Qu’est-ce que la sécurité des identités ?

À mesure que les entreprises adoptent des services cloud, prennent en charge le télétravail et gèrent divers terminaux et applications, les périmètres des réseaux deviennent plus flous et les défenses basées sur le périmètre perdent de leur efficacité. Les identités numériques (les profils uniques qui représentent les utilisateurs, les appareils ou les applications dans un système) sont devenues essentielles au maintien de la sécurité des données.

Selon le rapport sur le coût d’une violation de données d’IBM, les identifiants volés ou compromis sont le vecteur d’attaque initial le plus courant, responsable de 10 % des violations de données. Lorsque les pirates obtiennent les identifiants des utilisateurs, ils les emploient pour s’emparer de comptes valides et abuser de leurs privilèges. 

La sécurité des identités permet de s’assurer que seuls les utilisateurs autorisés peuvent accéder à des ressources spécifiques, tout en minimisant les risques d’attaques basées sur l’identité et les identifiants.

Grâce à une sécurité efficace des identités, les entreprises peuvent réduire les vulnérabilités, améliorer l’efficacité opérationnelle et se protéger contre les cybermenaces telles que les attaques par phishing et les violations de données.

Historiquement, les organisations protégeaient leurs systèmes et leurs données en établissant un périmètre de réseau sécurisé protégé par des outils tels que des pare-feux, des réseaux privés virtuels (VPN) et des logiciels antivirus. Cette « barrière numérique » partait du principe que tout ce qui se trouvait sur place, au sein du réseau de l’entreprise, était digne de confiance, tandis que tout ce qui se trouvait à l’extérieur devait être bloqué.

Mais ce périmètre bien défini a disparu avec la transformation numérique. Avec l’adoption du télétravail, des environnements hybrides et multicloud et des outils SaaS (logiciel en tant que service) tiers, le réseau de l’entreprise est devenu trop flou pour une sécurité basée sur le périmètre.

Les stratégies de sécurité ont également évolué, passant de la sécurisation des actifs du réseau à la sécurisation de l’accès, plaçant les identités numériques au cœur de la cybersécurité. La question n’est plus de savoir sur quel réseau vous vous trouvez, mais qui vous êtes et si vous devriez avoir l’autorisation d’y accéder.

Les acteurs de la menace se sont également adaptés. Plutôt que de trouver des failles dans les pare-feux, ils ont commencé à cibler directement les identités en recourant au phishing, au vol d’identifiants et au détournement de session pour usurper l’identité d’utilisateurs et élever leurs privilèges. Selon l’IBM® X-Force Threat Intelligence Index, l’utilisation abusive de comptes valides est l’un des moyens les plus fréquemment employés par les pirates pour s’introduire dans les réseaux d’entreprise (soit 30 % des cyberattaques).

Dans ce contexte, la sécurité des identités s’est imposée comme une discipline à part de la cybersécurité, axée sur la protection des identités numériques et des privilèges d’accès qui leur sont associés contre le vol, l’utilisation abusive et le détournement. 

La sécurité des identités s’appuie sur la gestion des identités et des accès (IAM), un cadre de sécurité permettant de gérer les identités des utilisateurs et de contrôler l’accès aux systèmes et aux données. Elle ajoute des capacités de protection, de détection et de réponse spécifiquement axées sur la sécurisation des identités numériques.

En d’autres termes, la sécurité des identités ne remplace pas la gestion des identités et des accès, mais l’étend grâce à des fonctionnalités telles que la surveillance continue, l’application contextuelle de l’accès et les réponses automatisées en cas d’activité suspecte. Là où l’IAM détermine qui obtient l’accès, la sécurité de l’identité aide à garantir que cet accès reste sécurisé.

Ensemble, la sécurité des identités et l’IAM forment la base des solutions modernes de sécurité des identités, aidant les entreprises à sécuriser les identités numériques, à gérer les autorisations des utilisateurs et à se défendre contre les cybermenaces basées sur l’identité.

La sécurité des identités est une discipline qui réunit plusieurs outils et pratiques en un programme cohérent de protection des identités numériques tout au long de leur cycle de vie. Ce cadre de sécurité complet permet aux entreprises de rationaliser la gestion des accès tout en garantissant une protection rigoureuse des données.

En voici les principaux composants :

• Les identités numériques
• Mécanismes d’authentification
• Contrôle d’accès
• La gouvernance et l’administration des identités (IGA)
• La détection et réponse aux menaces liées à l’identité (ITDR)

Les identités numériques sont les pierres angulaires de la sécurité des identités. Elles représentent les utilisateurs, les appareils et les applications dans les systèmes d’entreprise.

