Ce n'est un secret pour personne que l'identité est dans le collimateur des attaquants. Mais ce qui est moins clair, c'est comment les contrecarrer dans un paysage des menaces qui semble devenir de plus en plus complexe chaque jour.
Le PDG et cofondateur d'Okta, Todd McKinnon, s'est joint au Chief Trust Officer de Salesforce, Brad Arkin, lors de la keynote sur la sécurité de Dreamforce pour discuter de la nécessité d'une approche simplifiée mais complète de la sécurité aujourd'hui.
La complexité peut entraîner une compromission de la sécurité
Le vieux modèle de sécurité consistant à défendre uniquement les comptes les plus sensibles ne suffit plus, selon McKinnon. Les attaquants sont agiles et peuvent utiliser l'acc er se d eralement, faisant de chaque compte une vuln er. Et la complexité peut aggraver les choses en obscurcissant les comptes, y compris ceux des agents d'IA, et leur accès.
Cette réalité exige que les entreprises s'éloignent des systèmes de sécurité fragmentés pour se diriger vers un écosystème de sécurité des identités unifié qui couvre tous les cas d’usage d’identité, ne laissant « aucune lacune ni cas particulier dans lesquels se faufiler », a déclaré McKinnon. De manière cruciale, « pour que cela se produise… cela doit être préintégré, simple, connecté à tout ».
« Chaque risque doit être géré. »
La sécurité signifie également prêter attention aux petits détails, selon McKinnon. « Chaque risque doit être géré… quelle que soit sa fréquence ou son importance », a-t-il déclaré. Chez Okta, « cela change… la façon dont nous priorisons les choses, la façon dont nous priorisons notre infrastructure informatique interne, la façon dont nous priorisons notre roadmap produits pour nous assurer que les produits n'ont pas seulement de grandes capacités, mais qu'ils sont sécurisés par défaut. »
Une brèche évitée
McKinnon a partagé que cette diligence raisonnable était la clé pour prévenir une brèche lors d'une attaque de la chaîne logistique à l'échelle de l'industrie en août dernier. Okta avait achevé un programme minutieux pour verrouiller les applications, y compris en limitant les plages d'adresses IP à partir desquelles d'autres intégrations de système à système pouvaient se connecter.
« Lorsque quelqu'un a volé nos tokens, ils n'ont pas pu les utiliser, car ils étaient bloqués par l'adresse IP. » « Il s'agit donc de cette gestion des risques », a-t-il déclaré « Il s'agit d'avoir la diligence et la clairvoyance nécessaires pour faire passer ce genre de changement au sein des Organizations. »
Mais la responsabilité de rester en sécurité ne repose pas uniquement sur les entreprises individuelles. Le secteur doit collaborer pour créer de nouveaux standards qui rendent la sécurité robuste facile pour toutes les Organizations, a déclaré McKinnon. « Nous nous concentrons vraiment sur cela, car c'est une chose de faire le travail difficile, mais c'en est une autre de le rendre facile pour tout le monde. » « Et c'est là que nous essayons d'aller. »
Regardez l'intégralité de la conversation ci-dessus.
