Aujourd’hui, les organisations ont une population d’utilisateurs qui croit et se diversifie chaque jour. La prolifération des appareils mobiles et objets connectés a conduit à une explosion du nombre de comptes, de points d’accès et, en conséquence, de droits d’accès que les organisations doivent impérativement gérer. Dans le contexte actuel, cette situation a été exacerbée par le fait que les collaborateurs ont travaillé à domicile sur différents appareils qui n’étaient pas forcément fournis par l’entreprise et ont eu besoin d’accéder à des applications critiques ou des informations confidentielles au quotidien. En réponse à cette situation, les entreprises ont du organiser le travail à distance en un temps record afin d’assurer la continuité de leurs activités. De la distribution de nouveaux outils d’authentification au déploiement de nouvelles façons de collaborer comme Microsoft Teams ou Zoom, elles se sont empressées de soutenir le passage rapide vers un espace de travail distant.
Il est temps de parler de gouvernance
Mais dans la précipitation, il y a souvent une vision à court terme pour répondre au besoin immédiat avec certains risques et préoccupations de sécurité classés sous la rubrique « à voir plus tard ». Pour les organisations qui ont réussi à atteindre un certain état de continuité d’activité, il est maintenant temps de se concentrer sur la compréhension de l’exposition aux menaces résultant des mesures d’urgence prises. Quel accès a été accordé, à qui, dans quel but et pour combien de temps ?
Dans la plupart des cas, les organisations ont réussi à trouver un rythme de travail à distance, mais les responsables de la gestion des identités peuvent avoir du mal à obtenir une visibilité complète sur la multiplication des appareils et des applications. En découle le défi de distinguer les dispositifs et les utilisateurs légitimes de ceux qui sont malveillants. La gouvernance de l’identité et la garantie d’accès sont essentielles compte tenu de la surface accrue aux menaces et des vecteurs supplémentaires que les cybercriminels peuvent exploiter dans les nouveaux environnements de travail hors site.
Le rapport KuppingerCole Identity Governance & Administration (IGA) Leadership Compass 2020 note que le marché des IGA continue d’évoluer alors que les responsables de la sécurité cherchent à gagner en visibilité au sein de leurs organisations et que les besoins d’identification se multiplient dans des environnements mixtes intégrant cloud et connexion sur site. Une solution qui peut fournir des demandes d’accès simples et automatisées, ou une réinitialisation de mot de passe en libre-service, peut rendre la transition vers le travail à distance moins stressante, tout en renforçant la productivité des employés. Lorsque les travailleurs distants disposent d’une solution conviviale pour gérer l’accès aux applications et aux ressources, cela permet également d’alléger les demandes adressées aux services d’assistance, de rationaliser les processus et de réduire simultanément les coûts informatiques. À un moment où de nouveaux collaborateurs viennent rejoindre les organisations de manière ponctuelle pour combler les manques éventuels, ou bien quittent l’entreprise, il est plus critique que jamais de se préparer à ces évolutions d’équipe (embauches, évolution de poste, départs) pour maintenir un état de conformité continu de la sécurité et appliquer une politique d’accès stricte des utilisateurs. Des règles et des politiques temporaires peuvent être instituées pour alléger la charge, contrôler et remédier aux exceptions et aux violations. En outre, l’approvisionnement et le déprovisionnement automatisés basés sur ces règles, rôles ou attributs temporaires peuvent éliminer les actions manuelles, réduisant ainsi les risques pour l’entreprise.
La nouvelle normalité est faite d’un changement permanent
Avec un très grand nombre demployés travaillant désormais à domicile de façon plus ou moins poncutlle, la recertification des droits d’accès est plus que jamais essentielle. En déterminant la quantité de données d’accès et de droits à gérer, elle dépasse de loin ce qu’une équipe d’identification peut gérer. Les organisations ont besoin d’une solution qui assure une conformité continue, aide à gérer et à fournir l’accès des utilisateurs et garantit le respect des mandats réglementaires et de l’entreprise. En tirant parti d’analyses avancées et en automatisant les tâches courantes, les équipes chargées des identités peuvent réduire les accès inutiles aux systèmes et aux applications ainsi que la charge administrative. Le déploiement de nouveaux dispositifs, applications et autres outils permettant aux collaborateurs de travailler à distance amène à considérer quatre domaines de gouvernance prioritaires :
- Permettre une gouvernance consciente des risques et adaptée au contexte en intégrant la gestion des risques et des accès dans les processus de gouvernance et du cycle de vie des identités – au lieu de les gérer comme des questions distinctes.
- Faire émerger des informations utiles pour la prise de décision en organisant les activités par risque, priorité et contexte, ce qui peut contribuer à réduire la lassitude les dirigeants face à la certification.
- Découvrir les accès aberrants et inappropriés en utilisant une approche fondée sur le risque pour identifier rapidement les demandes d’accès anormales, les signaler et les classer par ordre de priorité en vue de leur correction.
- Automatiser les processus afin de pouvoir non seulement fournir un accès sécurisé, mais aussi le gérer de manière efficace.
La gouvernance rend les choses plus faciles, pas plus difficiles
La mise en place d’une solution adaptée avec d’excellentes capacités de politiques, de flux de travail et d’audit, accompagnée d’une gestion du changement solide permettra à toute organisation de se concentrer comme il faut sur le risque d’accès. Une solution qui aide à vous comprendre ce qui a pu résulter des actions de continuité d’activité et des mesures d’urgence prises au début de la crise fournira les informations nécessaires et rendra l’identification des risques d’identité et d’accès beaucoup plus facile, et non plus difficile.
Les équipes informatiques chargées de la sécurité et des risques doivent trouver des moyens de sécuriser l’accès et d’assurer la conformité sans ralentir l’activité. La gouvernance de l’identité doit offrir une visibilité combinée à l’analyse des risques pour hiérarchiser les actions et partager les connaissances dans l’écosystème de la sécurité et des risques. L’identité ne peut plus être un contrôle informatique cloisonné ; elle doit être intégrée comme un contrôle transversal de la sécurité et des risques.