Le seul invariant demeure l’utilisateur et son Identité numérique : quelle est-elle ? Quelle est son activité ? À quelles données et ressources a-t-elle accès, et pour quoi faire ? Aujourd’hui, remettre l’Identité au cœur de la stratégie cybersécurité, c’est se reposer la question de comment mieux protéger les ressources de l’organisation et ceux qui s’en servent. L’Identité numérique a longtemps été perçue comme immuable, pouvant être sécurisée une fois pour toutes, notamment en renforçant le processus d’authentification. Désormais, ce schéma est lui aussi dépassé.
La multiplication des scénarios d’accès et des risques (compromission de systèmes, mais aussi vol de données, fraude, etc.) contraint à l’adoption d’une approche presque individuelle des risques : chaque utilisateur, chaque Identité, compte tenu de son contexte, de ses droits et de ses responsabilités, présente un profil de risque qui lui est propre. Tout ceci remet en cause des années de dogme IAM, qui prônait la mise en place de processus de gestion normés et rigides pour tous les collaborateurs !
La gestion des risques associées aux identités et aux accès
Aujourd’hui les organisations doivent gérer les Identités de manière dynamique et flexible pour répondre aux attentes métier et s’adapter aux crises ou aux circonstances changeantes. Tout accès vers une ressource porte une part de risque intrinsèque : est-ce que ma ressource est intègre ? Est-ce que les transactions sont légitimes ? Est-ce que mes données sont protégées ? Bien entendu, l’Identité à qui l’accès est attribué et le contexte dans lequel cette Identité utilise l’accès constituent des facteurs décisifs pour pondérer le risque :
- L’Identité a-t-elle accumulé trop de droits d’accès ? (principe de moindre privilège)
- L’Identité possède-t-elle des combinaisons toxiques de droits ? (principe de séparation des tâches)
- L’Identité a-t-elle connu un changement – de statut, de position ou d’organisation – qui justifierait une révision de ses droits ?
- L’Identité a-t-elle des droits cohérents avec ceux généralement attribués à ses collègues ?
On constate que ces questions nécessitent de considérer un contexte : l’ensemble des accès d’une Identité, ses caractéristiques, ou encore les caractéristiques des autres Identités en relation avec la première. Cela nécessite de croiser de plus en plus de sources de données de différentes origines : référentiels techniques, informations organisationnelles et informations issues des ressources humaines, etc.
De plus, les réponses peuvent varier dans le temps suivant l’apparition d’événements externes, qui ne sont pas forcément maîtrisés ou détectés. L’évaluation de ces risques doit donc faire l’objet d’un processus cyclique en continu du type « PDCA » :
- PLAN : rassembler les sources de données à croiser et définir les contrôles à effectuer, c’est-à-dire les risques que l’on souhaite mesurer.
- DO : analyser les données et détecter les écarts.
- CHECK : analyser les priorités et documenter les exceptions et contrôles compensatoires.
- ACT : piloter des plans d’actions visant à corriger les problèmes et réduire les risques.
Pour gérer efficacement ce cycle de pilotage des risques liés aux accès, une nouvelle catégorie de technologies logicielles a fait son apparition : l’Identity Analytics.
L’Identity Analytics au service de l’IAM, de la cybersécurité et des métiers
L’Identity Analytics regroupe un ensemble de fonctionnalités logicielles permettant d’ingérer, de corréler et d’analyser de nombreuses sources de données de façon à constituer un référentiel central homogène des habilitations de toutes les Identités liées à l’ensemble des ressources (infrastructure, applications et données).
Cette analyse des risques se déroule par étapes :
- L’inventaire exhaustif des accès. Il s’agit de recenser l’ensemble des comptes et groupes d’accès aux ressources, d’identifier la nature des permissions octroyées, ainsi que les personnes à qui elles sont confiées.
- Le contrôle quantitatif, qui passe par l’analyse des écarts face à la politique de sécurité et aux autres règles de l’organisation. Ceux-ci sont « passés au tamis » afin de distinguer les situations d’exception et de mettre en place des contrôles compensatoires.
- Le contrôle qualitatif, par apprentissage ou par visualisation de données, qui met en évidence des situations incongrues ou inattendues telles que le dépassement de privilèges ou l’incohérence des droits au sein d’une équipe. Autant d’indices qui permettent la détection d’éventuels problèmes.
L’analyse des risques liés aux accès est un processus collaboratif qui implique :
- Les acteurs de la SSI et de la conformité, qui définissent les règles et en vérifient l’application.
- Les responsables de ressources, en charge d’un patrimoine informationnel.
- Les managers, responsables d’une activité métier ou d’une équipe, et donc les plus à même de juger de la pertinence des accès attribués.
Ce processus d’analyse et de traitement des risques accompagne toutes les étapes de déploiement des projets de gestion des Identités, avant, pendant et après. Il permet de réduire les risques associés tout en valorisant les gains obtenus.
Au-delà de l’IAM, le contexte d’Identité constitué dans le référentiel d’Identity Analytics constitue une mine d’informations cruciale pour la cybersécurité. En particulier, cette information permet de mieux répondre et réagir aux alertes cyber : qui se cache derrière le compte XYZ123 que je vois télécharger des Gigas de données ? S’agit-il de ce salarié indélicat qui a été licencié le mois dernier et dont les accès auraient dû être révoqués ?
Mais plus important encore, le contexte d’Identité peut être utilisé pour mieux comprendre le fonctionnement de l’organisation, du point de vue macroscopique jusqu’au niveau individuel : qui fait quoi ? Où ? Cette information issue de l’analyse des accès aux ressources se révèle très complémentaire de la vision des ressources humaines d’une organisation : derrière chaque « job function » se dévoile un ensemble de droits que l’on peut comparer entre utilisateurs, que ceux-ci soient salariés ou pas. Cette information permet aux organisations d’être plus résilientes et permet d’objectiver des décisions de planification.
À l’heure où les scénarios d’accès aux ressources d’une organisation se multiplient, il est crucial d’intégrer le suivi et le contrôle des accès logiques aux infrastructures, données et applications à l’arsenal global de sécurité de l’organisation, en s’appuyant sur l’Identity Analytics. La mise en place d’un cycle de suivi des risques et d’amélioration continue avec l’Identity Analytics est la stratégie la plus flexible et la plus efficace pour faire face aux nouveaux usages observés au sein des organisations et aux nouveaux risques de sécurité associés, auxquels il convient de faire face.
