L’époque où la sécurité du périmètre était au cœur des défenses de cybersécurité est révolue depuis longtemps. Aucune organisation ne serait prise sans pare-feu et antivirus pour détecter les attaques peu sophistiquées, mais la vraie bataille pour protéger le réseau est passée au domaine de la gestion des identités et des accès (IAM).

[5 étapes pour un contrôle d’accès basé sur les rôles simple (RBAC) | Inscrivez-vous aux newsletters des OSC! ]

La sécurité du périmètre a perdu de son importance car les entreprises n’ont plus beaucoup de périmètre matériel. La plupart ont migré vers le cloud et ajoutent rapidement des applications et des services au besoin pour aider leurs employés et leurs clients dans le nouveau monde de la connectivité toujours active et toujours disponible. Si cette situation a rendu la plupart des organisations plus agiles et plus efficaces, elle les a également exposées à des risques considérables.

Sans contrôles IAM stricts, il est facile de perdre la trace des milliers d’identités opérant au sein du réseau d’une entreprise moderne. Chaque utilisateur peut avoir plusieurs identités, et les entités non humaines telles que les applications et les programmes détiennent également diverses identités et autorisations. Selon une étude, la plupart des organisations supervisent en moyenne 40000 autorisations réparties sur les quatre principales plates-formes cloud: Amazon Web Services, Google Cloud Platform (GCP), Microsoft Azure et VMware. Beaucoup de ces comptes sont sur-autorisés, ne nécessitant qu’environ 10% des autorisations qu’ils détiennent actuellement. D’autres identités peuvent ne pas être utilisées du tout car elles appartiennent à des employés qui ont quitté l’organisation ou des applications qui ne sont plus utilisées.

Les attaquants en ont pris note, la plupart des attaques avancées tentant désormais activement de compromettre les comptes inutilisés ou surautorisés pour contourner la sécurité. En fait, le rapport d’enquête 2020 de Verizon sur les violations de données a révélé que plus de 80% des violations liées au piratage cette année-là impliquaient l’utilisation d’identifiants perdus ou volés. La plupart des violations de haut niveau les plus récentes, comme l’attaque SolarWinds, ont utilisé des identités compromises et des privilèges élevés pour contourner les défenses de cybersécurité.

Les outils IAM identifient et confirment les utilisateurs, les applications et les appareils. Ils accordent ensuite les autorisations et autorisations appropriées. Ils forment l’épine dorsale de la cybersécurité moderne, en particulier dans le cloud. Les outils IAM avancés analysent les privilèges qui fournissent ou orchestrent les capacités basées sur le cloud et sur le réseau. Ils établissent et appliquent également des politiques et des procédures qui s’appliquent aux groupes d’utilisateurs qui incluent les rôles, les responsabilités et les détails de leurs tentatives d’accès.

En fait, IAM est la clé d’un réseau de confiance zéro, où les utilisateurs et les appareils ne sont pas approuvés par défaut. La confiance zéro ne peut pas fonctionner sans une solide gestion des identités et des accès. L’identité est devenue un nouveau type de sécurité de périmètre, car peu importe où un actif existe, y accéder nécessite une identité avec les autorisations appropriées. Verrouiller cela avec des outils IAM solides peut garantir la sécurité des actifs, quel que soit le nombre de clouds constituant le réseau d’une organisation ou le nombre d’identités qu’elle gère.

Le domaine IAM évolue rapidement. Les entreprises souhaitent mettre en œuvre l’IAM, mais recherchent des solutions compatibles avec leurs actifs existants, y compris des systèmes hérités ainsi que des déploiements cloud modernes. Ils veulent également toutes les fonctionnalités IAM en un seul endroit, pouvant être gérées à partir d’un soi-disant panneau de verre unique.

Cela a conduit à beaucoup de consolidation sur le marché, Okta achetant Auth0 et SailPoint achetant ERP Maestro. Ainsi, que ce soit en développant davantage leurs plates-formes ou en acquérant des fonctionnalités d’anciens concurrents, la plupart des packages IAM offrent aujourd’hui des fonctionnalités plus robustes qu’il y a à peine quelques années.

Voici quelques-unes des principales entreprises travaillant dans le domaine IAM, les caractéristiques spéciales de leurs outils et plates-formes IAM, et les raisons pour lesquelles les organisations comptent sur elles pour protéger leurs réseaux tentaculaires basés sur le cloud et la quantité massive d’identités et d’autorisations que cela nécessite.

