Les technologies traditionnelles de prévention des cybermenaces se sont largement appuyées sur des contrôles de sécurité fondés sur le réseau. Elles présentent cependant des architectures monolithiques qui posent de nombreuses limites :leur gestion manuelle est fastidieuse ; les contrôles d’autorisation n’offrent pas une protection des sessions optimales ; des délais de session sont imposées aux utilisateurs ; et leurs capacités d’audit et de conformité sont soit inexistantes, soit très coûteuses. Mais, selon le baromètre annuel du CESIN, 84 % des entreprises interrogées affirment vouloir acquérir de nouvelles solutions techniques de cybersécurité.
La gestion des identités et des accès (IAM) basée sur les SaaS figure ainsi désormais parmi les priorités des équipes de sécurité au sein des entreprises. Les outils de gestion des accès sont notamment conçus pour tenir compte des besoins actuels des organisations, à l’heure du travail hybride, et placent l’identité au cœur de la sécurité en utilisant des mécanismes d’authentification et d’autorisation intelligents et conditionnels. Pourtant, la plupart de ces technologies d’accès se limite encore à une couche d’authentification et n’offrent que très peu, voire pas du tout, de contrôles de session pour surveiller l’accès aux ressources sensibles ou à privilèges, et les interactions avec ces dernières. En l’absence de tels contrôles, tant les employés malveillants que les acteurs externes ont davantage de chances de poursuivre leurs attaques sans être détectés.
L’évolution de la gestion des accès
À mesure que la distinction entre identité et privilège s’estompe, les organisations ont besoin de moyens leur permettant de vérifier en toute confiance que les identités des employés – qui requièrent divers niveaux d’accès à divers moments et en divers lieux – sont bien celles qu’ils prétendent détenir, que leurs appareils sont authentifiés et que leur accès est intelligemment limité à ce qui est strictement nécessaire. C’est là que l’intelligence artificielle (IA) entre en jeu et avec elle la prochaine vague d’innovation en matière de gestion des accès.
Ainsi, grâce à l’apprentissage machine et aux signaux contextuels — notamment les données relatives aux utilisateurs, aux appareils et aux activités — ces solutions de gestion des accès gagnent sans cesse en intelligence et établissent des profils de risque visuels et plus descriptifs concernant les identités individuelles des personnes et des machines. Les entreprises sont ainsi en mesure de renforcer leurs capacités prédictives, afin de mieux anticiper et atténuer les futures menaces. Forte de l’intelligence artificielle, ces outils peuvent également déterminer si un utilisateur présente un faible risque et s’il est légitime, tout en offrant une expérience d’authentification simplifiée qui permet aux employés d’accéder aux applications dont ils ont besoin pour accomplir leur travail.
De plus, lorsqu’ils sont intégrés dans une plateforme unifiée, ces outils alimentés par l’IA collaborent encore plus étroitement pour fournir des ensembles de données de meilleure qualité, affiner les algorithmes qui peuvent distinguer de manière fiable les tentatives d’accès anormales et malveillantes, et automatiser les réponses tout en créant une boucle de rétroaction en temps réel vers le moteur de machine learning de l’organisation, et ce, afin d’améliorer constamment les performances.
L’authentification sans mot de passe
L’authentification sans mot de passe est un parfait exemple d’approche intelligente de la sécurité des identités qui ouvre de vastes perspectives aux organisations soucieuses de sécuriser leur personnel partout et tout le temps. En effet, les mots de passe et les identifiants traditionnels restent l’une des principales cibles des attaques liées à l’identité. Les attaquants se concentrent particulièrement sur les identifiants à privilèges qui permettent d’accéder aux systèmes et réseaux sensibles, car ils peuvent obtenir une grande quantité d’informations à partir d’une seule source.
Les consommateurs sont de plus en plus à l’aise avec l’authentification sans mot de passe et lui font toujours plus confiance, notamment grâce aux méthodes d’authentification biométriques, comme la reconnaissance faciale et l’empreinte digitale, et aux méthodes basées sur le comportement, tels que les signaux observés passivement qui ne nécessitent aucun effort de leur part. Cependant, la mise en place d’une véritable authentification sans mot de passe ne peut être déployée du jour au lendemain au sein des entreprises. Il s’agit d’un parcours qui commence par le déploiement de processus et d’outils adaptés à l’organisation et à ses utilisateurs.
Il peut être initié en donnant aux utilisateurs l’accès à une série d’authentificateurs sans mot de passe, comme des clés de sécurité FIDO2, la biométrie, ou encore des QR codes. Ces authentificateurs doivent être dotés de capacités de gestion en libre-service intuitives et sans friction, pour éviter que les utilisateurs ne soient bloqués hors des systèmes alors même qu’ils essaient d’accomplir leur travail. Ensuite, il est important de veiller à ce que toutes les ressources — des applications aux serveurs en passant par les terminaux — soient protégées par des solutions IAM complètes, qu’elles soient hébergées sur site ou dans un environnement hybride. Enfin, il est important de mettre en place les systèmes et la structure nécessaires pour mesurer les indicateurs clés de performance et assurer la conformité de ces initiatives sans mot de passe, afin de pouvoir y apporter des améliorations continues.
Assurer le « Zero Trust » grâce à une sécurité intégrée des identités et des accès
L’authentification sans mot de passe est une technologie qui relève d’un ensemble plus vaste d’outils de sécurité des identités qui ouvrent la voie au principe du « Zero Trust » ;un principe de sécurité qui consiste à ne faire confiance à rien et à tout vérifier et qui peut réunir les concepts d’« accès Zero Trust » et de « privilège Zero Trust ». L’accès Zero Trust vise à garantir que chaque utilisateur et dispositif est validé et que tout accès est limité de manière intelligente sur la base du principe du moindre privilège. Le privilège Zero Trust, quant à lui, permet de sécuriser et de surveiller les comptes et les accès à privilèges, en accordant aux utilisateurs les privilèges nécessaires, en « juste à temps », pour qu’ils puissent rester productifs. Cette approche intégrée et fondée sur le risque englobe toutes les identités, qu’il s’agisse d’identités humaines - telles que les administrateurs, les utilisateurs DevOps, les employées ou les fournisseurs - ou d’identités non humaines - telles que les machines et les bots RPA. L’objectif est d’aider les organisations à protéger leurs applications, leur infrastructure ainsi que leurs données.
Par Jérôme Colleu, Ingénieur Avant-Vente chez CyberArk
