C’est toujours un défi majeur de garder une trace des identités numériques des tiers et de gérer leurs accès et autorisations dans votre propre réseau sans perturber les activités quotidiennes. Un commentaire d’Andrew Silberman, directeur du marketing produit chez Omada.
Cependant, il faut faire face à la tâche, car si vous ne savez pas si une identité est toujours nécessaire et de quels droits d’accès elle dispose, vous risquez que ce compte orphelin devienne une faille de sécurité. L’accumulation d’autorisations pour des comptes d’employés individuels et actifs peut également devenir un risque. En ce qui concerne les sociétés tierces, telles que les partenaires, les fournisseurs, etc., il est encore plus important de toujours contrôler qui est autorisé à accéder au réseau et comment.
Cette gestion des tiers devient encore plus difficile lorsque les fournisseurs tiers avec lesquels vous contractez emploient des fournisseurs tiers. De plus, il faut s’assurer que les identités tierces se voient accorder des droits d’accès suffisants dès le premier jour pour être productives, mais le jour de la fin de leurs contrats, l’accès doit être rapidement supprimé pour éviter de violer la loi applicable violée En raison de cette variété d’obstacles, les systèmes de surveillance décentralisés dans le domaine de la gestion des identités et des accès (IAM) ne sont d’aucune aide car il n’y a pas de contrôle uniforme. Une solution de sécurité centralisée basée sur le principe de la gouvernance et de l’administration des identités (IGA) qui crée et maintient l’ordre, c’est mieux.
Vous pouvez également suivre quatre conseils pour améliorer votre propre situation de sécurité :
1. Créer une commande
La première étape de toute initiative IAM consiste à obtenir une vue d’ensemble. Vous devez savoir quels sous-traitants ou travailleurs temporaires travaillent actuellement pour votre entreprise et ce qu’ils font. Après cet état des lieux, l’étape suivante peut être de savoir qui a eu accès à quelles données, notamment les données sensibles, et de répondre à la question associée de savoir si toutes les autorisations d’accès sont vraiment nécessaires. Il est également nécessaire de savoir à qui est accordé le degré d’accès à l’infrastructure, aux données personnelles des employés et aux consoles cloud. Les quatrièmes parties font également partie de cette équation, et déterminer qui a accès à l’infrastructure et aux données de vos partenaires aidera également à jeter des bases solides.
2. Évaluer soigneusement les tiers
L’activité des fournisseurs tiers fonctionne naturellement différemment de la leur. Cela inclut différentes procédures pour les tests d’appareils, l’installation de correctifs ou le traitement des données. En tant que tels, les professionnels de l’informatique et de la sécurité doivent mener des évaluations et des questionnaires indépendants internes et externes sur les fournisseurs tiers avec lesquels ils contractent. Cela comprend l’examen et la vérification de leurs politiques de sécurité, de leurs certifications et de leurs mesures de conformité, ainsi que la manière dont ils gèrent leur propre sécurité.
3. Connaissez votre propre situation de sécurité
La sécurité et la gouvernance ne sont pas une chose ponctuelle. Les tierces parties doivent être gérées et auditées en permanence pour s’assurer qu’elles s’acquittent de leurs fonctions de manière efficace, efficiente et sécurisée. Les systèmes qui surveillent les demandes d’accès, les connexions et les tâches effectuées sont donc essentiels non seulement pour la sécurité, mais également pour l’audit et la conformité. Alors que la sécurité de la chaîne d’approvisionnement et la gestion par des tiers font l’objet d’un examen de plus en plus minutieux, on s’attend à ce que cela devienne une priorité dans les exigences d’audit des organismes de réglementation et de conformité. De plus, les contrats des sous-traitants tiers peuvent être renouvelés pour continuer à travailler sur un projet ou en entreprendre un nouveau. Cependant, si l’accès est configuré dans le système pour se désactiver après 60 jours, l’administrateur informatique peut oublier de renouveler l’accès. Par conséquent, l’établissement d’un contrôle sur les contrats de tiers qui sont sur le point d’expirer peut aider à garantir que la productivité ne faiblit pas lors des renouvellements ou des transitions.
4. Automatisation de la gestion des accès
La gestion des télétravailleurs peut prendre du temps, c’est donc là que l’automatisation entre en jeu. Un IGA puissant permet le traitement indépendant des tâches via la solution de sécurité pour l’ensemble du cycle de vie des identités numériques tierces. Tout d’abord, les administrateurs doivent s’assurer que les tiers disposent des droits d’accès appropriés dès le premier jour, ce que l’on appelle l’approvisionnement. Les tiers sont un peu délicats car ils ne peuvent pas être facilement inclus dans le service d’annuaire ou le système RH sans un examen minutieux. Dans certains cas, ils pourraient autrement être qualifiés d’employés à temps plein, ce qui modifierait par inadvertance le contrat de travail et entraînerait des discussions sur l’opportunité d’accorder à ces travailleurs des avantages sociaux à temps plein. Pour cette raison, il est conseillé d’avoir un système central qui enregistre non seulement vos propres employés mais aussi les tiers dans une catégorie distincte, afin que l’accès puisse être configuré de manière appropriée et contrôlé efficacement – sans brouiller les frontières entre les différentes personnes.
Un IAM approprié garantit une sécurité informatique solide
La possibilité d’ajuster automatiquement les droits d’accès lorsque le rôle de l’entrepreneur change peut économiser beaucoup de travail et de frustration. Un IGA moderne garantit qu’en cas de changement de rôle, de nouveaux droits d’accès sont accordés et que les anciens droits d’accès qui ne sont plus nécessaires sont supprimés – ou que les identités sont complètement supprimées de sorte qu’aucun compte orphelin n’est créé que personne n’a à l’écran et sont donc attractif pour les pirates. Bien sûr, il n’y a pas de recette unique qui s’applique à toutes les organisations, mais ces quatre conseils, ainsi qu’un IGA moderne, fournissent une base solide à toute entreprise, installation ou agence gouvernementale pour mettre de l’ordre dans son IAM. .