Plateforme de gestion des autorisations CloudKnox La plateforme de gestion des autorisations CloudKnox a été conçue pour gérer les identités dans les clouds. Au cœur de la plate-forme se trouve le moteur d’autorisation basé sur l’activité qui utilise l’apprentissage automatique pour collecter et analyser l’activité des utilisateurs et des entités non humaines en temps réel sur toutes les plates-formes cloud.

En plus de rechercher une activité anormale qui pourrait indiquer une menace ou un compromis, toutes ces données sont également introduites dans l’indice de fluage des privilèges de la plate-forme. L’index recueille des informations sur les identités dans toute l’entreprise et les note en fonction du nombre d’autorisations dont elles disposent par rapport au nombre d’autorisations dont elles ont besoin pour effectuer leurs tâches ou fonctions. Cela permet d’identifier facilement les identités à risque et de prendre des mesures pour réduire leurs autorisations avant qu’elles ne soient exploitées.

CyberArkCyberArk est rapidement devenu un leader dans le domaine de l’IAM. Il décompose la gestion des identités et la gestion des accès d’IAM en plusieurs offres afin que les clients puissent déployer exactement le type d’IAM dont ils ont besoin sans avoir à installer et à maintenir quoi que ce soit qui ne soit pas utile pour leur organisation. Par exemple, la gestion des identités et des privilèges est offerte via Privileged Access Manager, Vendor Access Manager, Cloud Entitlements Manager et les produits Endpoint Privilege Manager. Le contrôle d’accès est offert via la Workforce Identity Platform pour gérer les employés internes et la Customer Identity Platform pour les organisations avec des utilisateurs externes ou celles qui exécutent quelque chose comme un site de commerce électronique.

En plus des plates-formes IAM personnalisées pour les environnements de production, CyberArk apporte également cette protection aux devsecops. Des outils tels que Conjur Secrets Manager Enterprise, Conjur Secrets Manager Open Source et Credential Providers permettent aux organisations de contrôler la manière dont les identités accéderont aux applications et aux bases de données de l’entreprise pendant que le code est encore en cours d’écriture. De cette façon, au moment où les applications sont publiées dans un environnement de production, elles sont déjà protégées contre l’exploitation par les vulnérabilités IAM.

Bien que ForgeRock propose des déploiements IAM traditionnels, elle a également été l’une des premières entreprises à fournir une gestion complète des identités en tant que service via sa plate-forme Identity Cloud. Les services fonctionnent dans n’importe quel environnement hybride ou cloud. En fait, bien que la plate-forme soit conçue pour fonctionner dans le cloud, ForgeRock permet également d’étendre facilement cette même protection à tous les actifs physiques, ou actifs pouvant exister dans de nombreux endroits différents. La plate-forme peut être utilisée pour protéger des actifs tels que les appareils Internet des objets (IoT), les API et d’autres services.

La plate-forme peut également vérifier les problèmes de conformité dans divers secteurs. Non seulement les identités sont entièrement sécurisées, mais également vérifiées pour garantir la conformité réglementaire. Il offre des options de sécurité supplémentaires pour les utilisateurs via un programme de connexion unique ou en ajoutant une authentification multifactorielle.

Microsoft Azure Active Directory Un noyau de l’offre de Microsoft dans le domaine IAM est Azure Active Directory (Azure AD), qui fonctionne dans le cloud et peut être étendu aux appareils physiques. Il est également conçu pour être déployé dans tout un centre de données si nécessaire. Selon Microsoft, plus de 200 000 clients utilisent Azure AD pour protéger 425 millions d’utilisateurs. La plateforme traite en moyenne 30 milliards d’authentifications par jour, ce qui en fait l’une des plus importantes au monde. Microsoft a créé de nombreux modèles de cas d’utilisation courants pour l’outil afin que la plupart des organisations puissent faire glisser et déposer une configuration IAM existante en place et être prêtes à l’emploi avec seulement des personnalisations mineures.

Azure AD automatise les flux de travail et peut fournir aux utilisateurs authentifiés un accès aux données et aux applications qu’ils utilisent de n’importe où dans le monde, quel que soit l’appareil qu’ils utilisent. Il prend également en charge l’authentification unique (SSO), l’accès conditionnel et l’accès juste à temps comme base d’un réseau sans confiance.

OktaOkta a récemment acheté son principal rival dans l’espace IAM, Auth0, pour un montant de 6,5 milliards de dollars, il est donc prudent de dire qu’ils sont sérieux au sujet de l’amélioration de leur plate-forme. Okta divise ses outils IAM en de nombreuses offres différentes qui peuvent être regroupées sous une plate-forme unique adaptée aux besoins des clients. Les produits individuels incluent l’authentification unique, l’authentification, la gestion des utilisateurs, l’intégration B2B, l’accès avancé au serveur, la gestion de l’accès aux API, l’annuaire universel et la gestion du cycle de vie.

