Gestion des identités, Sean Deuby de Semperis nous en parle

Sean Deuby, technologue principal de Semperisdétaille comment les entreprises devront se préparer à l’avenir de la gestion des identités.

L’investissement dans la sécurité et la protection de l’identité a atteint un niveau record, oui prédit que Valeur marchande mondiale de la gestion des identités et des accès (IAM) en 2023 atteindra 20,75 milliards de dollars. En outre, Gartner a récemment estimé qu’environ 75 % de toutes les failles de sécurité sont imputables à une mauvaise gestion des identités, des accès et des privilèges.

Malgré l’augmentation des investissements dans Détection et réponse aux menaces d’identité (ITDR), les organisations ont encore des difficultés à mettre en œuvre ces systèmes car i. les départements qui les composent sont souvent déconnectés, ce qui rend impossible la promotion d’une culture identitaire durable. Selon Denis Ontiveros Merlo, vice-président des plateformes d’entreprise chez BP, cette déconnexion n’est pas quelque chose que les entreprises peuvent résoudre en interne.

« Nous avons construit tout un écosystème qui, sans nous en rendre compte, a créé des anti-modèles qui vont à l’encontre de l’objectif ultime de rendre l’identité fluide, sûre et sécurisée », explique Ontiveros Merlo. « Les gens adoptent ces modèles parce qu’ils pensent que c’est la bonne chose, et nous nous retrouvons dans un cercle vicieux. Nous devons faire beaucoup d’entraînement pour nous libérer de cette situation. »

La formation sur les dernières fonctionnalités de gestion des identités est la première étape vers l’avenir. Mais ce n’est pas le seul défi que les organisations seront confrontées en cours de route.

Découvrez une nouvelle perspective sur la gestion des identités

Le secteur des entreprises se remet encore du changement de paradigme survenu pendant la pandémie. Désormais tout est numérique, distribué et fédéré, quelle que soit notre volonté. Ce changement représente un défi de taille pour les organisations habituées à gérer des infrastructures et des équipes centralisées.

« Lorsqu’il s’agit d’appliquer un certain sens de la gouvernance, il n’y a plus un seul interlocuteur à qui rendre des comptes », explique Ontiveros Merlo. « Alors qu’avant tout était monolithique, nous avons désormais une multitude de petits composants qui travaillent ensemble. » Parallèlement à la transformation numérique et au travail à distance, l’architecture des microservices devient la norme.

“Tous ces composants doivent s’authentifier et se faire confiance”, poursuit-il. « Chaque utilisateur, machine, application, appareil et capteur. C’est un défi de taille, mais je crois que c’est aussi une opportunité. Nous le voyons avec Entra B2B (anciennement Azure), qui pourrait être considéré comme le début de l’identité décentralisée.

La gestion des identités ne peut pas être la même pour tout le monde

Même si nous apprécions l’idée qu’il existe une solution universelle pour l’ITDR, les organisations ont des capacités, des contraintes et des exigences différentes, de sorte que les technologies et les stratégies qui fonctionnent pour une entreprise peuvent échouer complètement pour une autre.

« J’ai toujours trouvé intéressant que lorsqu’il s’agit de défis d’identité comme l’accès privilégié, nous essayions de construire des solutions et des écosystèmes qui tendent vers une dérive de configuration », reflète Ontiveros Merlo. « Le modèle idéal serait plutôt de pousser le code de manière déclarative via une intégration continue/livraison continue (CI/CD). Cependant, avant d’en arriver là, nous devons être plus conscients et attentifs aux préjugés que nous pouvons avoir lors de l’adoption de nouvelles technologies et aux anti-modèles dans lesquels nous pouvons tomber. Et nous devons également être plus conscients de la manière dont nous intégrons la technologie dans l’organisation.

La gestion des identités n’est pas seulement une tâche réservée aux administrateurs

La gestion de l’identité a traditionnellement été considérée comme une question administrative, mais la vérité est que l’identité est importante pour de nombreuses parties prenantes.

