Améliorer la posture de sécurité en rapprochant les équipes chargées de l'identité et de la sécurité

Ces deux dernières années, les cyberattaques ont visé les systèmes d'identité avec une fréquence croissante.

Les attaques SolarWinds et Colonial Pipeline ne sont que deux exemples qui ont souligné qu'Active Directory est un vecteur d'attaque courant pour les cybercriminels. Mais comme la gestion d'Active Directory – le système d'identité principal de 90 % des entreprises dans le monde – a traditionnellement été une fonction d'exploitation purement informatique, la protection d'Active Directory n'a été intégrée que très lentement aux discussions plus larges sur la sécurité. 

Selon le rapport de l'IDSA (Identity Defined Security Alliance) intitulé « 2021 Trends in Securing Digital Identities » (Tendances 2021 en matière de sécurité des identités numériques), 64 % des entreprises interrogées avaient procédé à des changements pour mieux aligner les fonctions de sécurité et d'identité au cours des deux années précédentes. Lors de la conférence HIP sur la protection de l'identité hybride en décembre 2021,  les intervenants ont approfondi certaines des tendances mises en évidence par le rapport de l'IDSA et ont offert des perspectives sur l'approche que les entreprises peuvent adopter pour aligner leurs équipes et ainsi lutter plus efficacement contre les attaques qui visent les systèmes d'identité.

Voici les principales conclusions des échanges entre Jim Doggett (responsable de la sécurité des systèmes d'information de Semperis), Asad Ali (technologue chez Thales Group) et Paul Lanzi (cofondateur et directeur des opérations de Remediant) : 

Une sécurité robuste de l'identité est le fondement de la protection des autres systèmes.

Un système d'identité sécurisé constitue le point de départ de la protection de tous les autres actifs de l'entreprise. L'équipe chargée de l'identité doit prouver à l'équipe chargée de la sécurité qu'elle protège efficacement les systèmes dont elle est responsable, tout comme les unités opérationnelles doivent montrer à l'équipe chargée de la sécurité qu'elles protègent efficacement leurs applications opérationnelles. Une fois les identités protégées, les entreprises peuvent utiliser cette sécurité éprouvée pour protéger d'autres systèmes. 

Les entreprises doivent désormais repenser l'interaction entre le réseau, les appareils et les identités. « Il y a une différence entre la capacité à sécuriser les entités d'identité et l'utilisation d'une sécurité d'identité plus forte pour protéger les actifs tels que les postes de travail, les magasins de données et les plateformes SaaS », précise Paul Lanzi. « La sécurité des identités est un enjeu de taille. »

Les équipes chargées de l'identité et de la sécurité doivent s'unir pour relever les défis de la sécurité moderne.

Les équipes chargées de l'identité et de la sécurité sont surchargées, à une époque marquée par la prolifération des applications, les migrations vers le cloud et la montée en flèche des cyberattaques. Le nombre d'applications SaaS utilisées par les entreprises a explosé ces dernières années, ce qui met la pression sur les équipes d'exploitation informatique qui doivent constamment approvisionner, déprovisionner et recertifier les applications. Par conséquent, le nombre de rôles, de permissions et d'identités à gérer s'est multiplié. 

Et bien que les applications sur le cloud soient considérées comme intrinsèquement plus sûres, le passage au cloud élargit en fait l'empreinte de l'identité, augmentant la surface d'attaque et exigeant une attention plus ciblée de la part des équipes informatiques et de sécurité pour sécuriser l'ensemble du système d'identité hybride. (Pour plus d'informations sur les défis que représente la sécurisation des systèmes d'identité hybrides, voir « Top Security Risks to Watch for Shifting to Hybrid Identity Management » [Principaux risques de sécurité associés à l'adoption d'une gestion de l'identité hybride]). 

