Il n’y a pas si longtemps, il était courant de considérer la gestion des identités comme un outil de conformité et de mise en œuvre pour les grandes entreprises. Le marché a été porté par un besoin de conformité. Depuis lors, SailPoint a mené l’évolution de l’identité vers ce qu’elle est aujourd’hui : un élément de base en matière de sécurité et de mise en œuvre de l’entreprise cloud numérique d’aujourd’hui. Une grande partie du domaine de la gestion des identités est aujourd’hui devenue une priorité pour la sécurité et l’atténuation des risques. La sécurité des identités est devenue le nouveau périmètre ou « pare-feu » pour les entreprises. La « gestion des identités » concerne désormais autant la sécurité des identités et l’atténuation des risques que les autorisations d’accès numériques. Mais cette histoire continue, et en fait, les événements de l’année qui s’est écoulée n’ont fait que les accélérer.
Et c’est là que cela devient intéressant.
La sécurité des identités, notre monde, consiste à permettre l’accès et à protéger les entreprises partout. Et il ne s’agit pas d’une option et/ou. La gestion des accès (parfois appelée « IAM » ou identity and access management (Gestion des identités et des accès)) se concentre simplement sur l’octroi de l’accès. Il s’agit de connecter les employés aux applications et aux systèmes dont ils ont besoin pour leur permettre d’effectuer leur travail de manière rapide et efficace. Mais c’est là que cela s’arrête : à la connexion des employés aux applications. Et bien qu’il s’agisse d’une étape nécessaire, les entreprises se demandent désormais « Comment sécuriser cet accès ? ». « Comment savoir qui fait quoi et quand ? ». « Comment protéger les données sensibles contre les risques ? ».
Cela souligne cette notion de « côté obscur » de la gestion des accès – la création d’un accès crée de nombreuses implications de risques involontaires. Vous pourriez même le visualiser comme un pendule – du côté de la sécurité des identités, il s’agit d’atténuer les risques, et de l’autre côté, se trouve ce côté obscur de la gestion des accès, et il invite le risque à chaque création d’accès surtout s’il n’est pas correctement sécurisé et contrôlé.
Balancier vers la gauche : Gestion des accès
La gestion des accès permet aux entreprises d’accorder aux travailleurs l’accès dont ils ont besoin pour leur permettre d’effectuer leur travail. Cela semble être un outil assez essentiel, n’est-ce pas ? Et c’est le cas. Il ne fait aucun doute que la main-d’œuvre d’aujourd’hui a besoin d’accéder à la technologie pour pouvoir être efficace dans son rôle. L’activité cloud d’aujourd’hui repose sur la technologie. C’est là précisément la base de la transformation numérique : l’adoption d’une multitude de technologies qui pilotent l’entreprise cloud. Mais en accordant des accès pour permettre aux travailleurs d’accéder à toute cette technologie qu’ils utilisent maintenant pour faire leur travail, la gestion des accès est simplement devenue un facteur de risque pour l’entreprise, et non une solution sécurisée de mise en œuvre.
Il est impossible pour les entreprises d’utiliser la technologie en toute sécurité sans disposer d’une solution de sécurité des identités. En termes simples, aucune entreprise ne peut accorder un accès en toute sécurité à ses employés à la technologie sans mettre en place des contrôles de sécurité appropriés. À qui faut-il accorder un accès ? Cet accès devrait-il être accordé ? Combien de temps ce travailleur aura-t-il besoin de cet accès ? Ce sont des questions auxquelles une entreprise ne peut répondre sans disposer, à la base, d’une solution de sécurité des identités.
Balancier vers la droite : Sécurité des identités
Cela m’amène à l’autre côté de ce pendule – le côté qui aide les entreprises à atténuer leurs risques – la sécurité des identités.
Avec la sécurité des identités comme pierre angulaire de l’activité cloud d’aujourd’hui, les équipes IT et sécurité dispose soudainement d’une vue d’ensemble de leurs effectifs, et ce, qu’ils soient présents dans les bureaux de la société ou qu’ils travaillent à distance. Avec cette visibilité, l’entreprise dispose désormais des informations dont elle a besoin pour voir et comprendre l’ensemble des accès de ses employés. Et cela permet de commencer à automatiser et accélérer la gestion sécurisée de leur accès et de leurs droits d’accès à tous les systèmes, données et services cloud. La clé est qu’il ne s’agit pas uniquement de fournir un accès, mais de fournir un accès sécurisé qui protège l’entreprise ; et non une faille.
Imaginez une entreprise comme une voiture de course.
L’entreprise se prépare à atteindre ses objectifs pour la nouvelle année. Elle gagne en vitesse, octroyant des accès à ses employés pour leur permettre de rester productifs dès le premier jour, et ce quelles que soient les circonstances. Tout à coup, l’entreprise se trouve dans l’obligation de freiner. Un incident de sécurité s’est produit, mais cette voiture de course n’a été conçue que pour aller de l’avant, sans discontinuer et aucun système de freinage n’a été intégré. C’est le scénario qui correspond à une organisation qui ne dispose que d’une gestion des accès. Vous pouvez être rapide, mais il n’y a aucun protocole de sécurité en place pour freiner en cas de besoin.
C’est là que la sécurité des identités entre en jeu : elle permet d’aller vite, mais également de freiner d’un seul coup. La mesure de sécurité est en place pour garantir que l’accès que vous accordez est sécurisé dès le départ, et non pris en compte uniquement après coup. Les organisations ne peuvent pas simplement atteindre des vitesses de 160 km/h, puis effectuer un soudain demi-tour. Elles ont besoin de mesures de sécurité mises en place en amont pour tenir compte de chaque scénario.
Lorsque les entreprises ont subi les effets du confinement, l’octroi d’un accès à la technologie pour permettre aux employés de travailler de n’importe où était alors considéré comme « essentiel pour l’entreprise », permettant effectivement l’effet voiture de course. Il est rapidement devenu évident que fournir un accès aux employés d’aujourd’hui nécessite une surveillance et une solide sécurité – les « freins » ou la sécurité des identités. Aujourd’hui, une prise de conscience s’est développée concernant le risque que l’accès à la technologie peut présenter à l’entreprise s’il n’est pas correctement sécurisé.
C’est la différence essentielle que les entreprises du monde entier voient et comprennent désormais : sans sécurité des identités, leurs entreprises ne sont pas sécurisées et leurs actifs commerciaux ne sont pas pleinement protégés. Avec la sécurité des identités, elles sont dûment équipées pour atteindre leur pleine vitesse et freiner pour atténuer les risques liés à une surabondance des accès à la technologie et ce sur l’ensemble de l’entreprise.
Je me dois donc de demander, de quel côté du pendule vous souhaitez vous positionner ?