Aujourd’hui, la réalité du monde des affaires évolue rapidement, comporte davantage d’applications, implique davantage de catégorisations des utilisateurs. Les solutions informatiques y sont exponentiellement plus complexes que jamais à mettre en œuvre. Ce qui était autrefois simple est devenu un écosystème géant, interconnecté, grouillant de milliers d’applications, de personnes et de terminaux.
Cela représente un réseau considérable de points d’accès et de connexions. Et les entreprises qui opèrent dans cette réalité offrent des millions de points d’accès qu’elles doivent contrôler et gérer de manière sûre et efficace.
Il n’est donc pas surprenant que nombre de professionnels de la sécurité se mettent en quête de solutions nouvelle génération de gestion des identités qui pourront répondre aux problèmes actuels en matière de sécurité et s’adapter aux défis futurs.
Cependant, à l’aide d’un projet approprié, vous pouvez réussir et vous développer en aidant votre entreprise à devenir plus efficace, plus sécurisée et moins vulnérable, à réduire vos coûts et à atténuer les frustrations liées à des pratiques et à des politiques inefficaces.
Voici sept bonnes pratiques de gestion des identités que nous vous recommandons de suivre lors de l’élaboration de votre stratégie de gestion des identités et des accès (GIA).
Liste de bonnes pratiques pour la gestion des identités et des accès:
1. Pour commencer, gardez à l’esprit le résultat que vous devez obtenir
Le plus souvent, c’est lorsqu’une entreprise rencontre un obstacle qu’elle se met à la recherche d’un outil de gestion des identités et des accès (GIA). Le service d’assistance est peut-être surchargé de demandes d’accès et de réinitialisation de mots de passe. Peut-être qu’un récent audit de conformité a échoué, ou que des autorisations excessives d’utilisateurs ont été découvertes. Ou encore, l’adoption récente d’applications basées sur le cloud a réduit la visibilité de votre sécurité tout en augmentant la complexité de l’écosystème informatique. Pire encore, peut-être vous êtes-vous rendu compte de l’imminence d’un piratage majeur de vos données, ce qui aurait des conséquences dramatiques sur vos activités.
Comme pour la plupart des grandes entreprises, la première étape consiste à imaginer les résultats que vous avez besoin d’obtenir. Les objectifs que vous souhaitez atteindre pour votre organisation peuvent être variés, mais ils consistent le plus souvent à économiser du temps et de l’argent.
Il est clair que nous ne pouvons pas savoir quels moyens employer si nous ne savons pas où aller.
2. Éliminer les systèmes à haut risque
Historiquement, les entreprises et autres entités ont toujours été réticentes à échanger le numérique des solutions sur-site contre le système de cloud par crainte des menaces pour leur sécurité. Pourtant, les centres de données sur-site et les applications sur-site sont souvent plus risquées que leurs homologues du cloud.
Les fournisseurs de cloud offrent une sécurité qui ne peut être égalée par vos ressources sur-site. Les systèmes de données on-premise nécessitent beaucoup plus de main-d’œuvre, d’argent et de ressources pour éliminer les failles de sécurité et tenir les pirates à distance.
En abandonnant vos anciens systèmes et en passant à un fournisseur de cloud, vous pourrez renforcer votre sécurité grâce à la gestion des patchs, à la segmentation, au cryptage, aux intégrations et aux exigences d’accès sécurisé.
3. Examen de routine et suppression des comptes orphelins
Les entreprises opèrent ou connaissent des changements de façon permanente. Si un utilisateur change de département au sein de l’organisation ou quitte l’entreprise, il doit être correctement déconnecté du réseau. Si un compte n’est pas “déprovisionné” et supprimé, il devient alors un compte orphelin, c’est-à-dire un compte qui contient toutes les données des utilisateurs précédents, mais auquel aucun utilisateur n’est actuellement assigné.
En l’absence d’une solution appropriée de gestion des identités, les comptes orphelins non détectés sont de véritables aubaines pour les pirates informatiques. Ces comptes leur permettent de recueillir des informations d’identification et de s’approprier l’identité de ces comptes orphelins et vous exposent à des failles de sécurité et à des attaques. C’est pourquoi il est extrêmement important de suivre des procédures appropriées lors des accueils et des départs des utilisateurs.
4. Automatiser les entrées et sorties des utilisateurs
La gestion des accès peut résoudre des problèmes majeurs d’entrée et sortie des utilisateurs. Lors de l’intégration d’un nouvel employé, d’un nouveau contractant, fournisseur ou partenaire, votre service IT devra évaluer manuellement les privilèges et autorisations à accorder au nouveau venu en fonction de son rôle d’utilisateur unique. Pour les entreprises de grande envergure qui se développent, cette procédure est très complexe et le processus manuel de provisioning d’un compte augmente la marge d’erreur.
Heureusement, avec certaines solutions de gestion des identités et des accès, vous pouvez rapidement automatiser l’accueil ou le départ des utilisateurs, ce qui permet à votre service informatique d’économiser du temps et de l’argent, de s’assurer que vos nouveaux collaborateurs aient les bonnes autorisations et de clôturer rapidement les comptes des utilisateurs lorsqu’ils quittent l’entreprise ou migrent vers un autre service.
