Les 10 commandements de la sécurité des identités 

Un manifeste moderne pour la protection de l'accès humain et non humain dans un monde Zero Trust
Silverfort Image(s)
10-commandements
Table des Matières

Partager cet article:

Dans de nombreuses organisations, la sécurité des identités est encore considérée comme une fonction opérationnelle plutôt qu'un impératif stratégique. Cela s'explique en grande partie par le fait que les programmes d'identité ont historiquement été centrés sur la gestion des identités et des accès (plateformes IAM) — provisionnement des utilisateurs, gestion des répertoires et activation de l'authentification unique (SSO).

Bien que l'IAM soit un composant fondamental, il n'est pas synonyme de sécurité d'identité.

Les équipes de sécurité partent souvent du principe que la mise en œuvre d'une solution IAM garantit la sécurité de la couche identité. Or, la sécurité des identités exige bien plus que cela : visibilité sur toutes les identités (y compris les identités non humaines) dans l'ensemble de leur environnement hybride, application du principe du moindre privilège, vérification continue des accès et détection des menaces. identifiants compromis.

Entre-temps, les attaquants se sont adaptés. Ils ne s'introduisent plus par effraction : ils se connectent, utilisent des identifiants volés ou détournés, exploitent des accès surprovisionnés ou abusent de données non gérées. comptes de service.

Pour réagir efficacement, les équipes d’identité et de sécurité doivent repenser la sécurité des identités comme une couche de défense unifiée et continue. — une solution qui couvre l’accès humain et non humain, sur site et dans le cloud, les signaux de risque en temps réel et l’automatisation.

At SilverfortNous pensons que ces 10 commandements de la sécurité des identités constituent cette base stratégique. Que vous soyez un RSSI en train de concevoir une Zero Trust modèle ou un ingénieur d'identité s'attaquant aux risques quotidiens, ces commandements (également appelés principes) vous aideront à faire mûrir votre programme de sécurité des identités et à établir une confiance durable dans toute votre entreprise.

Le manuel de sécurité des identités

Votre plan d'action en 5 étapes pour une stratégie de sécurité des identités durable

Commencer
Playbook (1)

1. Connais ton identité (Tu connaîtras ton identité)

Comprenez et inventoriez chaque identité, humaine et non humaine, dans votre environnement.

L'entreprise moderne est un réseau complexe d'utilisateurs, d'appareils, d'applications, d'API et de scripts d'automatisation. Sans une visibilité complète sur ces identités et leurs droits, il est impossible de les protéger.

Exemple :
Une entreprise découvre qu'elle possède plus de 4 000 comptes de service, dont seulement 2 500 sont activement utilisés. Les autres, oubliés depuis longtemps, bénéficient toujours d'un accès privilégié.

Leçon:
Commencez par la découverte. Si vous ne pouvez pas le voir, vous ne pouvez pas le sécuriser.

Graphique d'identité et inventaire

2. Adopter le moindre privilège (Tu adopteras l'accès au moindre privilège)

Accordez l’accès minimum nécessaire, rien de plus.

De nombreuses violations surviennent parce que des utilisateurs ou des systèmes conservent des accès dont ils n'ont plus besoin. Le principe du moindre privilège minimise le risque de mouvements latéraux en limitant l'accès à l'essentiel. Cette approche est essentielle à votre stratégie globale de gestion de la posture, car elle vous permet d'identifier et de corriger les erreurs de configuration, d'utiliser l'intelligence corrélée pour analyser les privilèges et d'améliorer l'intégrité globale de vos identités.

Exemple :
Un stagiaire hérite de l'accès au code source de l'organisation en raison d'une duplication de rôles. Cet accès reste actif même après avoir quitté l'entreprise.

Leçon:
Concevez l’accès de manière à ce qu’il soit spécifique au rôle, limité dans le temps et sensible au contexte, et non hérité ou permanent.

