Identité et sécurité

La sécurité est une question globale.

L’approche de la sécurité n’a pas beaucoup évolué depuis l’époque romaine. L’idée sous-jacente à la défense en profondeur est de créer des anneaux concentriques de sécurité autour des biens sensibles à protéger, chaque anneau étant conçu pour ralentir et potentiellement affaiblir l’attaque de l’ennemi jusqu’à ce qu’il soit repoussé ou à tout le moins détecté. Nous connaissons tous les structures des châteaux-forts, douves, ponts-levis et les donjons. Aujourd’hui, les défenses des systèmes d’information modernes équivalentes se nomment sécurité physique, pare-feu, authentification et contrôles d’accès logique.

Mais aujourd’hui, les compromissions de données sensibles sont massives, quasi-quotidiennes et affectent des organisations qui avaient, pour la plupart, des protections défensives classiques en place et opérationnelles. S’ils ne remettent pas définitivement en cause le modèle en couches défensives pour tenir les ennemis à distance, les exemples récents prouvent néanmoins que ces méthodes ne sont pas suffisantes quand l’attaquant arrive à franchir la muraille du château. Cette défense a l’inconvénient de ressembler à une friandise croquante à l’extérieure mais onctueuse à l’intérieur : passé la coquille externe, il n’y a plus de résistance à l’intérieur.

Pour pousser la métaphore culinaire un peu plus loin, la sécurité sur le modèle de la défense en profondeur est comme la pâtisserie : si vous oubliez d’ajouter le sucre pendant la réalisation d’un gâteau, personne ne va s’en apercevoir. Jusqu’au moment où les invités le goûtent, mais là, c’est trop tard. Un hacker est généralement quelqu’un qui a un haut niveau d’expertise technique et souvent d’excellentes connaissances en ingénierie sociale. Un hacker est souvent patient et dispose de plus de temps que ses victimes potentielles. Il a donc de nombreuses cordes à ses multiples arcs et est donc capable de percer de nombreuses défenses, si celles-ci sont accessibles et vulnérables. Et une fois dans la place, il va se déplacer dans les réseaux subrepticement, en laissant le minimum de traces ou en les effaçant le cas échéant.

Le modèle de défense en profondeur repose donc sur 2 principes : empêcher l’intrusion et freiner la progression des attaquants par la mise en place de barrières successives. Mais une fois qu’un attaquant arrive à subtiliser des identifiants valides, donc à passer tout ou partie de ces obstacles, ce modèle considère qu’il n’y a aucune raison d’être méfiant et donc que tout est autorisé (ou presque). Dans ces conditions, la moindre erreur ou le moindre acte délibéré prend des proportions gigantesques pouvant aller jusqu’à la destruction totale de l’organisation attaquée. Il est donc temps de faire évoluer les méthodes et les moyens en matière de sécurité et de complémenter les stratégies traditionnelles de défense en profondeur par des solutions plus efficaces.

La sécurité c’est d’abord et avant tout une affaire d’état d’esprit et de méthodes ; les solutions et produits ne sont là que pour implémenter une stratégie et outiller des processus. En revanche, la conjugaison judicieuse de solutions performantes permet de concevoir et déployer des infrastructures de sécurité fiables et robustes qui répondent aux défis de sécurisation des SI actuels. L’idée centrale est de compléter la défense en profondeur par des solutions d’IAM modernes de manière à bâtir des plates-formes de sécurité contextuelles.

Par exemple, les accès pour les utilisateurs, les partenaires et sous-traitants depuis l’extérieur du périmètre physique de l’entreprise sont normalement réalisés par l’intermédiaire d’une solution de VPN. Or, réduire l’accès au donjon à la fourniture d’un couple [identifiant, mot de passe] valide est légèrement optimiste pour les temps qui courent. Par ailleurs, par conception, un VPN est l’une des couches de sécurité les plus largement utilisées dans de nombreuses attaques puisque c’est une porte avec une enseigne lumineuse marquée ‘Entrée’ sur la façade numérique de l’entreprise. La connaissance fine de l’identité du visiteur permettra à un VPN enrichi par identité de déterminer si une tentative de connexion est légitime ; l’analyse comportementale de cet utilisateur, la géolocalisation, les caractéristiques du poste utilisé sont quelques-uns des aspects qui peuvent aider à décider de manière adaptative d’autoriser ou pas un utilisateur à entrer.

De manière similaire, l’authentification unique (SSO) est plus qu’une simple commodité pour l’utilisateur, mais devrait être un véritable pilier d’un dispositif de sécurité moderne. En effet, une solution de SSO intégrée dans une plate-forme unique de gestion de la sécurité sera capable non seulement d’authentifier automatiquement les utilisateurs mais aussi de traiter chaque connexion avec une sécurité adaptative basée sur la connaissance de l’utilisateur fournies par son identité. De cette manière, les droits attribués à chaque utilisateur sont ajustés en fonction des besoins et du niveau de risque perçu dynamiquement.

L’approche traditionnelle de la sécurité n’est aujourd’hui plus suffisante, même si elle permet toujours de tenir les ennemis à une certaine distance. Il est possible aujourd’hui de passer d’une stratégie classique de défense en profondeur à une approche moderne qui englobe la gestion des identités et l’analyse comportementale. En effet, se demander si le SI dont on a la responsabilité va être attaqué voire compromis n’est plus légitime ; la bonne question est « quand ? Et avec quels dégâts ? » puisqu’il faut malheureusement considérer que l’ennemi est déjà potentiellement dans l’entreprise.

Avec des solutions permettant de gérer l’authentification des collaborateurs (Systancia Access), leurs identités et habilitations (Systancia Identity), leurs interfaces d’accès (Systancia Workplace) et leurs accès réseaux privés (Systancia Gate), qu’il s’agisse d’utilisateurs à pouvoirs (Systancia Cleanroom) ou non, Systancia se positionne comme le seul éditeur du marché à proposer l’ensemble de la chaîne de confiance de bout en bout pour une défense moderne et intégrée.