Au cours des huit dernières années, j'ai eu le défi unique de créer et de faire évoluer de A à Z un programme de gestion des identités et des accès (IAM) pour une grande multinationale de la distribution dotée d'un environnement hybride extrêmement complexe. Au départ, il n'y avait que moi, un ordinateur portable et une multitude de défis à relever. L'ampleur du projet était vertigineuse : des milliers d'applications métier, des dizaines de milliers de serveurs, près d'un demi-million d'employés dans le monde et une infrastructure informatique gigantesque. surface d'attaque Nous devons sécuriser nos systèmes avec des ressources limitées. Malgré tous nos efforts, nous avons constamment découvert de nouveaux risques de sécurité, soulignant la nature dynamique de notre sécurité d'identité.
Construire une base IAM solide
L'absence de réglementation lourde m'a permis, à moi et à mon équipe, de concevoir un plateformes IAM Un programme adapté à nos besoins de sécurité spécifiques. Nous avons posé les bases d'un programme IAM performant : une gestion des accès robuste et hautement automatisée pour des millions de comptes et leurs privilèges d'accès, ancrée dans un inventaire complet d'identités. Nous avons mis en place une authentification unique (SSO) protégée par authentification multi-facteurs (MFA) pour des centaines d'applications et technologie développée pour la réinitialisation sécurisée des mots de passe profondément liée aux processus RH.
Malgré ces efforts, nous n'étions jamais totalement à l'aise. Derrière chaque porte ouverte, nous semblions découvrir de nouveaux risques. La sécurité des identités ressemblait à un cycle sans fin de comblement des failles tandis que de nouvelles apparaissaient. Compte tenu de la complexité des environnements informatiques modernes, même le compte le plus innocent en apparence pouvait devenir une porte d'entrée pour les attaquants.
À travers cette expérience, j’ai développé un principe directeur : la sécurité est un jeu d'espace et de temps. L’objectif n’est pas de mettre en œuvre la sécurité progressivement, mais de réaliser des investissements stratégiques dans des solutions qui atténuent plusieurs risques à la fois, permettant aux équipes de sécurité de garder une longueur d’avance sur les menaces sans être enfouies dans la complexité.
Créer de l'espace et du temps
Les améliorations traditionnelles de la sécurité impliquent souvent de petites étapes qui, chacune, nécessitent beaucoup de temps et de ressources, et ne résolvent qu'une petite partie du problème ; par exemple, l'utilisation de l'authentification unique (SSO) ou la mise en œuvre de la gouvernance et de l'administration des identités (IGA) pour les applications métier. Aucune initiative ne peut à elle seule réduire le risque d'identité à un niveau acceptable. Dans chaque cas, elles sont appliquées progressivement sans apporter de bénéfices globaux, et leur mise en œuvre nécessite beaucoup de temps et de ressources.
Mon défi consistait à trouver les investissements adéquats pour éviter à mon équipe d'avoir à effectuer des tâches complexes, extrêmement techniques et progressives, au vu et au su de tous, tout en affichant des niveaux de risque d'identité inacceptables. Nous devions nous concentrer non plus sur des cas d'usage individuels et des correctifs progressifs, mais sur des investissements permettant de résoudre des problèmes spécifiques tout en offrant une protection et une évolutivité étendues ; autrement dit, des investissements qui libèrent du temps et de l'espace pour nos équipes.
La question est: Comment sécuriser rapidement l’identité sans se perdre dans la complexité ?
Pour répondre à cette question, je crois que vous devez prendre un approche en trois parties pour obtenir une protection complète de la sécurité des identités dans toute votre organisation.
Un jeu de plafonds et de planchers : élever le niveau de sécurité de base
En tant que passionné de sport, j'établis souvent des parallèles entre la sécurité de l'identité et les sports d'équipe. Dans le sport, le succès d'une équipe est rarement déterminé par ses meilleurs joueurs ; il dépend plutôt de la performance de son maillon le plus faible. Le « plafond » d'un joueur représente son potentiel de performance maximal, tandis que le « plancher » correspond à son niveau de performance le plus bas.
La sécurité des identités suit le même principe : les organisations doivent d'abord élever leur seuil de sécurité avant de viser leur plafond. Ainsi, au lieu de se concentrer uniquement sur des protections haut de gamme pour certains systèmes, la priorité devrait être donnée à la mise en place d'une sécurité globale et fondamentale, capable de contrer les vecteurs d'attaque et les risques de sécurité courants.
En pratique, cela signifie mettre en œuvre des contrôles de sécurité solides et garantir que les meilleures pratiques IAM à jour sont suivies par tous. des comptes d'utilisateurs ou administrateurs et les ressources au sein de l'organisation. En établissant cette base de référence, les organisations créent une base résiliente qui atténue les menaces les plus importantes et réduit le risque global.
