Tous les responsables IT sont familiers du concept de dette technique, le coût caché de ces décisions informatiques prises à la va-vite, sans vision au long cours. Pourtant c’est une autre dette, méconnue malgré son potentiel dévastateur, qui menace aujourd’hui le futur des entreprises : la dette d’identité.
La dette d'identité représente un risque latent qui résulte de la négligence de certaines pratiques essentielles concernant la gestion des identités et des accès (IAM). Plus cette dette d’identité est grande, plus la surface d'attaque de l’organisation concernée augmente, l’exposant de fait à un risque accru de violation des données, ou de compromission de l’infrastructure critique.
Ce phénomène est d'autant plus préoccupant que les identités machines (non-humaines), sont aujourd’hui estimées à 46 fois plus nombreuses que les identités humaines, qu'il s’agisse de comptes de service, de scripts, ou désormais d’agents IA. Pourtant, la majorité des entreprises ne disposent toujours pas d'une stratégie de gestion et de contrôle d'accès adaptée à cette réalité.
La petite dette qui monte, qui monte…
La dette d’identité s’accumule à mesure que sont reportées, ou omises, certaines tâches concernant la sécurité des identités et des accès. La plupart de ces mesures, pourtant simples à mettre en œuvre, portent sur le « nettoyage » des ressources de l’entreprise. Il s’agit par exemple de la suppression (ou, a minima, la désactivation) des comptes d’anciens employés ou prestataires, l’ajustement des droits d’accès au strict nécessaire pour chacun des comptes, le renouvellement régulier des mots de passe et autres clés, ou encore l’adoption de l’authentification multifactorielle.
A défaut d’exécuter ces quelques mesures de bon sens, l’entreprise s’endette progressivement et contracte un emprunt qui augmente la probabilité de violation de ses données, et la perturbation de ses activités.
Une dette protéiforme
La dette d’identité n’est pas une ligne comptable figurant clairement dans le bilan des entreprises. Ses coûts sont multiples et peuvent se manifester de manière brutale. Ils se transcrivent par des violations des données et les coûts engagés pour y remédier, voire payer d’éventuelles rançons ; par de mauvaises évaluations lors d’audits de conformité et les amendes qui en découlent ; ou encore, par une hausse des primes d’assurances cyber, voire des refus d’assurer certaines entreprises trop peu précautionneuses.
Beaucoup d'organisations sous-estiment l'ampleur de leur dette d'identité. Cette lacune les conduit à ignorer, voire à nier, les problèmes sous-jacents qui s'accumulent. Cependant, à mesure que cette dette s'accroît, leur exposition aux risques augmente également, les rendant de plus en plus vulnérables.
Vers la solvabilité
Anticiper, connaître et résoudre les risques liés à la dette d’identité n’est pas une tâche annexe à traiter « au cas par cas » mais bien une exigence de sécurité fondamentale.
Pour « rembourser » leur « emprunt », les entreprises doivent adopter une approche proactive et mettre en œuvre une feuille de route et des solutions concrètes :
- Cartographier les identités : dans un premier temps, il est indispensable de connaître exactement le nombre d'identités (humaines et machines) coexistant au sein de l’entreprise, et quel est leur niveau d'accès effectif. Puis, il faut mettre en œuvre le principe de privilège minimum pour chacune de ces identités, et automatiser la révision des accès.
- Mettre en place une gouvernance continue : grâce au CIEM pour la gestion des droits cloud, et à l’ITDR afin de détecter les anomalies de comportement.
- Centraliser la supervision via une plateforme de sécurité des identités unifiée intégrant CIEM, ITDR, mais également une gestion des accès privilégiés (PAM) en ce qui concerne le coffre-fort et l’élévation des privilèges sur les endpoints ; ainsi que la gouvernance et administration des identités (IGA) pour gérer le cycle de vie des identités, la certification des habilitations et la séparation des tâches.
En somme, la dette d’identité n’est pas qu’un concept : c’est un risque financier et opérationnel tangible. Plus tôt les entreprises en reconnaîtront la réalité, plus elles préserveront leur capital le plus précieux : la confiance.
Par Yves Wattel, Vice Président des ventes pour l’Europe du Sud et l’Europe Centrale chez Delinea
