Pourquoi les identités machine sont cruciales pour les stratégies " Zero Trust " ?

Auparavant, les entreprises opéraient au sein d'un périmètre défini, rigoureusement protégé derrière un pare-feu. Cette époque est révolue depuis longtemps. Les entreprises actuelles sont dynamiques.

À l’ère du « cloud native », l’infrastructure est complètement distribuée : nous passons des datacenters traditionnels aux instances multicloud, des serveurs physiques et des VM aux applications basées sur les microservices et aux charges de travail conteneurisées. 

Ce changement dans le mode de fonctionnement des entreprises implique une révolution dans la manière dont nous nous défendons. « Faire confiance, mais vérifier » : ce vieil adage n’a plus cours. Voici venue l’ère du « Zero Trust », qui consiste à « tout authentifier, tout le temps ». Le « Zero Trust » (soit la « confiance zéro ») impose aux équipes de sécurité de privilégier chaque point de connexion du réseau. Du datacenter au Cloud en passant par les terminaux, chaque connexion doit être vérifiée et authentifiée.

L’identité se trouve donc au cœur de toute stratégie « Zero Trust ». Mais la gestion des identités et des accès doit aller au-delà des différents mécanismes qui nous permettent d’identifier et d’authentifier les personnes, tels que les mots de passe, la biométrie et l’authentification à plusieurs facteurs. Pour élaborer des stratégies « Zero Trust », il convient de prendre en compte les autres acteurs sur le réseau : les machines. 

Le rôle de l’identité à l’ère du « Zero Trust »

Une récente étude révèle que 94 % des CXO implémentent actuellement une stratégie « Zero Trust », alors que 77 % d’entre eux augmenteront leur investissement dans ce domaine au cours des 12 prochains mois. 99 % des organisations considèrent l’identité comme un aspect important ou critique de leur stratégie globale de sécurité « Zero Trust ».

Lorsqu’une entreprise n’est pas en mesure de déterminer la légitimité d’une identité, elle ne dispose d’aucun moyen lui permettant de s’assurer que le « Zero Trust » fonctionne. Pourtant, elles sont très peu nombreuses à avoir implémenté cette stratégie sur l’ensemble de leur infrastructure. Les raisons ? La rapidité et la complexité des environnements de développement « cloud natives » pilotés par des machines.

Examinons un instant l’entreprise moderne. Clusters Kubernetes, machines virtuelles, conteneurs, instances Cloud, maillage de services, microservices, algorithmes, API, IA et apprentissage automatique... Toutes ces machines communiquent et se connectent les unes aux autres pour produire de l’innovation commerciale à une vitesse phénoménale. Nombre d’entre elles fonctionnent en toute autonomie et se connectent à d’autres machines sans la moindre intervention humaine.

Plus les machines accomplissent de choses, plus nous nous en remettons à elles pour optimiser la stratégie de l’entreprise. C’est ainsi qu’elles se sont multipliées : les identités machine sont aujourd’hui 45 fois plus nombreuses que les identités humaines, un rapport qui ne cesse de croître alors que de nouvelles technologies font leur apparition dans les écosystèmes professionnels. Chacune de ces connexions et de ces machines doit disposer d’une identité pour communiquer en toute sécurité, et chacune de ces identités constitue pour les acteurs malveillants une opportunité de s’infiltrer en détournant les mauvaises pratiques de gestion. De SolarWinds à NVIDIA, nous avons vu d’innombrables exemples d’attaques ciblant les environnements de développement « cloud natives » pilotés par les machines. Les identités machine deviennent donc de plus en plus prisées.
 

Intégrer la gestion de l’identité machine dans votre stratégie d’IAM

En toute logique, Gartner affirme que la gestion des identités machine est un facteur clé qui aura un impact sur la planification de l’IAM (pour « Identity and Access Management », soit « la gestion des identités et des accès »). Les organisations doivent évoluer pour réellement prendre en charge ces identités, et non pas les traiter comme des exceptions. Voilà pourquoi toute stratégie « Zero Trust » globale doit inclure la gestion des identités machine sur l’ensemble des environnements, bien que la maturité de cette discipline soit à la traîne par rapport à la gestion des identités humaines, ce qui s’explique en partie par un manque de connaissances et de compréhension.
 

Les machines et les personnes sont différentes et leurs identités -qui permettent leur authentification- le sont aussi. Elles ne peuvent pas être gérées de la même manière, et les stratégies actuelles spécifiques adaptées aux humains ne s’appliquent donc pas. La reconnaissance de ces différences et l’élaboration d’une stratégie d’identité holistique englobant les identités humaines et machine sont essentielles pour produire une approche « Zero Trust » efficace.
 

Cela est particulièrement vrai dans les environnements hybrides et multicloud. Les stratégies d’IAM doivent prendre en charge les machines de façon plus poussée dès le début du cycle de développement, et être mieux intégrées aux écosystèmes d’API. Dans les environnements « cloud natives », certaines machines ne vivent que quelques minutes, d’autres quelques secondes. Le nombre de machines montant en flèche, la protection de leurs identités tout au long de leur cycle de vie (de l’émission à la révocation) devient de plus en plus difficile.
 

La nécessité d’un plan de contrôle

Bonne nouvelle : l’importance de la gestion et de la protection des identités machine est de plus en plus admise. De nombreuses organisations prévoient l’implémentation d’un modèle « Zero Trust », ce qui suggère qu’elles ont pris conscience de l’importance de l’intégration des machines dans les stratégies d’identité. Toutefois, si le fait de comprendre à quel point la gestion de l’identité machine est cruciale en matière de « Zero Trust » est une chose, disposer des connaissances et des outils nécessaires pour la gérer et la protéger en est une autre.

Les organisations doivent comprendre qu’il est impossible de gérer les identités machine manuellement en raison de leur nombre et de la vitesse à laquelle elles doivent être créées et révoquées. Il est donc essentiel de disposer d’un plan de contrôle automatisant la gestion des identités machine tout au long de leur cycle de vie. Ce plan de contrôle apporte l’observabilité, la cohérence et la fiabilité requises pour prendre en charge une architecture « Zero Trust », tout en réduisant la complexité inhérente à la modernisation numérique. En automatisant la gestion des identités machine, les entreprises peuvent intégrer les principes du « Zero Trust » dans l’ensemble de leur écosystème et combler les lacunes de leurs stratégies d’IAM : les deux acteurs du réseau pourront ainsi être protégés, authentifiés et être dignes de confiance. Mais sans cela, les stratégies « Zero Trust » seront profondément défectueuses.