Cybersecurity
Governance, Resilience, IAM, PAM, DLP, SIEM, SOC
IAM, IAG, PAM, EPM… Où en sommes-nous ?
Troisième session, jeudi 21 mars, de la All Cyber School sur la question des identités et des accès. IAM, IAG, PAM, EPM… Un tour d’horizon en toute indépendance.
« NIS2 a besoin d’IAM ! L’Identity Access Management est le fondement invisible de NIS2 », estime Christophe Hohl, Technical Advisor, Cyber Security Management. Et d’expliquer qu’avec l’introduction de NIS2, les organisations devront contrôler davantage d’identités que les leurs. Dans les faits, elles vont devoir faire face à un nombre indéfini d’identités et aborder les complexités de la gestion de l’accès dans la chaîne d’approvisionnement. En d’autres termes, le contrôle n’est plus limité à un Active Directory !
Cette réflexion n’est pas sans lien avec la deuxième édition de la All Cyber School qui s’était tenue à Waterloo en décembre dernier sur le sur le thème de NIS2. Le sujet IAM, IAG, PAM et EPM, au cœur de cette troisième session qui se tiendra jeudi 21 mars au Stade d’Anderlecht s’inscrit dans la continuité. Avec son partenaire Advens, Cyber Security Management s’intéressera à l’évolution de la gestion des identités et des accès sous leurs différentes formes. Et verra comment mener un tel projet.
La gestion des identités et le contrôle des accès n’ont jamais été un sujet mineur. Mais sous l’effet d’ouvertures et d’interconnexions croissantes, les deux sujets ont considérablement gagné en importance et en complexité au fil du temps, confirme Christophe Hohl. « La sécurisation des droits d’accès logiques est aujourd’hui un sujet majeur. Non seulement parce qu’ils constituent l’un des premiers points d’entrée pour quiconque souhaiterait pénétrer leurs systèmes d’information, mais aussi parce qu’ils font l’objet de standards réglementaires de conformité et de sécurité auxquels les entreprises doivent adhérer. »
IAM, l’accent sur la confiance zéro
Initialement, voici une vingtaine d’années, les premiers projets de gestion des identités étaient voués à maximiser l’efficacité opérationnelle des équipes et à réduire les risques associés à la gestion des droits d’accès aux applications et aux ressources des entreprises. Depuis, la gestion des identités et des accès a connu plusieurs phases successives de déploiement qui ont largement contribué à faire évoluer les solutions. On parle aujourd’hui de Zero Trust, une approche de plus en plus populaire qui consiste à ne jamais faire confiance à un utilisateur, même s’il est connecté à un réseau sécurisé. Cette stratégie vise à sécuriser les ressources de l’entreprise en utilisant une combinaison de technologies et de politiques strictes pour garantir la sécurité des données
L’IAM en est un pilier. Avec l’IAG (Identity Access Governance), le champ d’action s’étend. On peut l’assimiler à une « tour de contrôle transverse », alimentée autant par les référentiels Qualité et les règles du contrôle interne que les données de l’IAM et des applications. Au-delà du contrôle, l’IAG offre également des moyens de remédiation.
L’IAG doit ainsi permettre de prendre en compte l’ensemble des règles et contrôles métiers de l’entreprise. Mais aussi de corréler et de présenter les données opérationnelles de l’IAM, et de chaque application, à l’aune de ces règles. Et, enfin, d’organiser et suivre les actions de remédiation nécessaires à la correction des éventuels écarts.
PAM, EPM…
Gestion des identités, gestion des accès, et notamment accès privilégiés. C’est le rôle des PAM (Privileged Access Management), l’un des processus et systèmes préventifs les plus efficaces dont disposent les organisations qui souhaitent réduire le risque que représentent pour elles leurs employés, partenaires, fournisseurs, systèmes et tiers. Avec cet accès, l’utilisateur privilégié peut être autorisé à configurer, modifier ou supprimer d’autres comptes d’utilisateur.