5. Développer une approche de confiance zéro (Zero Trust) en matière de sécurité
Le Zero Trust est un modèle de sécurité de réseau qui s’inscrit dans le paysage de la gestion des identités. Le principe de la confiance zéro consiste à ne faire confiance aux utilisateurs et aux applications en aucun cas, tant à l’intérieur qu’à l’extérieur de votre réseau, tant que leur identité n’a pas été vérifiée. D’autre part, une fois vérifiée, l’utilisateur continuera à être soumis à des mesures de sécurité, jusqu’à ce qu’il quitte le réseau.
Alors que de plus en plus de salariés travaillent en dehors de leurs réseaux d’entreprise, utilisent plusieurs terminaux et applications et ont recours à des applications sur site et SaaS, les entreprises devraient n’avoir qu’un seul objectif : appliquer le principe de la confiance zéro, qui consiste à ne faire confiance à personne et à exiger l’authentification en permanence.
6. Utiliser l’authentification multifactorielle
Si les mots de passe sont souvent considérés comme l’épine dorsale de la sécurité des identités, leur utilisation abusive est souvent la principale raison des attaques et des violations de données. Une mauvaise hygiène des mots de passe, c’est-à-dire des mots de passe faibles et faciles à deviner, le partage des mots de passe ou l’utilisation des mêmes mots de passe sur tous vos terminaux sont les points faibles exploités par les pirates.
En mettant en œuvre un outil de gestion des accès tel que l’authentification à plusieurs facteurs, vous créez une couche de sécurité supplémentaire dans la connexion à vos applications et à vos terminaux.
L’authentification multifactorielle (AMF) est une méthode de vérification supplémentaire qui garantit à votre client une double sécurité lorsqu’il entre ses données d’identification dans votre système. L’AMF exige des utilisateurs qu’ils fournissent deux facteurs ou plus lorsqu’ils se connectent à un compte. Ces facteurs peuvent être, par exemple, un mot de passe associé à un code de vérification sur un appareil mobile, une notification push, un logiciel de reconnaissance faciale ou une empreinte digitale.
7. Centraliser votre système
Avec une multitude d’activités dans votre entreprise (utilisateurs, applications, bases de données, portails, etc.), il est impératif que vous gardiez une trace de ce qui se passe. Et comme votre entreprise s’étend, il devient difficile d’avoir une vue à 360 degrés sur la sécurité de vos identités.
L’une des meilleures pratiques de gestion des identités consiste à créer un système centralisé pour la visibilité, afin que vous puissiez avoir une idée de qui a accès à quoi, au sein de votre organisation. Vous devrez choisir une solution de gestion des identités qui apporte une vue centralisée de vos identifiants d’utilisateurs.
Les raisons les plus courantes de l’échec d’un programme de gestion des identités
- Aucun soutien des organes exécutifs
- Manque de financement
- Pas d’implication des utilisateurs professionnels
- Communication insuffisante sur la valeur du projet
- Mauvaise compréhension de l’étendue du programme
Mais il ne suffit pas de se concentrer uniquement sur ce qui se passe lorsque quelque chose va mal. Pour que le programme soit un succès, vous devez également employer des champions et des meneurs au sein de l’organisation, mettre en évidence le potentiel et la valeur réalisée, puis démontrer que le but que vous vous êtes fixé est en train d’être atteint.
Au cours de la mise en œuvre initiale, la création de projets courts faisant partie d’un programme plus vaste permettra d’offrir des délais courts et ciblés, tout en offrant régulièrement des prétextes à motiver vos équipes. Ces cycles de projet de type « sprint » faciliteront le travail à l’avenir, lorsque des modules supplémentaires devront être intégrés ou que le programme de gestion des identités s’étendra à d’autres aspects des systèmes informatiques. Il est également important de se rappeler que la gestion des identités est un programme qui continuera à accompagner l’évolution et le développement de votre organisation une fois la mise en œuvre initiale terminée.
Réflexions finales
La seule technologie, à savoir la solution logicielle que vous achetez et déployez, peut aider à automatiser et à accélérer les processus, en fonction de l’ensemble de vos problèmes particuliers, mais elle ne résoudra pas tous les problèmes auxquels votre entreprise est actuellement confrontée. Ce n’est qu’en mettant en œuvre les règles et les politiques apprises en examinant les processus actuels et les processus idéaux de votre organisation que le logiciel peut atteindre le résultat final souhaité.
L’apprentissage des meilleures pratiques en matière de conception (ou de re-conception) de votre programme de gestion des identités déterminera l’efficacité des politiques et des procédures une fois la mise en œuvre terminée.
La mise en œuvre d’un programme de gestion des identités au sein de votre organisation peut s’avérer un parcours assez long, mais les éventuelles réticences au démarrage sont largement compensées par les gains d’efficacité et les économies de coûts (qui peuvent se chiffrer en millions d’euros) résultant d’une mise en œuvre bien planifiée et réussie.
Vous pourriez également vous intéresser à :
Prenez le contrôle de votre cloud.
Plus d’information sur SailPoint et Gouvernance Identitaire.