Les réseaux Enterprise modernes sont des environnements très complexes qui reposent sur des centaines d'applications et de services d'infrastructure. Ces systèmes doivent interagir de manière sécurisée et efficace sans surveillance humaine constante, c'est là qu'interviennent les identités non humaines (NHIs). Les identités non humaines (NHI), y compris les secrets d'application, les clés API, les comptes de service et les tokens OAuth, ont explosé ces dernières années, grâce à un éventail toujours plus vaste d'applications et de services qui doivent collaborer et s'identifier mutuellement à la volée. Dans certaines Enterprises, les identités non humaines (NHI) dépassent désormais le nombre d'identités humaines dans des proportions allant jusqu'à 50 pour 1.
Cependant, les identités non humaines (NHIs) introduisent des risques uniques et des demandes d'authentification qui mettent les responsables de la sécurité en état d'alerte. Selon un récent rapport d'Enterprise Strategy Group, quarante-six pour cent des organisations ont subi des compromissions de comptes ou d'identifiants identité non humaine au cours de l'année écoulée, et 26 % supplémentaires soupçonnent qu'elles l'ont été.
Il n'est pas étonnant que les NHI (Non-Human Identities, identités non humaines) et les difficultés qu'ils présentent en matière de supervision, de réduction des risques et de gouvernance soient un sujet récurrent au Forum des RSSI d'Okta. Ici, nous allons explorer leur essor, les risques qu'ils présentent, et comment les RSSI et les responsables de la sécurité les gèrent aujourd'hui.
L'essor spectaculaire des identités non humaines (NHI)
L'augmentation des INH peut être attribuée à l'utilisation croissante des services cloud, de l'IA et de l'automatisation, ainsi que des workflows numériques. C'est une tendance qui va probablement se poursuivre, car de plus en plus de tâches sont automatisées et les humains jouent un rôle de moins en moins important.
Les NHIs permettent aux applications de s'authentifier mutuellement, tant à l'intérieur d'un domaine spécifique qu'avec des applications tierces telles que les services cloud. Ces secrets, clés et tokens sont tout aussi sensibles que les identifiants utilisés par les humains, et dans certains cas, encore plus, car ils peuvent fournir aux adversaires un accès puissant à des applications et à des services spécifiques s'ils sont divulgués.
Les RSSI prennent note. En fait, plus de 80 % des Organizations prévoient d'augmenter leurs dépenses en matière de sécurité des identités non humaines.
Selon Mark Sutton, RSSI chez Bain Capital, « Les identités non humaines sont devenues un point central pour les équipes en fonction de la maturité de leurs programmes de gestion des identités et des accès. » Cela devient rapidement le prochain sujet brûlant, car les gens ont en partie résolu la question des identités des utilisateurs. La progression naturelle consiste alors à commencer à examiner les comptes de service et les identités non humaines de communications machine to machine, y compris les API.
En termes simples, une fois que les Organizations ont mis en place des protocoles stricts pour sécuriser les identités humaines, la prochaine étape logique consiste à s'attaquer aux identités non humaines (INH). « De plus, les identités non humaines font partie du paysage des menaces, et c’est là que les attaquants se dirigent ensuite. »
Fuite de secrets et autres risques liés aux identités non humaines (NHI)
Comme tout autre ensemble d'identifiants, les identités non humaines (NHI) sont sensibles et doivent être protégées. Mais alors que les humains peuvent employer des mesures de sécurité robustes telles que l'authentification multifacteur (MFA) ou la biométrie pour protéger les identifiants sensibles, les NHIs s'appuient souvent sur des mesures moins sûres pour l'authentification. Cela peut en faire des cibles faciles pour les attaquants.
La fuite de secrets des identités non humaines (NHI) peut également être une source de préoccupation sérieuse. Cela peut se produire de plusieurs manières, que ce soit en les codant en dur dans le code source d'une application ou en les copiant et collant accidentellement dans un document public. La fuite de secrets est un problème important, et les secrets apparaissent souvent dans les dépôts GitHub publics. En fait, la société de sécurité GitGuardian a découvert plus de 27 millions de nouveaux secrets dans les dépôts publics l'année dernière. Cela pose un problème encore plus important lorsque vous considérez que les secrets des identités non humaines (NHI) ne sont pas souvent renouvelés dans la plupart des environnements, de sorte que la durée de vie utile d'un secret divulgué pourrait être assez longue.
