent être strictement contrôlés. Une solution PAM peut appliquer le principe du moindre privilège (zero trust), garantissant que les NHI n'ont accès qu'à ce dont elles ont besoin, et uniquement quand elles en ont besoin. Le PAM peut également automatiser la rotation des identifiants et mettre en œuvre un accès Just-In-Time (JIT), réduisant ainsi le risque d'utilisation abusive des identifiants.

  4. Architecture Zero Trust : appliquer une approche Zero Trust aux identités
    non-humaines implique de valider en continu leurs droits d'accès en fonction de facteurs contextuels tels que l'heure, l'emplacement et le comportement. Cela garantit que les NHI ne bénéficient pas d'un accès permanent et que leurs activités sont étroitement surveillées pour détecter tout signe de compromission.

  5. Politiques et cadres de gouvernance : pour garantir une gestion cohérente des NHI, les organisations doivent intégrer des politiques spécifiques aux NHI dans leurs cadres plus larges de gouvernance des identités. Cela inclut l'attribution d'une propriété claire des NHI, la définition des conventions de nommage qui facilitent leur identification
    et leur contrôle.
À mesure que le paysage numérique continue d'évoluer, la prolifération des identités
non-humaines ne fera que s'accélérer. Les organisations qui ne reconnaissent pas et n'adressent pas les risques uniques que ces identités invisibles posent le font à leurs dépens. En adoptant une approche globale de la gestion des identités non-humaines
– incluant visibilité, responsabilité, PAM, Zero Trust et une gouvernance solide – les entreprises peuvent atténuer les risques et renforcer leur posture globale de cybersécurité. Il est important d'agir avant que les dangers invisibles générés par les identités
non-humaines ne se transforme en cyberattaque aux graves conséquences financières mais
aussi réputationnelles…

Par Hicham Bouali, Directeur Avant-Ventes EMEA chez One Identity

ARTICLES SIMILAIRESPLUS DE L'AUTEUR