En peu de temps, notre environnement de travail a complètement changé. Donc nos accès.
23 demandes d’accès. Tel serait le nombre moyen d’occasions d’authentification par jour à divers systèmes et applications par employé. A l’origine de cette évaluation, le NIST (National Institute of Standards and Technology) a trouvé que la frustration générée -surnommée «fatigue du mot de passe»- pousse les utilisateurs à contourner les pratiques sûres de sécurité d’accès. Ceci signifie que les utilisateurs ont souvent recours à l’utilisation de leur adresse e-mail en tant que nom d’utilisateur sur des sites multiples, du même mot de passe sur autant d’applications que possible (61% ont recours à cette pratique), de mots de passe simples -y compris l’utilisation de moyens mnémotechniques simples- et de feuilles de calcul… ou même d’écrire leurs mots de passe sur des post-it !
Si ces pratiques sont dommageables, faut-il pour autant blâmer les utilisateurs ? En peu de temps, notre environnement de travail a complètement changé. Ce qui, hier, était impensable, est devenu commun. Ainsi, pour nos clients, la possibilité d’interagir avec notre entreprise par le biais d’un éventail de points de contact. Ce qui veut dire, aussi, que le paysage de la sécurité actuel s’est radicalement transformé. Il suffit de songer à l’adoption du cloud, à l’accroissement de la mobilité, à l’essor des réseaux sociaux et à l’augmentation des flux d’informations circulant dans l’entreprise au sens large.
Du coup, des identités provenant de nombreuses sources, telles que des applications, des systèmes, des réseaux sociaux, etc. Les employés et les clients mobiles sont, par ailleurs, en train de changer profondément l’activité et de redéfinir le défi consistant à livrer rapidement des applications sécurisées à une population d’utilisateurs en constante évolution -les utilisateurs doivent pouvoir accéder aux informations où qu’ils soient, à tout moment, à partir de périphériques variés. Ces différents facteurs entraînent une modification profonde du rôle de la sécurité et des méthodes de gestion des identités des utilisateurs.
Le paysage de la sécurité des accès s’est radicalement transformé sous l’effet de cinq grandes forces
> Montée en puissance de la mobilité – Employés et clients veulent utiliser leur propre périphérique mobile pour accéder aux applications et attendent de l’organisation qu’elle fasse le nécessaire pour leur offrir cette possibilité. Néanmoins, livrer des applications mobiles tout en sécurisant l’accès aux données n’est pas simple compte tenu des différences qui existent entre les modèles de développement d’applications pour Internet et pour le mobile. Les environnements d’applications Web existants ne s’intègrent pas parfaitement avec ceux des applications mobiles comme les architectures de type REST. Les organisations n’ont alors d’autre choix que de développer de nouveaux environnements Web ou de remplacer les environnements existants pour attirer les clients mobiles, ce qui entraîne des coûts élevés et des efforts répétés. Toute fonctionnalité pouvant vous permettre d’atteindre plus facilement vos clients mobiles est un atout majeur pour votre entreprise.
> Accélération des nouvelles applications – La pérennité d’une entreprise tient à sa capacité à fournir rapidement de nouveaux services métier. L’augmentation du chiffre d’affaires d’une entreprise dépend de son aptitude à réduire les frictions dans le développement et le déploiement d’applications sur l’ensemble des canaux. Le meilleur moyen d’y parvenir consiste à mettre les API à disposition des développeurs internes et externes de manière sécurisée et à en faciliter l’utilisation. Plus facile à dire qu’à faire. Les conversions en API mobiles, ainsi que la gestion de la sécurité et des performances des API sont autant de freins à un déploiement rapide et efficace des applications Web et mobiles. Or les entreprises qui ne perçoivent pas l’importance d’une collaboration efficace avec leurs développeurs potentiels (internes et externes) perdront la bataille du déploiement des applications.
> Transition vers des services cloud – Les organisations doivent pouvoir assurer un provisioning transparent depuis et vers une multitude d’applications cloud. De nombreuses organisations font également le choix très judicieux de déplacer vers le cloud leurs services de gestion des identités. Cependant, le déploiement de l’identité en tant que service (IDaaS) exige deux caractéristiques de votre fournisseur d’identité. Premièrement, une évolutivité éprouvée et exceptionnelle pour gérer un nombre potentiellement considérable d’utilisateurs et de droits. Deuxièmement, des options flexibles de déploiement sur site et dans le Cloud qui vous permettent de transférer vos services d’identité vers le Cloud quand et comme vous le souhaitez.
> Augmentation du nombre de données et de leurs déplacements – La quantité de données et leur dispersion géographique augmentent de façon inquiétante. Cet éparpillement rend la protection des accès véritablement problématique. La capacité à détecter, classer et protéger ces données indépendamment de leur mobilité ou de leur emplacement est fondamentale.
> Sophistication des menaces – Les menaces extérieures sont bien plus ciblées et persistantes que par le passé. Les menaces avancées persistantes (Advanced Persistent Threats, APT) sont une nouvelle forme de menaces insidieuse. La mise en oeuvre d’une véritable «défense en profondeur» avec contrôles de sécurité à chaque niveau de l’environnement passe par l’adoption de nouvelles méthodes de protection. Une plate-forme d’identité intégrée constitue le moyen le plus efficace pour déployer cet arsenal de contrôles.