Dans un contexte de plus en plus mobile, une variante du PAM s’impose : l’EPM (Endpoint Privilege Management), une solution de cybersécurité conçue pour régir les accès à privilèges aux appareils du réseau. Elle permet aux administrateurs de définir qui peut accéder à quoi, et dans quelles circonstances.
Dans un environnement régi par l’EPM, par défaut, aucun utilisateur final n’a d’accès à privilèges. Les utilisateurs doivent demander des privilèges élevés en fonction de leurs besoins, sachant que chaque demande donne lieu à un workflow d’approbation. Le workflow garantit que l’utilisateur a légitimement besoin de privilèges élevés.
On premise, davantage de fonctionnalités et d’options de personnalisation
« Historiquement, les solutions proposées par les éditeurs technologiques étaient, majoritairement, on-premise. Leur gestion était relativement facile. Aujourd’hui, c’est différent, poursuit Christophe Hohl. De plus en plus de solutions sont proposées en mode SaaS, autrement dit à travers le cloud. Les avantages sont réels, mais la mise en œuvre est plus complexe. »
Si le cloud s’impose, les solutions on-premise ont encore leur place… et leurs avantages. Elles permettent une meilleure maîtrise, ainsi qu’un cloisonnement interne amélioré des données de l’entreprise, puisque l’on est maître de leur acheminement, ainsi que de leur stockage. Les solutions on-premise comprennent généralement davantage de fonctionnalités et d’options de personnalisation. Elles permettent également d’utiliser l’outil choisi même sans accès internet.
Aussi, le coût du produit est souvent moins élevé car le fournisseur n’a pas à supporter son entretien. Mais cela reste toutefois à relativiser car quelques coûts annexes peuvent se voir ajoutés. En effet, ces solutions obligent l’entreprise à couvrir des coûts supplémentaires liés à l’infrastructure on-premise tels que sa gestion (haute disponibilité, supervision et sauvegardes) et sa maintenance par l’humain (nécessite du temps et une formation) ou encore des coûts financiers (serveurs et licences) supplémentaires. Le déploiement et démarrage de ces projets peut aussi être plus long qu’un projet cloud dû à la configuration de l’environnement par les équipes internes.
Dans le cloud, des solutions pensées pour être scalables
Par opposition, les solutions en mode SaaS présentent un avantage indéniable : tout est géré par le prestataire de services tant la haute disponibilité du service que les différentes mises à jour à réaliser. Les équipes internes n’ont ainsi que de faibles charges d’exploitation.
Les solutions cloud peuvent être utilisées presque instantanément car il suffit souvent d’un simple clic -lien de connexion URL- pour l’utiliser. En termes d’architecture, elles ne nécessitent que peu, voire pas, de composants on-premise. Par ailleurs, elles sont pensées pour être scalables afin de s’adapter rapidement aux augmentations potentielles de charges. Lorsqu’un besoin critique est identifié, le cloud est une solution express pour y répondre -proposant une implémentation facile dans l’écosystème existant.
Si les solutions dans le cloud sont de plus en plus utilisées, c’est également grâce au degré de sécurité qu’elles fournissent. Enfin, les fournisseurs de service IAM se reposent en grande majorité sur les hyperscalers pour leurs standards renforcés de sécurité.
On-premise ou dans le cloud, c’est d’abord le projet qu’il s’agit de considérer, insiste Christophe Hohl. Sa mise en place est souvent dans les cartons, mais il terrorise car il est vu comme trop complexe, long à mettre en œuvre et coûteux. « Longtemps, la question des identités et des accès n’a pas été considérée comme une faille potentielle ; aujourd’hui, les entreprises réalisent qu’il faut traiter ce point, mais comme il n’est pas non plus bloquant, on décale… Or, ce n’est plus permis. Trop d’attaques, trop de menaces ! La gestion des identités et des accès est une priorité ! »