La sécurité des identités protège ces entités numériques contre les accès non autorisés afin que les acteurs malveillants ne puissent pas abuser de leurs autorisations pour voler des données, endommager des actifs ou causer d’autres dégâts. 

Voici les types d’identités les plus courants :

• Identités des utilisateurs : représentations numériques des utilisateurs humains, contenant des attributs tels que le nom, le rôle, le service et les privilèges d’accès.

• Identités des machines : les identités liées à des entités telles que les applications, les services et les appareils IdO.

• Comptes de service : les comptes à usage particulier employés par les applications pour interagir avec d’autres systèmes et services. Par exemple, une solution de reprise après sinistre peut utiliser un compte de service pour obtenir des sauvegardes d’une base de données chaque nuit.   

À mesure que les entreprises adoptent davantage de services cloud et intensifient leurs efforts d’automatisation, les identités des machines et les comptes de service sont devenus plus nombreux que les comptes d’utilisateurs humains dans la plupart des réseaux. Selon une estimation, le rapport entre les identités non humaines et les identités humaines dans une entreprise type est de 10 contre 1.¹ La croissance de l’IA générative et des agents d’IA pourrait encore accélérer cette tendance. 

La sécurité des identités permet de maintenir la visibilité et le contrôle dans ce paysage identitaire en expansion, facilitant l’accès sécurisé des utilisateurs autorisés tout en réduisant la surface d’attaque d’une entreprise.

L’authentification permet de vérifier que les utilisateurs sont bien ceux qu’ils prétendent être, ce qui constitue le premier point de contrôle critique de la sécurité des identités. Une authentification forte est essentielle pour réduire le risque d’accès non autorisé aux comptes d’utilisateurs et aux données sensibles.

Voici les principales méthodes d’authentification :

• L’authentification à étapes (MFA) : elle exige que les utilisateurs présentent au moins deux facteurs de vérification pour prouver leur identité. Cela complique l’usurpation de l’identité des utilisateurs par les pirates, qui doivent voler ou fabriquer plusieurs facteurs pour accéder à un compte.

• L’authentification biométrique : elle repose sur des caractéristiques physiques uniques telles que les empreintes digitales ou la reconnaissance faciale pour vérifier l’identité des utilisateurs. Les facteurs biométriques sont plus difficiles à voler que les mots de passe. 

• L’authentification sans mot de passe : elle élimine les vulnérabilités des mots de passe traditionnels au profit de facteurs plus sûrs, tels que les clés cryptographiques ou les données biométriques.

• La connexion unique (SSO) : elle permet aux utilisateurs de s’authentifier une seule fois et d’accéder à plusieurs applications. La SSO améliore non seulement l’expérience utilisateur, mais renforce également la sécurité des identités en réduisant les contraintes liées aux mots de passe, en diminuant le risque de mots de passe faibles ou réutilisés et en centralisant l’application du contrôle d’accès. 

• L’authentification adaptative : elle ajuste dynamiquement les exigences d’authentification en fonction de facteurs de risque contextuels tels que l’emplacement, la posture de sécurité de l’appareil et les modèles de comportement de l’utilisateur. Ainsi, une personne qui se connecte à partir de l’appareil qu’elle utilise toujours peut n’avoir à saisir qu’un mot de passe. Si ce même utilisateur se connecte à partir d’un nouvel appareil, il devra peut-être saisir à la fois un mot de passe et une empreinte digitale pour prouver son identité.

Le contrôle d’accès détermine ce à quoi les utilisateurs authentifiés peuvent accéder et les actions qu’ils sont autorisés à effectuer au sein d’un système.

Les cadres de sécurité des identités favorisent des politiques d’accès robustes basées sur le principe du moindre privilège. En d’autres termes, les utilisateurs ne disposent que de l’accès nécessaire à l’exécution de leurs tâches (ni plus, ni moins).

Les approches courantes de contrôle d’accès sont les suivantes : 

• Le contrôle d’accès basé sur les rôles (RBAC) : il attribue des autorisations aux utilisateurs en fonction de leur rôle au sein de l’entreprise. Par exemple, un poste financier peut autoriser un utilisateur à effectuer des achats, tandis qu’un poste au sein des RH peut autoriser un utilisateur à consulter les dossiers du personnel.

• Le contrôle d’accès basé sur les attributs (ABAC) : il attribue des autorisations d’accès en fonction des attributs de l’utilisateur, de la ressource, de l’action et de l’environnement. Par exemple, si le directeur financier (utilisateur) souhaite accéder à un système de paiement (ressource) pour approuver un paiement (action), l’ABAC analyse l’ensemble de ces facteurs et autorise l’activité.  

