IAM : faire converger identités et sécurité

Montée en puissance du cloud, shadow IT, apparition massive d’identités non humaines... Face à cette transformation structurelle du risque, les approches traditionnelles de gestion des identités et des accès montrent leurs limites. Lors d’un petit-déjeuner organisé à Paris par InCyber, cinq experts du sujet ont partagé bonnes pratiques et recommandations.

90 % des entreprises et organisations ont subi au moins un incident lié aux identités au cours de l’année 2024, selon les chiffres publiés par l’association à but non lucratif Identity Defined Security Alliance (IDSA) dans son étude intitulée « 2024 Trends in Securing Digital Identities ».

« Chez les clients pour lesquels nous intervenons, nous constatons une multiplication des attaques. Aujourd’hui, l’usage de l’IA par les cybercriminels est un vrai ‘game changer’ qui se traduit concrètement par des opérations de plus en plus complexes et automatisées. Et ces attaques ciblent de plus en plus souvent les identités. Nous observons aussi l’utilisation croissante de deep fakes pour réaliser des fraudes au président notamment. Dans ce contexte, les solutions traditionnelles ne suffisent plus pour protéger les accès et les identités », déclare Émilie Bonnefoy, Cofondatrice et CEO d’Open Sezam.

Autre tendance lourde : la montée en puissance du cloud. « Dans le cloud, les identités sont le nouveau firewall. Elles nous permettent d’accéder aux données de l’entreprise. Comme l’a rappelé récemment l’ANSSI, la moitié des attaques qui ont lieu dans le cloud sont liées à des problèmes de gestion des identités. Beaucoup d’entreprises ayant basculé leurs applications dans le cloud ont oublié qu’une part de la responsabilité leur revenait, à travers la gestion des identités », complète Arnaud Treps, CISO d’Odaseva

Kévin Smouts, Cofondateur de Zygon, ajoute de son côté : « 40 % des attaques ciblent les systèmes SaaS. Ces systèmes constituent des cibles finales, mais aussi des passages vers d’autres systèmes on-premise. Donc même si vous n’avez pas beaucoup de SaaS, ne pensez pas que ces attaques ne vous concernent pas, c’est juste un vecteur d’attaque additionnel. Par ailleurs, d’après nos données internes, nous mesurons que chaque collaborateur possède en moyenne 35 comptes applicatifs SaaS. L’inventaire applicatif que nous voyons chez nos clients est composé de 50 000 applications SaaS. Ces chiffres n’ont rien à voir avec le on-premise et c’est cet inventaire qui se fait attaquer de manière globale ».

Autre phénomène à prendre en considération : le nombre croissant d’iden@tités « non-humaines », autrement dit liées par exemple à des comptes de service ou des clés d’API. En novembre 2023, le service support d’Okta, spécialiste de la gestion des identités et des accès, a été piraté. Les cybercriminels, qui ont mis la main sur les coordonnées de tous les utilisateurs du support client, se sont introduits dans le système grâce au vol d’informations d’identification d’un compte de service d’assistance.

IAM : un enjeu avant tout organisationnel

Dans ce contexte, quelles mesures prendre pour endiguer la montée en puissance de ce type de cyberattaques ? « Il faut tout d’abord s’attaquer au shadow IT. Pour cela, rien de plus simple : allez voir les métiers, discutez avec les équipes et adoptez les bonnes solutions qui vous permettront de mettre en évidence les usages d’applications non contrôlées ou de déployer une authentification forte qui soit pérenne et utilisable de façon simple. Il suffit d’explorer ce que proposent les éditeurs – notamment français – et arrêter une certaine forme de paresse », avance Sylvain Cortes, Fondateur des Identity Days.

Il est également important de rapprocher les mondes des identités et des accès, contrairement à ce qu’ont tendance à faire certains acteurs anglo-saxons depuis une dizaine d’années. « Dans la vraie vie du digital, nous ne pouvons jamais séparer identités et accès. Prenons l’exemple d’un véhicule connecté, que j’ouvre avec mon téléphone. Si je prête mon véhicule à un ami, je lui donne accès à ma voiture, mais aussi un périmètre d’usage. Si j’amène ma voiture en révision, mon garagiste aura un périmètre de droits plus large », ajoute Gilles Casteran, CEO, de Memority.

Mais le sujet est avant tout organisationnel et relève de la volonté “politique” d’avancer : “L’enjeu est de trouver le point commun de toutes les identités présentes dans l’entreprise, pour ensuite mieux les faire diverger selon les cas d’usage. Et quand je parle d’identités, cela peut aussi désigner des identités de clients. Au sein du groupe Accor, par exemple, avant la fusion des marques (Ibis, Novotel..), chaque client était connu de manière différente dans chacune des chaînes d’hôtels du groupe”, analyse Arnaud Treps.

Un ROI tangible qu’il faut mettre en avant auprès des Comex

Pour convaincre un comité de direction de s’engager dans cette voie vertueuse, mettre en avant le ROI des investissements nécessaires s’avère pertinent : “Il est possible de tirer un double ROI du déploiement de solutions d’IAM : un ROI pour les utilisateurs, pour qui cela va être plus simple au quotidien, et un ROI pour la gouvernance. Il faut en effet montrer au COMEX, chiffres à l’appui, que les coûts de support et les délais de connexion vont diminuer, et que le niveau de sécurisation des données de l’entreprise va augmenter”, commente Émilie Bonnefoy.

“Les projets IAM sont une véritable opportunité pour les RSSI de se positionner comme des business partners. Ils vont rendre la vie des utilisateurs plus facile, accélérer les changements technologiques pour, in fine, contribuer à renforcer la sécurité du patrimoine informationnel des organisations”, note Arnaud Treps.

Par ailleurs, la présence sur le marché de standards comme le système d’authentification décentralisé OpenID, contribue à faciliter le travail des RSSI. “Il existe aujourd’hui une normalisation et des standards qui permettent d’offrir une convergence et de simplifier l’harmonisation des identités. Les RSSI sont donc de plus en plus souvent en mesure de concilier sécurité, expérience utilisateur et time-to-market. L’intérêt des standards est de proposer une sécurisation dans des délais deux à trois fois plus courts qu’avant. Et cela se ressent bien évidemment dans les coûts de déploiement”, ajoute Émilie Bonnefoy.

“Le monde de l’IAM a été disrupté il y a quelques années grâce aux plateformes cloud. Il est possible aujourd’hui de déployer un projet d’IAM en mode 100 % cloud, c’est le modèle que je défends. Mais au-delà de ces aspects, il n’y a aujourd’hui plus de problématique technologique, plus de plateforme à construire. Un projet IAM est un véritable projet d’entreprise et non plus seulement un projet inhérent au RSSI, au directeur technique ou au DRH. Il faut donc que l’ensemble des membres du COMEX se mettent d’accord sur une cible à 3 ou 5 ans et que, quels que soient les événements qui surviennent (rachats…), ils se fixent des jalons intermédiaires à atteindre : MFA, gestion des accès par les partenaires, mise en place d’une gouvernance des identités des collaborateurs… Les plateformes du marché ont la capacité à s’adapter au contexte métier des entreprises”, conclut Gilles Casteran.