La gestion des identités d’entreprise (EIM) est un élément essentiel de la cybersécurité moderne, allant au-delà de la simple authentification pour automatiser de manière centralisée le contrôle des accès à des milliers d’applications et de ressources. Comme les utilisateurs d’entreprise accèdent généralement à au moins 9 applications simultanément chaque jour, le provisionnement manuel de niveaux d’accès complexes n’est plus envisageable. Les solutions EIM centralisées garantissent la sécurité et l’efficacité, mais la meilleure approche doit toujours être personnalisée en fonction du secteur d’activité de l’organisation, de la structure de son personnel et des systèmes existants.
Quels sont les moteurs de l'évolution constante du paysage de l'EIM ?
Le paysage évolue rapidement d'une authentification statique centrée sur l'humain (authentification multifacteur/authentification unique) vers un modèle de sécurité Zero Trust, piloté par l'IA, qui vérifie en permanence toutes les demandes d'accès, y compris celles provenant d'un nombre croissant d'identités non humaines (API et bots). Cette évolution est due au passage au contrôle des accès basé sur des politiques (PBAC) et à l'adoption d'une authentification sans mot de passe, résistante au phishing, pour contrer les menaces sophistiquées.
Comment le travail à distance et l'IA ont-ils accru le besoin d'accès adapté ?
En effet, le travail à distance élargit considérablement la surface d'attaque en forçant les employés à utiliser des terminaux personnels non sécurisés et des réseaux domestiques non surveillés, tandis que les menaces alimentées par l'IA utilisent des deepfakes sophistiqués et le phishing automatisé pour cibler et exploiter ces nouvelles vulnérabilités.
La Solution : une authentification résistante au phishing & adaptative
L'authentification multifacteur (MFA) de base et l'authentification unique (SSO) constituent aujourd'hui la base de la sécurité. La tendance actuelle est l'adoption d'une authentification sans mot de passe résistante au phishing (comme Passkeys) et d'une authentification adaptative, qui s'appuie sur l'IA et le machine learning (ML) pour vérifier en permanence l'accès en fonction du risque.
Étude de cas : le Conseil norvégien pour les réfugiés (NRC)
Consultez l'étude de cas complète du CNRC. Le CNR gère un effectif mondial dispersé de 17 000 employés et travailleurs humanitaires, qui sont souvent confrontés à la censure de l'accès à l'internet ou à l'interdiction des VPN dans les zones de conflit. Pour surmonter ces obstacles complexes, le CNR a déployé :
L'authentification unique (SSO): Cela a permis aux travailleurs sur le terrain d'accéder facilement et en toute sécurité à toutes les applications principales à l'aide d'un seul mot de passe.
Adoption de l’authentification multifacteur : cela a permis d’éliminer le besoin d’un VPN dans de nombreux endroits, ce qui a permis à l’équipe informatique d’économiser 2 000 heures de maintenance.
Les solutions modernes pilotées par l'IA sont essentielles pour maintenir la sécurité et fournir des expériences d'accès standard à une main-d'œuvre dispersée dans le monde entier, en veillant à ce que la posture de sécurité s'adapte au contexte actuel de l'utilisateur.
Contrôle des accès basé sur des politiques (PBAC) à grande échelle
Le PBAC est utile pour la mise à l'échelle parce qu'il centralise la logique d'autorisation et découple les règles d'accès du code de l'application. Le PBAC est le fondement d'une architecture robuste de Zero Trust, garantissant que chaque demande d'accès est vérifiée en permanence, quel que soit le lieu ou le terminal de l'utilisateur.
Le contrôle des accès moderne dépasse le contrôle d'accès basé sur les rôles (RBAC) et le contrôle d'accès basé sur les attributs (ABAC) pour s'orienter vers un modèle plus granulaire et dynamique : le contrôle d'accès basé sur des politiques (PBAC).
