Gérer l’ensemble du cycle de vie de l’authentification humaine et machine

Dans mon dernière colonne pour CIO.comj’ai décrit certains des problèmes de cybersécurité liés à l’authentification des utilisateurs pour la vérification des comptes des particuliers et des entreprises.

Entre autres choses, j’ai préconisé qu’en cette ère de travail à distance/hybride, les RSSI doivent protéger l’accès de leur entreprise aux données en ayant un plan de cyberattaque prêt à être mis en œuvre, en comprenant les nouveaux outils et tactiques que les cybervoleurs utilisent et en étant conscients des nouveaux Technologies basées sur l’IA qui peuvent réduire les risques de cybersécurité. Mais avant tout, j’ai souligné que pour mieux protéger leurs organisations, les RSSI devaient adopter (s’ils ne l’avaient pas déjà fait) certaines des technologies évolutives de gestion des identités et des accès proposées par une multitude d’entreprises émergentes.

Les réponses d’autres professionnels de l’industrie ont généralement convenu qu’il y avait des problèmes autour de l’authentification, y compris l’authentification multifacteur (MFA), mais certains ont demandé : « FIDO n’est-il pas censé éliminer les risques de tout cela ? N’a-t-il pas Alliance FIDO vient d’annoncer de nouvelles directives UX pour accélérer l’adoption de MFA avec les clés de sécurité FIDO ? » Eh bien, oui, mais les professionnels de la technologie peuvent faire plus. J’expliquerai plus ci-dessous.

Pourquoi FIDO ?

FIDO car une initiative de l’industrie a été mise en place il y a dix ans pour normaliser le besoin de technologies d’authentification/mot de passe solides. Il s’agit essentiellement d’un ensemble plus solide de mesures d’authentification de sécurité, essentiellement une meilleure « prise de contact » de sécurité entre l’appareil et un service tiers. Les entreprises de l’alliance comprennent des membres du conseil d’administration comme Apple, Amazon, Meta, Microsoft, Google et d’autres gros frappeurs technologiques. Ensemble, ils cherchent à résoudre les problèmes causés par les utilisateurs qui doivent créer, gérer et mémoriser plusieurs noms d’utilisateur et mots de passe.

Bien que ces initiatives soient excellentes, elles ne font que résoudre un problème d’authentification entre l’appareil et le service final. FIDO fournit une authentification transparente et sécurisée à un service à partir d’un navigateur, de votre téléphone ou d’une application. Mais la réalité est qu’il s’agit d’une authentification par appareil, pas humaine. Il y a encore une étape sur le front-end, où l’utilisateur doit s’authentifier avec l’appareil, et cela peut être compromis.

Identité et accès – le défi de l’authentification des utilisateurs

Par exemple, en utilisant l’accès à la reconnaissance faciale de mon téléphone, mes enfants peuvent tenir mon téléphone devant mon visage, et boum, ils y ont accès. Toute la protection supplémentaire fournie par FIDO vient d’être anéantie. Mes enfants auraient pu utiliser (et abuser) mes comptes. Heureusement, je les ai bien élevés. Ou du moins je l’espère !

De plus, quelqu’un pourrait créer une fausse identité me représentant sur son appareil. À partir de ce moment, le service tiers pense que je suis l’utilisateur car l’appareil ou le navigateur a été authentifié, même s’il s’agit en réalité d’un pirate informatique qui a détourné mon identité pour configurer l’appareil.

Évidemment, il y a encore besoin d’une couche d’authentification continue et gestion de l’identité des utilisateurs pour aider à se protéger contre ces exploits. Il s’agit d’identifier l’utilisateur par rapport à la machine sur une base continue, pas seulement lors de la configuration ou de la connexion. Comment pouvons-nous mieux identifier qui sont nos véritables utilisateurs, tout en éliminant les anciens utilisateurs (employés et sous-traitants) des rangs de ceux qui ont accès à certains des systèmes les plus critiques ?

C’est là que je pense que certains des nouveaux produits issus du monde des start-up seront très bénéfiques pour protéger nos organisations.

L’homme contre la machine

La résolution du problème d’identité et d’authentification des utilisateurs humains n’est qu’une partie du problème. Un article récent dans Affaires de sécurité note que « alors que les gens ont besoin de noms d’utilisateur et de mots de passe pour s’identifier, les machines doivent également s’identifier les unes aux autres. Mais au lieu de noms d’utilisateur et de mots de passe, les machines utilisent des clés et des certificats qui servent de identités des machines afin qu’ils puissent se connecter et communiquer en toute sécurité. Ceux-ci peuvent également être compromis par des pirates.

La gestion de l’identité des appareils utilisés dans les services cloud, les applications SaaS et d’autres systèmes devient peut-être un problème encore plus important. Les organisations configurent souvent un nouveau service Web, créent une identité pour celui-ci et les actifs informatiques qui lui sont associés, et une fois qu’il est opérationnel, le personnel informatique ne se précipite probablement pas pour modifier ou mettre à jour les configurations de sécurité sur ces systèmes. Une fois les dépendances initiales établies entre les appareils, il devient beaucoup plus difficile de rompre ou de mettre à jour ces relations complexes.

Cependant, un bon sens de la sécurité déterminerait que ceux-ci devraient être actualisés, ce qui peut être un énorme problème de gestion. Par conséquent, les informations d’identification plus anciennes et obsolètes deviennent une cible plus facile à attaquer.

Les pirates exploitent de plus en plus les informations d’identification des machines, et non des humains, pour lancer leurs attaques. Tout comme tromper d’autres humains, les pirates peuvent tromper d’autres machines pour qu’elles transmettent des données sensibles. Selon Security Affairs, étant donné que les identités des machines sont les parties les moins comprises et les moins protégées des réseaux d’entreprise, il n’est pas surprenant que les cybercriminels les exploitent de manière agressive. De Stuxnet à SolarWinds, les attaquants abusent de plus en plus des identités de machines non protégées pour lancer diverses attaques. En fait, au cours des quatre dernières années, les menaces ciblant les identités de machines faibles ont augmenté de 400 %.

Ceci est une grosse affaire.

La plus grande image

En fin de compte, à mesure que les entreprises continuent d’étendre leur utilisation des services numériques hybrides et multi-cloud, plus il y aura d’entités humaines et machines à gérer.

Les DSI doivent diriger les équipes d’exploitation informatique pour assurer la gestion de l’ensemble du cycle de vie des identités et des accès pour les humains et les machines. Cela impliquera probablement de nouveaux outils connectés à l’IA qui gèrent de manière transparente l’intégration, la détection et l’automatisation. Ces outils peuvent également limiter ou étendre l’accès à certaines fonctions pour le personnel humain et les actions automatisées, améliorant la sécurité tout en réduisant les coûts en supprimant les licences de compte inutiles.

De plus, ces solutions combleront un vide qui crée encore aujourd’hui des maux de tête majeurs en matière de conformité et de reporting. Construire une piste d’audit complète dans vos systèmes existants est un début. Avec les automatisations déjà en place, le personnel informatique peut alors mieux gérer la gouvernance.

Qu’ils soient prêts ou non, les DSI et les RSSI doivent s’adapter à l’évolution du paysage de la gestion des identités et des accès pour adopter une stratégie holistique ou risquer des failles de sécurité, une non-conformité et des amendes coûteuses.