En réunissant les équipes chargées de l'identité et de la sécurité, l'entreprise est plus à même d'adopter une vision globale de la sécurité, notamment en tenant compte de la tension naturelle entre la convivialité et la sécurité. Généralement, les utilisateurs associent une sécurité accrue à une difficulté d'utilisation et un dérangement, tandis qu'une sécurité moindre est plutôt synonyme de simplicité et de commodité. Certains des problèmes de convivialité ont été résolus par des dispositifs intelligents et des technologies d'authentification améliorées. Mais les organisations ont tendance à ajouter continuellement des mécanismes de sécurité sans en supprimer, ce qui entraîne des maux de tête administratifs et une certaine frustration des utilisateurs. En travaillant ensemble, les équipes chargées de l'identité et de la sécurité peuvent pousser l'organisation à mettre hors service les mécanismes de sécurité obsolètes et à en adopter de nouveaux qui sont à la fois plus sûrs et plus faciles à utiliser, ce qui améliorera la posture de sécurité (et la satisfaction des utilisateurs).

Les équipes chargées de l'identité et de la sécurité peuvent aider à mesurer la posture de sécurité

Pour faire face à la lutte sans fin contre les cyberattaques, les entreprises ont besoin de moyens efficaces pour quantifier leur posture de sécurité. Et, comme pour tout indicateur de performance clé de l'entreprise, ce qui compte ce sont les résultats, pas simplement l'activité. Les dirigeants se familiarisent avec les principes des technologies de sécurité, mais les équipes chargées de l'identité et de la sécurité ont encore du mal à leur faire comprendre l'impact concret des améliorations de la sécurité. Asad Ali révèle : « Pour attirer l’attention des responsables, il suffit de parler d'argent. »

Mais la sécurité des informations est essentiellement un « produit négatif », mesuré par les incidents qui ont été empêchés, plutôt que par les incidents qui se sont produits. Les équipes chargées de l'identité et de la sécurité peuvent collaborer sur des indicateurs clés de performance qui traduisent collectivement la santé globale de la sécurité, par exemple en quantifiant le nombre de jours d'infection avant qu'un piratage soit signalé ou en fixant des délais pour la mise hors service d'anciennes technologies susceptibles de présenter des risques pour la sécurité. 

L'un des indicateurs clés de performance les plus efficaces pour évaluer la posture de sécurité est la mesure de la portée des autorisations d'accès. Le nombre d’autorisations a tendance à augmenter avec le temps, et la capacité à montrer une tendance à la baisse est une mesure importante sur laquelle les équipes chargées de l'identité et de la sécurité peuvent se concentrer. Montrer que des centaines de comptes ont un accès administrateur à une application financière, par exemple, peut rapidement attirer l'attention du directeur financier et mobiliser des ressources pour identifier et traiter les autorisations excessives.

« Les conseils d'administration des entreprises sont beaucoup plus attentifs à la question de la sécurité, a déclaré Jim Doggett. Il y a eu suffisamment de failles pour que les dirigeants comprennent les conséquences de l'exposition des données et l'urgence de régler certains problèmes. »

Collectivement, les équipes chargées de l'identité et de la sécurité peuvent fournir aux décideurs le contexte nécessaire pour mieux définir les indicateurs clés de performance et mesurer les initiatives qui rendront l'entreprise plus sûre. J'aimerais beaucoup voir notre secteur et ses entreprises s'atteler à l'élaboration et à la normalisation des indicateurs clés de performance de la sécurité de l’information.

La sécurité s'améliore grâce à la coopération entre les équipes chargées de l'identité et de la sécurité 

Pour améliorer la posture de sécurité, les organisations doivent fournir une structure permettant aux équipes chargées de la sécurité et de l’identité d'identifier et de traiter les vulnérabilités de sécurité qui couvrent l'ensemble de l'environnement, de l'authentification à la sécurité des postes de travail. Les cybercriminels étant de plus en plus habiles à exploiter les erreurs de configuration des identités et à se déplacer latéralement dans les systèmes, les entreprises qui cloisonnent les équipes chargées de l'identité et de la sécurité courent le risque de passer à côté de failles de sécurité, qui pourraient elles-mêmes conduire à une cyberattaque.