Ce n'est qu'une fois ce niveau de protection de base établi que les responsables de la sécurité peuvent se concentrer sur le renforcement des protections grâce à des mesures plus avancées. Ainsi, des investissements de sécurité à fort effet de levier, traitant simultanément plusieurs risques, peuvent avoir un effet multiplicateur sur le retour sur investissement.
En privilégiant une sécurité globale et fondamentale et en optimisant les investissements offrant de multiples avantages, les organisations peuvent élaborer une stratégie de sécurité complète et évolutive. Cette approche garantit qu'aucun compte, aussi insignifiant soit-il, ne soit vulnérable à une compromission et que l'ensemble de l'organisation soit mieux protégé contre les menaces en constante évolution.
Utiliser l'effet de levier à votre avantage
Tous les investissements en sécurité n'offrent pas la même valeur. Certains contrôles résolvent des problèmes isolés, tandis que d'autres créent un effet de levier en atténuant les risques adjacents. Les investissements à fort effet de levier offrent un rendement multiplié, réduisant ainsi l'urgence de résoudre les risques connexes.
D'après mon expérience, la protection de toutes les authentifications de serveur avec MFA ou des restrictions d'utilisation (par exemple, la limitation comptes de service (selon la source et la destination) atténue de nombreux risques liés aux mots de passe et à la gestion des accès. Mots de passe de mauvaise qualité, incertitude quant à l'endroit où ils sont stockés ou écrits, manque de rotation pour identités non humaines, et les préoccupations concernant les comptes surprivilégiés : tous ces problèmes seront moins urgents à résoudre si vous disposez d’une protection d’authentification appropriée.
D'un autre côté, empêcher le stockage non sécurisé des mots de passe est un problème progressif et complexe qui ne peut être résolu par des moyens efficaces. Un mot de passe peut se trouver dans un fichier sur un ordinateur, un compte de stockage cloud, un partage de fichiers, etc. Résoudre ce problème à lui seul exige des efforts considérables et ne permet pas d'atténuer d'autres risques tout aussi importants. Même stocké en toute sécurité, un mot de passe de mauvaise qualité reste vulnérable.
Trouver des investissements avec effet de levier réduit l’urgence des risques techniques qu’ils atténuent ; ils permettent à votre équipe d’acheter de l’espace et du temps pour construire votre plafond de sécurité.
Questions de protection étendues
Une histoire bien connue, issue d'un exercice d'équipe rouge, illustre un point crucial : pour pénétrer dans un centre de données hautement sécurisé, un pirate informatique éthique a trouvé une porte robuste à accès contrôlé. Au lieu de tenter de la contourner, il a traversé le mur en plaques de plâtre adjacent.
Cette histoire m'a fait réfléchir à la façon dont les attaquants sont comme l'eau : ils trouvent toujours le niveau le plus bas. L'adversaire se tournera simplement vers les cibles les plus faciles si une organisation limite ses efforts de sécurité à un nombre limité de systèmes ou de comptes. La plupart des cyberattaques sont motivées par des raisons financières et opportunistes ; elles ne sont pas personnelles.
Compte tenu de la complexité et de l'interconnexion de nos systèmes actuels, nous ne pouvons pas présumer qu'un compte, aussi innocent soit-il, est sûr ou trop peu prioritaire pour la protection. La clé de l'évolutivité réside dans l'évaluation des investissements en fonction de leur facilité d'adaptation.
Les plateformes qui permettent un plan de contrôle facilement gérable sont plus évolutives que les contrôles incrémentiels et décentralisés. Des contrôles de sécurité solides, impossibles à déployer à grande échelle, créent une base fragile. Pour atteindre l'évolutivité, une approche globale est nécessaire pour combler efficacement ces lacunes.
Une approche équilibrée de la sécurité des identités
Les responsables de la sécurité des identités ont des rôles complexes et exigeants. Établir un seuil de sécurité global tout en priorisant les investissements qui permettent à votre équipe de gagner du temps et de l'espace peut s'avérer utile. Trouver un équilibre entre cette approche et les exigences de conformité, qui, par nature, encouragent la mise en place sélective de plafonds de sécurité élevés, contribuera encore davantage à la protection de votre environnement. En fait, je crois que cet équilibre est essentiel. uniquement méthode efficace de réduction des risques dans les environnements actuels.
Il est important de privilégier les investissements offrant un effet de levier, une couverture étendue et un contrôle centralisé afin de réduire les risques à grande échelle. En gardant ces principes à l'esprit, les organisations pourront sécuriser efficacement leurs identités et anticiper l'évolution des menaces sans se laisser submerger par la complexité.
Pour les responsables de la sécurité, le défi est clair : construire une base solide, investir dans des solutions de sécurité évolutives et garantir que vos efforts de sécurité achètent le temps et l'espace nécessaires pour garder une longueur d'avance sur le paysage des menaces d'identité.