Et, parce qu'elles nécessitent souvent des autorisations étendues et persistantes pour effectuer des tâches, les identités non humaines (NHIs) peuvent accumuler des autorisations excessives, augmentant ainsi la surface d'attaque. Tout cela fait des NHIs une cible de choix pour les attaquants et une demande d'authentification majeure pour les RSSI et leurs équipes sécurité.
Trois demandes d'authentification auxquelles les RSSI sont confrontés pour sécuriser les identités non humaines
Bien que les identités non humaines soient désormais dans le collimateur des CISO, leur sécurisation est une autre histoire. Voici trois demandes d'authentification que nous entendons de la part des CISO, et comment ils les gèrent :
Gagner en visibilité. Le plus grand obstacle à la sécurisation et à la gestion des identités non humaines (NHIs) est en fait de les trouver. La visibilité sur l'emplacement des NHIs dans un environnement peut être limitée, et découvrir la totalité ou même la plupart d'entre eux est une tâche difficile. De nombreuses Organizations possèdent des milliers d'identités non humaines (NHI) dont elles ignoraient même l'existence. Le vieil adage « vous ne pouvez pas sécuriser ce que vous ne connaissez pas » est vrai ici. Cela signifie que la découverte et l'inventaire des identités non humaines sont essentiels. La mise en œuvre d'une solution de gestion du niveau de sécurité des identités peut aider les administrateurs et les professionnels de la sécurité à identifier les NHI dans leur organisation.
Priorisation et réduction des risques. La prochaine demande d'authentification consiste à hiérarchiser les risques associés aux NHIs dans l'environnement. Toutes les NHI ne se valent pas. Trouver les identités non humaines les plus puissantes et identifier celles qui sont à privilèges excessifs est une étape clé pour sécuriser ces identités. De nombreux comptes de service et autres NHIs ont bien plus de privilèges qu'il ne leur est réellement nécessaire, ce qui peut engendrer des risques pour l'organisation. L'identification des identités non humaines à forte valeur et l'ajustement des privilèges et des autorisations peuvent contribuer à réduire ce risque. « Il s'agit de comprendre le rayon d'explosion Associate à chaque identité non humaine et de se demander : quel est le risque ? » « Tous les NHIs ne présentent pas la même menace », a souligné Sutton
Établissement de la gouvernance. Avec autant d'identités non humaines (INH) créées aujourd'hui, la gouvernance est devenue une véritable épine dans le pied des RSSI. Mais lorsqu'elles ne sont pas correctement gérées, de mauvaises choses peuvent se produire — prenez, par exemple, la série de brèches d'Internet Archive liées à des tokens non renouvelés en octobre 2024. Souvent, les INH sont créées par les Developer pour répondre à des besoins à court terme, mais elles ne sont que rarement suivies ou mises hors service correctement. Comprendre qui crée les INH, comment ils les créent et dans quel but est une bonne première étape. Ensuite, les équipes sécurité doivent établir un processus clair pour les gérer afin que les identités non humaines ne puissent pas être créées arbitrairement. « Nous devons réfléchir à ce que sont nos politiques d'authentification et de mot de passe », déclare Sutton « Par exemple, il existe probablement de nombreux comptes de service avec des mots de passe statiques faibles qui n'ont pas été changés depuis des années. » « Comment nous assurons-nous de les gérer ? »
Réflexions finales
Les identités non humaines sont essentielles pour les entreprises aujourd'hui, car elles les aident à automatiser les processus, à permettre les intégrations et à assurer le bon déroulement des opérations. Le défi : Elles sont difficiles à sécuriser et constituent une cible attrayante pour les cybercriminels, car elles ne sont souvent pas fédérées, ne disposent pas d'authentification multifacteur, utilisent des identifiants statiques et ont des privilèges excessifs.
En fin de compte, les identités non humaines et humaines peuvent avoir des caractéristiques et des besoins différents, mais toutes deux nécessitent une approche de bout en bout qui les protège avant, pendant et après l'authentification. Les NHIs ne sont peut-être pas des personnes, mais ils deviennent des acteurs de plus en plus puissants dans votre environnement. Cela rend leur sécurisation non pas facultative, mais urgente.
