Cet article a été traduit automatiquement.
Autrefois, la sécurité était aussi simple qu'une serrure et une clé : si vous aviez une clé, vous étiez autorisé à ouvrir une porte donnée et à accéder à la pièce située derrière le système informatique. Dans les premiers temps de l'informatique, la sécurité du réseau de l'entreprise suivait cette méthodologie du monde réel, en utilisant un système simple où chaque employé recevait la même clé pour accéder aux mêmes informations.
À l'époque, les employés et les systèmes se trouvaient sur place, et il n'était pas facile pour les cybercriminels d'accéder à cette clé. Mais les frontières physiques ont depuis été repoussées, devenant plus fluides à mesure que des facteurs tels que l'utilisation accrue de l'informatique dématérialisée et la demande de capacités de travail à distance réécrivent les règles de engagement en matière de sécurité des entreprises.
Grâce à ces changements, les pirates ont découvert des méthodes pour ouvrir les portes qui protègent les stocks d'informations précieuses sans être physiquement à proximité de ces systèmes. Leur cible principale : l'identité de l'utilisateur. En fait, 81% de toutes les attaques de sécurité visent à voler des identifiants afin de les vendre sur le site web à d'autres acteurs malveillants cherchant à accéder à d'autres comptes.
Alors, si nous connaissons le problème, pourquoi les technologies de l'information sont-elles si difficiles à prévenir ? La raison pour laquelle le piratage d'identité connaît un tel succès est la politique "une clé, une porte". Afin de mieux protéger les données de leurs utilisateurs, les entreprises doivent mettre en œuvre des pratiques modernes de gouvernance des identités qui abordent la sécurité de manière plus globale.
Le nouveau champ de bataille de la sécurité
La plupart des entreprises veillent à ce que les utilisateurs n'aient accès qu'aux informations et aux systèmes dont ils ont besoin, mais elles le font en utilisant des processus manuels. Au fur et à mesure que leurs effectifs et leurs systèmes gagnent en complexité et en diversité, ce système devient ingérable.
Une étude récente montre qu'en moyenne, 33% des utilisateurs internes sont inactifs mais n'ont pas été désautorisés. Il peut s'agir d'employés qui ont quitté définitivement l'entreprise, d'employés en congé ou d'employés dont la description de poste - et donc les outils qu'ils utilisent - a changé. Par ailleurs, 30% des entreprises laissent des dossiers sensibles ouverts à tous les employés, sans qu'aucune identité de gestion des accès ne soit appliquée. Non seulement cela impose des contraintes supplémentaires inutiles aux équipes de IT, mais cela expose les entreprises aux risques de sécurité qui accompagnent inévitablement l'erreur humaine.
Les entreprises doivent se tourner vers la gouvernance de l'identité et de l'accès pour se protéger contre l'évolution des menaces de sécurité et se conformer aux réglementations sectorielles.
Qu'est-ce que la gouvernance des identités ?
Identity Governance offre aux entreprises une gestion des identités et un contrôle des accès basés sur les politiques des utilisateurs. Les services informatiques soutiennent leurs efforts en matière de sécurité et de conformité réglementaire, en leur permettant de définir, d'appliquer et d'examiner la gestion de l'identité des accès politiques, de les associer aux exigences de conformité et de audit l'accès des utilisateurs.
Les principaux éléments de la gouvernance desidentités sont l'administration des utilisateurs, la gestion des identités à privilèges, l'intelligence des identités et l' administration et l'analyse des identités basées sur les rôles. Combinées, ces caractéristiques permettent aux entreprises d'automatiser les flux de travail, de gérer l'autorisation des utilisateurs, de se conformer aux réglementations en matière de sécurité des données et de faire évoluer leurs organisations.
La gouvernance des identités garantit la conformité et protège les entreprises de la complexité.
Le cycle de vie des employés modernes est plus complexe que jamais. Autrefois, un employé commençait dans la salle du courrier et gravissait lentement les échelons de l'entreprise jusqu'au sommet. Aujourd'hui, il est plus probable qu'un employé change de département, parte et revienne, travaille en tant que prestataire avant d'être embauché à plein temps, ou passe du statut de vendeur à celui d'employé. Avec ce réseau massif d'autorisations, il est important d'attribuer des politiques capables de gérer automatiquement les changements au fur et à mesure de l'évolution du cycle de vie de l'utilisateur.
La mise en œuvre de la gouvernance des identités peut être la meilleure approche pour protéger vos organisations et vos employés informatiques en offrant trois domaines de protection distincts :
- Découverte des accès : la gouvernance et l'administration des identités commencent par la découverte des accès, qui permet de connaître le compte utilisateur et l'autorisation (qui a besoin de quoi, et quand), et de réconcilier l'identité de l'utilisateur et d'autres ressources cibles sur lesquelles l'entreprise n'a pas de contrôle (à quelles applications et à quels services extérieurs l'utilisateur accède). Fort de ces connaissances, IT est mieux préparé à se protéger contre le vol d'identité et d'autres attaques.
- l'accès de l'utilisateur : L'entreprise peut alors fournir à l'utilisateur un accès au nuage d'applications basé sur des règles et des demandes, empêchant ainsi les utilisateurs non autorisés d'accéder à des données sensibles. Ils peuvent également étendre les intégrations hérité à leurs applications sur site et hébergées, en mettant en œuvre un processus d'approbation des demandes qui surveille les demandes d'accès des utilisateurs et les approbations.
- Conformité reporting: Une fois que ce site provisioning est en place, Enterprise peut produire des rapports de conformité qui donnent un aperçu des utilisateurs qui ont accès à certaines informations à un moment donné. Ces rapports peuvent également fournir des informations sur l'accès des utilisateurs et des applications, ainsi que sur les changements de mots de passe, qui peuvent indiquer des anomalies ou des menaces dans leurs systèmes.
À mesure que les réseaux d'entreprise et le personnel s'étendent au-delà du réseau tbd, la gouvernance des identités devient cruciale pour les protéger contre les dernières menaces de sécurité et pour se conformer aux réglementations en constante évolution.