“Nous devons nous demander qui est le client dans cette situation”, explique Ontiveros Merlo. « Parce que l’identité tend à être un service partagé, elle est souvent utilisée comme point de référence pour la gouvernance. Mais la réalité est que la gouvernance et la responsabilité relèvent de la responsabilité de chacun. »

Nous ne pouvons pas nous attendre à ce que les équipes chargées de l’identité abordent des questions telles que la confidentialité ou la séparation des tâches. Lorsque nous développons et mettons en œuvre des solutions de gestion des identités, nous devons également prendre en compte l’expérience utilisateur et la manière dont nos processus et politiques y contribuent. La sécurité et la commodité ne peuvent plus être incompatibles.

Allez au-delà du contrôle d’accès basé sur les rôles

À long terme, le contrôle d’accès basé sur les rôles (RBAC) pourrait ne pas être le mieux adapté à un avenir distribué, un changement potentiellement perturbateur, selon Ontiveros Merlo.

RBAC fonctionnait bien dans les systèmes monolithiques plus anciens où il n’y avait pas de changements majeurs. Cependant, aujourd’hui, le paysage commercial et les rôles sont très dynamiques.

«Lorsque l’organisation change et que les rôles ne changent pas, des frictions se créent», explique Ontiveros Merlo. « Les utilisateurs finissent par avoir trop ou pas assez d’accès. L’accès basé sur des politiques est beaucoup plus dynamique, c’est pourquoi nous avons constaté une évolution des normes d’authentification ces dernières années.

Si l’authentification a évolué, l’autorisation semble être à la traîne : ce n’est que maintenant que nous commençons à voir de nouvelles technologies qui externalisent et standardisent les concepts d’autorisation. La recertification, notamment en ce qui concerne les actifs contextuels, est un autre défi majeur en matière de gestion des identités que l’industrie doit surmonter.

Comment éviter les anti-modèles de gestion des identités

Les professionnels de la sécurité ont une fâcheuse tendance à faire preuve de complaisance lorsqu’ils croient avoir trouvé la « bonne » manière de faire quelque chose, ce qui constitue un comportement dangereux.

“Lorsque nous mettons fin à des conversations sans réfléchir exactement à ce qu’elles signifient, nous poussons les choses vers un canal beaucoup moins sûr”, explique Ontiveros Merlo. « Surtout avec des systèmes complexes, nous avons tendance à glisser vers des comportements préétablis. Nous devons tous être un peu plus conscients du contexte, de nos propres préjugés, du secteur en général et de ce que les autres départements peuvent nous apprendre sur les nôtres.

Ontiveros Merlo recommande d’appliquer des pratiques d’ingénierie et de psychologie à la gestion des identités : en adoptant une approche large et multidisciplinaire axée sur la résolution de problèmes grâce aux données, à l’orientation client et à la pensée critique.

« En fin de compte, traitez l’identité comme un produit et soyez curieux de connaître la perception qu’en ont vos clients », dit-il. « Il peut s’agir d’utilisateurs finaux, de développeurs d’applications ou même de développeurs qui réinventent le parcours d’inscription et de connexion. Quels qu’ils soient, essayez de réduire la charge cognitive de ces équipes distribuées, afin qu’elles puissent se concentrer sur ce qu’elles font le mieux.

Toutes les organisations sont impliquées dans cette situation

L’espace identitaire a fait de grands progrès ces dernières années, mais les plus grands défis restent à venir. Les identités des machines fusionnent avec les identités des clients et des entreprises, à mesure que de plus en plus d’entreprises et d’entités travaillent ensemble au sein de chaînes d’approvisionnement complexes et connectées. Pour cette raison, une entreprise devra inévitablement accorder l’accès à des identités pour lesquelles elle n’est pas la source faisant autorité.

Dans ce scénario, la collaboration n’est pas simplement une recommandation, mais représente la seule voie à suivre.

«Nous utiliserons beaucoup plus les données pour l’analyse comportementale et pour contextualiser les identités», prédit Ontiveros Merlo. « Et de tout gérer, de la recertification à la sécurité des transactions. Personne ne pourra résoudre seul des problèmes comme celui-ci. À l’avenir, nous aurons besoin d’une pollinisation croisée. Nous aurons besoin de partenariats et de collaborations entre différentes entreprises et disciplines. »