3. Authentifier et appliquer avec force (Tu authentifieras avec force)

Allez au-delà des mots de passe pour des mots de passe sécurisés, adaptables et authentification basée sur les risques.

La sécurité par mot de passe ne suffit plus. Mettez en place une protection anti-hameçonnage. authentification multi-facteurs (MFA) et appliquez des politiques qui s'adaptent en fonction du type d'appareil, de l'emplacement et du comportement de l'utilisateur.

Exemple :
Un utilisateur financier tente de se connecter depuis un appareil inconnu à l'étranger. Le système lance l'authentification multifacteur biométrique et déclenche un processus d'approbation.

Leçon:
Efficace à partir de protocoles d'authentification est transparent pour les utilisateurs légitimes et impénétrable pour les attaquants.

4. Assumer un compromis (Tu assumeras une violation et tu concevras un compromis)

Concevez vos systèmes d’identité en anticipant des compromis.

Le Zero Trust repose sur le principe qu'aucune identité ne doit être considérée comme fiable par défaut. Les systèmes doivent vérifier les identités en permanence et détecter les comportements anormaux afin de réduire le temps d'attente et d'atténuer les dommages.

Exemple :
Une clé AWS est publiée accidentellement sur GitHub. Une analyse comportementale automatisée détecte toute activité anormale et révoque immédiatement la clé.

Leçon:
Considérez la détection et le confinement comme aussi importants que la prévention.

5. Gouverner le cycle de vie de l'identité (Tu gouverneras rigoureusement le cycle de vie de l'identité)

Automatisez et orchestrez la gestion des identités de l'intégration à la sortie.

Les processus d'identification manuels sont lents, sujets aux erreurs et risqués. Automatisez l'attribution, l'ajustement et la révocation des accès en fonction des changements de rôle ou de statut professionnel.

Exemple :
Le départ d'un employé déclenche un processus de déprovisionnement automatisé, révoquant tous les accès aux systèmes en quelques minutes.

Leçon:
La sécurité dépend de la précision, et la précision dépend de l’automatisation.

6. Sécuriser les identités non humaines (Tu sécuriseras également les identités non humaines)

Traitez les comptes de service, les API et les robots avec la même rigueur que les utilisateurs humains.

Identités non humaines Les personnes sont désormais plus nombreuses que les humains dans de nombreuses entreprises. Ces entités bénéficient souvent de privilèges élevés, mais sont soumises à une surveillance bien moindre.

Exemple :
Un script hérité utilise des identifiants codés en dur qui n'ont pas été renouvelés depuis plus de deux ans. Ces identifiants donnent accès à des bases de données sensibles.

Leçon:
Identités des machines sont également des cibles. Ils ont besoin de gouvernance, de rotation et de visibilité.

Sécurité des identités non humaines

Chaque assurance maladie nationale (NHI) – en vue et sous contrôle

  • Découvrez automatiquement chaque NHI dans vos environnements.
  • Cartographier leurs activités et établir des lignes de base.
  • Contrôler et clôturer leur activité.
Voir nos services
Sécurité NHI@2x

7. Vérifier l'accès en continu (Tu vérifieras l'accès en continu)

L’accès doit être temporaire par défaut et régulièrement réévalué.

Ce qui était approprié hier peut être excessif aujourd'hui. Mettez en œuvre des contrôles d'accès, une révocation dynamique et des déclencheurs de réauthentification pour garantir que seuls les bons utilisateurs disposent des accès appropriés au bon moment.

Exemple :
Un développeur bénéficie d'un accès temporaire aux journaux de production pour un projet d'une semaine. Le système révoque automatiquement l'accès après 7 jours, sauf renouvellement.

Leçon:
La confiance doit être gagnée – et reconquise – en permanence.

8. Appliquer la politique avec l'automatisation (Tu appliqueras la politique avec l'automatisation)

Utilisez le contexte en temps réel et l’automatisation pour piloter les décisions d’accès.

