Malgré les efforts de nombreuses entreprises pour sécuriser et réduire les cyber-risques, d’importantes failles persistent, notamment en matière de sécurisation des identités à privilèges. Ces lacunes profitent aux attaquants et sont une priorité majeure pour les décideurs IT en France. Cependant, 74 % d’entre eux estiment que la sécurisation des identités est un sujet encore mal compris par leur direction.
Les causes internes de ce décalage
Entre les responsables informatiques et les dirigeants d’entreprise, un fossé se creuse depuis plusieurs années. D’un côté, des décideurs appelant à considérer les identités comme un pilier de la sécurité de l’entreprise. De l’autre, une direction qui peine à saisir le sujet à bras le corps. En France, 70 % des décideurs IT estiment que la direction de leur entreprise ne saisit pas encore totalement l’importance de la sécurité des identités et son rôle dans l’optimisation des opérations.
Autre preuve du manque de perception de la part de la direction de l’entreprise, la plupart des équipes de sécurité ne reçoivent ni le soutien ni le budget nécessaire à la mise en place de mesures et de solutions essentielles dans ce domaine pour atténuer les risques majeurs. Ainsi, 60 % des décideurs dans le domaine de la sécurité informatique sont freinés dans l’application de la stratégie de leur entreprise.
À cause du décalage de leur direction, la majorité des entreprises continuera d’échouer à la protection des identités à privilèges. Une étude estime d’ailleurs que les trois quarts des équipes de sécurité informatique n’y parviendront pas en raison d’un manque voire d’une absence de soutien de la direction. Ces mêmes entreprises resteront ainsi vulnérables face à des cybercriminels qui cherchent à découvrir des comptes à privilèges afin d’en tirer profit.
Tant que ce fossé ne sera pas comblé, les décideurs informatiques défendront l'importance de la cybersécurité aussi bien pour le conseil d'administration que pour les entreprises, et continueront de se battre pour obtenir les ressources et le budget nécessaires à la protection de leur entreprise. L’espoir est toutefois permis puisque de nombreuses sociétés affirment leurs envies de changement.
Vulnérabilité des identités humaines et non-humaines
Les lacunes dans la sécurisation des identités sont autant de portes d’entrée pour les hackers qui exploitent généralement ces failles pour lancer des attaques, notamment par ransomware. Ils ciblent en priorité les identités à privilèges (c’est-à-dire des utilisateurs, humains ou non, ayant un accès spécial, ou des capacités qui s’étendent au-delà de celles d’un utilisateur standard). Les hackers sont aussi capables de rehausser les privilèges du compte standard d’un utilisateur ou d’une application pour l’élever jusqu’au niveau administrateur ou root, voire pour obtenir un accès total au système d’information. Un hacker n’a donc besoin que d’un seul compte vulnérable pour s’attaquer à une entreprise.
Les sociétés avec de nombreuses identités à privilèges non protégées, comme les identités d'applications et de machines, s’exposent à des attaques et seront plus susceptibles d’être victimes de ransomwares menaçant leurs opérations. 80 % des entreprises ont connu un incident lié à la sécurité des identités au cours des 18 derniers mois. Les trois pires conséquences ont été la perte de données sensibles, la perte d'activité et l'indisponibilité.
Avec la recrudescence des attaques, de nombreuses entreprises se rendent compte de l’importance de la protection des identités à privilèges mais se concentrent principalement sur les identités humaines. Aujourd’hui, les identités machine à privilèges sont souvent oubliées – il s’agit par exemple de clés cryptographiques et des certificats numériques sécurisant les communications privées entre les « machines » des entreprises (matériel, logiciels, applications et sites Web). Or, ces identités comportent parfois des contrôles de sécurité qui n'ont pas été modifiés pendant plusieurs années, ce qui en fait des cibles de choix pour les attaquants.
En effet, ces derniers s’efforcent de trouver le maillon faible. Le fait de négliger les identités non humaines – à l’heure où celles-ci se multiplient plus vite que les utilisateurs humains – accroît fortement le risque d’attaques contre les identités à privilèges. En ciblant les identités de machines ou d’applications, les attaquants peuvent facilement se dissimuler et se déplacer à l’intérieur du réseau afin de déterminer le meilleur endroit où frapper pour causer un maximum de dommages. Les entreprises doivent donc veiller à inclure les identités de machines dans leur stratégie de sécurité et à observer les meilleures pratiques pour la protection de l’ensemble de leurs comptes de « superutilisateurs » qui, en cas de piratage, pourraient conduire à paralyser la totalité des opérations.
La gestion des identités dans un environnement complexe
Outre la mauvaise compréhension des enjeux par les directions, un autre défi pour les entreprises en matière de sécurisation des identités réside dans la complexité croissante de leur sécurisation. La mobilité et le développement des environnements Cloud ont conduit à une omniprésence des identités. Certaines entreprises ne parviennent même pas à sécuriser les identités à l'aide de simples gestionnaires de mots de passe — bien que cela revienne à s'en remettre aux utilisateurs de l'entreprise pour prendre les bonnes décisions en matière de sécurité.
Pour sécuriser les identités, l’entreprise doit d'abord avoir une bonne stratégie, un bon plan et une volonté accrue de la direction. Cela signifie comprendre les types d'identités à privilèges (humaine ou non, sur site), qui existent dans l'entreprise et utiliser une technologie de sécurité conçue pour les découvrir et les protéger.
Pour élaborer son plan ainsi que son parcours pour des identités à privilèges, une entreprise peut s’appuyer sur les bonnes pratiques telle que le Modern PAM. En effet, la multiplication des capacités PAM répondant aux différentes utilisations, traditionnelles et émergentes, crée le besoin d’une vue d’ensemble à partir d’une interface unifiée. Ce type de vision, que l’on appelle Modern PAM, permet une gestion complète des identités et des accès à privilèges sur toute la surface d'attaque, en traitant tous les utilisateurs comme des utilisateurs à privilèges. Dans un environnement informatique plus complexe, le Modern PAM garantit l'évolutivité en traitant l'identité comme le fil conducteur de l'authentification et en appliquant des contrôles d'autorisation basés sur des politiques afin de respecter les meilleures pratiques du Zero Trust et de moindre privilège.
L’adoption du Modern PAM est déterminante dans la stratégie de sécurité car le recours à une interface unifiée, affichant des données cohérentes et précises, permet aux équipes dirigeantes de mieux comprendre et apprécier la portée de la sécurité des privilèges. Elles seront ainsi plus à même de soutenir leur DSI car elles ne pourront que constater la pertinence des actions proposées.
Les équipes informatiques sont prêtes. Elles attendent encore que les dirigeants leurs donnent les moyens de réussir le déploiement d’une stratégie de sécurité efficace.