Type de système | But | Fonctionnement | Évolutif |
Contrôle d'accès basé sur les rôles (RBAC) | Accès basé sur le titre du poste (ex. : « Responsable »). | Nécessite une définition manuelle des rôles pour chaque nouveau type d'utilisateur. | Limité : Difficile à gérer pour les grandes organisations complexes avec des centaines de rôles. |
Basé sur les attributs (ABAC) | Accès basé sur les caractéristiques de l'utilisateur ou des ressources (par exemple, « équipe de vente basée aux États-Unis »). | L'accès est dynamique, régi par divers attributs. | Bonne échelle : Natively gère la croissance du nombre d'utilisateurs, mais les politiques peuvent devenir complexes à gérer. |
Basé sur des politiques (PBAC) [Tendance actuelle] | Accès basé sur le risque et le contexte en temps réel. | Vérifié en permanence : Applique des politiques basées sur le contexte (localisation, état du terminal, heure de la journée) et combine les logiques RBAC/ABAC. | Échelle optimale : Garantit l'accès au moindre privilège et s'adapte automatiquement aux changements continus du statut de l'utilisateur et de l'environnement des menaces. |
Comment moderniser la gestion des identités pour sécuriser les identités non humaines
Les identités non humaines sont sécurisées par une solution moderne de gestion des identités en adoptant une architecture de Zero Trust, qui utilise un modèle de cloud hybride pour une application unifiée des politiques dans l'ensemble de l'entreprise. Cela permet de centraliser la gouvernance des identités et la gestion du cycle de vie, en veillant à ce que les identités non humaines telles que les API et les bots fassent l'objet d'une vérification continue et soient soumises au principe du moindre privilège.
Les infrastructures héritées et les pratiques d'identité ont été conçues exclusivement pour les utilisateurs humains. Aujourd'hui, les identités non humaines, y compris les API, les bots, les agents d'IA et les comptes de service, sont souvent trois fois plus nombreuses que les utilisateurs humains dans une entreprise. Ces identités de machines sont fréquemment la cible d'attaques de la chaîne logistique.
Le défi des identités non humaines
Ils n'ont généralement pas d'authentification multifacteur.
Leurs identifiants (clés, tokens) sont souvent stockés de manière non sécurisée.
Ils ont souvent un accès surautorisé (accroissement des privilèges).
La Solution : Identity Governance & Lifecycle Management
La solution clé pour les entreprises modernes, illustrée par des organisations telles qu'Hitachi, consiste à adopter une architecture de Zero Trust qui utilise un modèle de cloud hybride pour l'application unifiée des politiques.
Par exemple, l'entreprise technologique mondiale Hitachi a réussi à moderniser son accès tout en conservant ses systèmes hérités. En mettant en œuvre un modèle de cloud hybride avec authentification unique (SSO), Hitachi a créé un point d'intégration unique et sécurisé qui protège les identifiants et fournit un accès transparent à l'infrastructure existante en aval du tableau de bord principal, en veillant à ce que les identités humaines et non humaines soient régies par une politique centralisée.
Conclusion : les piliers de la sécurité de l'identité d'entreprise
La modernisation des processus d'identité est une adaptation essentielle au paysage actuel des entreprises, offrant trois avantages principaux et mesurables en tirant parti de l'IA, de la sans mot de passe et de la Zero Trust :
Simplifie l’expérience utilisateur (UX) : Permet un accès sans friction grâce à l’authentification unique sans mot de passe et à l’authentification adaptative, tout en maximisant la sécurité.
Améliore l'efficacité de l'IT et de la sécurité : Automatise les tâches manuelles comme le provisionnement et utilise l'IA pour détecter les anomalies en temps réel et effectuer une correction autonome.
Diminution du risque de sécurité : le contrôle d'accès basé sur des politiques et le principe du moindre privilège sont appliqués à toutes les identités humaines et machine, ce qui rend la posture de sécurité résiliente face aux menaces modernes telles que les deepfakes et le phishing alimenté par l'IA.