Les autorisations d'accès manuelles ne sont pas évolutives. Des politiques dynamiques, basées sur les risques, doivent guider leur application en fonction du comportement de l'utilisateur, de l'heure, de la localisation et de la situation de risque de l'appareil.

Exemple :
Un prestataire, qui se connecte généralement depuis un ordinateur portable fourni par l'entreprise et se déconnecte avant 4h00 AEST, tente d'accéder à un référentiel de code source sensible depuis un appareil personnel à 11h30. Un moteur de règles détecte l'activité inhabituelle en fonction de l'historique de l'utilisateur, signale l'anomalie et déclenche une authentification renforcée. En cas d'échec de l'authentification multifacteur, le système bloque l'accès et avertit l'équipe de sécurité en temps réel.

Leçon:
L'application des politiques en temps réel permet aux organisations de détecter les anomalies avant qu'elles ne deviennent des incidents, avec la rapidité et la précision que les examens manuels ne peuvent pas offrir.

9. Protéger l'infrastructure d'identité (Tu protégeras l'infrastructure d'identité)

Sécurisez et surveillez les plateformes qui gèrent l'identité avec une plateforme unique qui peut s'intégrer à tout type de infrastructure d'identitéIl doit être indépendant du fournisseur, léger et vous offrir un plan de contrôle unique pour découvrir, gérer et protéger l'ensemble de votre structure d'identité et les identités qu'elle contient.

Les fournisseurs d'identité (IdP), les services de fédération, les contrôleurs de domaine et les outils d'accès privilégiés sont des actifs de niveau 0. S'ils sont compromis, tout en aval est menacé. De plus, toute identité peut constituer un point d'entrée pour les attaquants. Utilisez des solutions légères et faciles à déployer pour visualiser et analyser toutes les identités sur tous les systèmes.

Exemple :
L'accès administrateur au fournisseur d'identité est restreint grâce à l'authentification multifacteur (MFA) basée sur FIDO2. Toutes les modifications sont enregistrées et surveillées en temps réel.

Leçon:
Votre infrastructure d'identité est le joyau de la couronne : traitez-la comme telle en regroupant toutes les données d'identité dans une vue unique, facile à corréler et à analyser.

10. Alignez-vous sur les normes et les cadres (Tu t'aligneras sur les cadres et les normes de sécurité)

Utilisez des cadres établis pour évaluer, guider et faire mûrir votre stratégie d’identité.

Des normes telles que NIST 800-63, NIST 800-207 (Zero Trust), ISO/IEC 27001 et CIS Controls fournissent une structure pour améliorer la maturité de l'identité et démontrer la conformité.

Exemple :
Une entreprise multinationale adapte ses politiques de contrôle d'accès à la norme NIST 800-207 et utilise CIS Controls v8 pour l'audit et la création de rapports.

Leçon:
Les cadres sont votre boussole, pas une liste de contrôle de conformité.

Un appel à vivre selon les nouvelles règles de l'identité

L’identité n’est plus seulement une composante de la cybersécurité.c'est de la cybersécurité.

Pour réussir dans un monde Zero Trust, les organisations doivent sécuriser l’accès humain et non humain avec la même diligence.

Ces 10 commandements servent de modèle pratique pour faire évoluer votre posture de sécurité des identités, de la visibilité et de la gouvernance à l’application et à l’automatisation.

At SilverfortNous permettons aux organisations de mettre en œuvre ces principes à grande échelle. Notre plateforme étend la sécurité des identités aux actifs et aux environnements où les technologies traditionnelles Outils GIA sont insuffisants, notamment en ce qui concerne les systèmes hérités, les interfaces de ligne de commande et les applications non fédérées.

Car si vous ne pouvez pas sécuriser l’identité, vous ne pouvez pas sécuriser l’entreprise. En savoir plus sur le Silverfort chemin par en visite ici.

Nous avons osé aller plus loin dans la protection de l’identité.

Découvrez les possibilités qui s’offrent à vous.

Demandez une démo pour voir le Silverfort Plateforme de sécurité des identités en action.

Démo