La plate-forme Okta IAM est connue comme l’une des meilleures pour apprivoiser l’identité des entreprises acquises par le biais de fusions et d’acquisitions. Lorsqu’une entreprise en rachète une autre, elle hérite de toutes les autorisations excessives, des utilisateurs inactifs et des outils IAM hérités de l’autre organisation. Les outils Okta peuvent consolider et centraliser les répertoires, automatiser les processus informatiques et sécuriser rapidement les identités des entreprises récemment acquises afin qu’aucune vulnérabilité critique ne soit associée à la vente.

OneLogin Trusted Experience Platform La Trusted Experience Platform de OneLogin est conçue pour fournir l’IAM aux entreprises ou organisations de la manière la plus économique possible. Même s’ils sont auto-facturés comme l’option budgétaire dans IAM, les outils qu’ils offrent, y compris la capacité de gérer les identités internes, des partenaires et des clients, ont été testés et éprouvés dans des évaluations par des sociétés de recherche tierces comme Gartner.

L’une des clés du succès de la plate-forme est que ses fonctionnalités sont séparées afin que les clients puissent ajouter les composants d’IAM dont ils ont besoin exactement dans les nombres dont ils ont besoin en utilisant une tarification à la carte. Cela rend IAM accessible, par exemple, aux petites entreprises avec seulement quelques employés qui ont besoin de protéger leurs données en interne. Ils peuvent ensuite se développer au fil du temps à mesure qu’ils ajoutent de nouveaux employés, clients, technologies et partenaires.

Plateforme d’identité intelligente Ping Identity La plateforme d’identité intelligente Ping est conçue pour faire évoluer les organisations vers un environnement plus sécurisé jusqu’à un véritable réseau de confiance zéro. La plate-forme se compose d’un ensemble d’outils généralisés tels que SSO ou l’authentification multifactorielle (MFA) ainsi que d’outils hautement spécialisés qui effectuent des tâches telles que l’amélioration de la sécurité des plates-formes Zoom, Slack et Concur.

L’un des aspects les plus innovants de la plate-forme d’identité Ping est Ping Zero, qui est conçu pour aider à éliminer la plupart des mots de passe d’une organisation sans compromettre la sécurité. Ping Zero peut évaluer les politiques de risque, la biométrie, les paramètres de l’appareil et d’autres facteurs pour déterminer si un utilisateur est bien celui qu’il prétend être, qu’il s’agisse d’un employé interne, d’un partenaire ou d’un client potentiel. Sur la base du score de risque généré et de ce que l’utilisateur tente de faire, il peut être mis au défi de prouver davantage son identité, son accès autorisé ou même expulsé si Ping Zero détermine qu’il est invalide.

SailPointSailPoint adopte une approche métier et centrée sur l’entreprise pour toutes ses offres IAM. Des programmes tels que sa plateforme SailPoint Predictive Identity combinent des outils tels que la gestion des accès, la gouvernance des identités, le SSO et la gestion des accès privilégiés (PAM) sous un même parapluie. Une autre partie de sa proposition IAM consiste à s’assurer que les politiques de gestion des accès pour ses clients professionnels sont également conformes aux lois réglementaires pertinentes telles que la loi Sarbanes-Oxley (SOX), la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA) ou le règlement général sur la protection des données ( RGPD).

En tant que facteur de différenciation majeur par rapport à bon nombre de ses concurrents, SailPoint applique également l’IAM à des besoins commerciaux avancés tels que la séparation et la séparation des exigences des tâches (SoD). De nombreuses entreprises ont besoin de plus d’une personne pour approuver les modifications apportées à certains programmes, comme ceux impliqués dans la planification des ressources d’entreprise ou les plates-formes financières. De nombreuses plates-formes IAM n’en tiennent pas compte. La solution de SailPoint vérifie chaque demande d’accès aux systèmes critiques pour les violations SoD. En fait, SailPoint a récemment acquis ERP Maestro pour renforcer ses capacités dans ce domaine.

John Breeden II est un journaliste et critique primé avec plus de 20 ans d’expérience dans le domaine de la technologie. Il est le PDG du Tech Writers Bureau, un groupe qui crée du contenu de leadership éclairé technologique pour les organisations de toutes tailles.

Ref: https://www.csoonline.com