• Le contrôle d’accès basé sur des politiques (PBAC) : il applique les décisions d’accès des utilisateurs sur la base de politiques centralisées et dynamiques qui peuvent intégrer le contexte. Ainsi, un utilisateur peut être autorisé à accéder à une base de données clients uniquement si sa posture de sécurité répond aux normes de protection des terminaux de l’entreprise et s’il se trouve dans une zone géographique désignée. 

• Le provisionnement juste-à-temps (JIT) : il s’agit d’accorder aux utilisateurs des autorisations élevées uniquement en cas de besoin et pour des périodes limitées, ce qui élimine les risques liés à l’octroi de privilèges permanents aux utilisateurs. Par exemple, si un utilisateur doit effectuer une maintenance programmée sur un serveur de production, le provisionnement JIT peut lui accorder un accès administrateur temporaire et le révoquer à la fin de la fenêtre de maintenance.

• La gestion des accès privilégiés (PAM) : les outils PAM se dédient à la protection des comptes privilégiés (tels que les comptes d’administrateur) et des activités privilégiées (telles que la manipulation de données sensibles). Les fonctionnalités courantes comprennent la sauvegarde en coffre-fort virtuel des identifiants, la surveillance des sessions, le provisionnement de l’accès juste-à-temps et la rotation automatique des identifiants.

L’IGA permet de s’assurer que les identités numériques ont les bons niveaux d’accès et que cet accès est suivi pour répondre aux exigences internes et réglementaires. 

Alors que les solutions IAM régulent qui a accès aux systèmes et aux données, l’IGA se penche sur la question de savoir si cet accès est approprié, justifié et activement contrôlé. L’IGA fournit un cadre opérationnel pour la gestion des cycles de vie des identités et des droits d’accès, la réduction des risques liés à l’accès et l’application des politiques de sécurité.

L’IGA est également un élément important pour se conformer aux normes réglementaires telles que la Health Insurance Portability and Accountability Act (HIPAA), la loi Sarbanes-Oxley (SOX) et le règlement général sur la protection des données (GDPR). Il aide les entreprises à prouver que l’accès aux systèmes et aux données sensibles est correctement attribué et régulièrement contrôlé. Il génère également des pistes d’audit pour soutenir les examens internes et les audits externes.

Les principales fonctions de l’IGA sont les suivantes :

• Provisionnement et déprovisionnement des identités numériques : gestion des droits d’accès tout au long du cycle de vie de l’identité afin de rationaliser l’intégration et de réduire les risques d’abandon. Ainsi, si un employé change de rôle, les outils IGA peuvent automatiquement révoquer les autorisations obsolètes ou en attribuer de nouvelles en fonction de ses nouvelles responsabilités. 

• Vérification des autorisations d’accès : réalisation d’audits périodiques des autorisations des utilisateurs afin d’identifier les niveaux d’accès excessifs ou inappropriés et d’y remédier. Des audits réguliers aident les entreprises à appliquer le principe du moindre privilège et à réduire le risque d’abus de privilèges. 

• Application de la politique de sécurité et reporting : application cohérente des politiques de sécurité, telles que la répartition des tâches (SoD) et le principe du moindre privilège, et identification des violations. Par exemple, si un utilisateur tente d’accéder à la fois à un système de paiement et à un système d’approbation, violant ainsi les règles de répartition des tâches, les outils de gouvernance de l’identité peuvent signaler ou bloquer la transaction.  

L’ITDR renforce la sécurité des identités grâce à des capacités avancées de protection de l’infrastructure des identités et de lutte contre les attaques basées sur l’identité. Bien qu’il ne soit pas toujours inclus dans les solutions standard de sécurité des identités, l’ITDR devient de plus en plus courant car les entreprises recherchent des mesures de sécurité robustes contre la menace croissante des attaques basées sur l’identité.

Les principales capacités de l’ITDR comprennent :

• Surveillance continue : surveillance en temps réel des activités liées à l’identité (y compris les tentatives d’authentification, les demandes d’accès et les élévations de privilèges) afin de détecter toute activité suspecte. Ainsi, l’ITDR peut signaler un utilisateur qui se connecte à partir d’un nouvel emplacement ou qui tente d’accéder à des informations sensibles qu’il n’utilise normalement pas.

• Analyse comportementale : algorithmes avancés qui établissent des lignes de base du comportement normal des utilisateurs et signalent les écarts susceptibles d’indiquer des menaces potentielles pour la sécurité, comme le détournement d’un compte légitime par un pirate informatique.

• Réponse automatisée : contrôles de sécurité adaptatifs qui prennent des mesures immédiates dès la détection d’une menace afin de minimiser les dommages potentiels. Par exemple, si un utilisateur montre des signes d’abus d’identifiants, l’ITDR peut révoquer sa session, forcer une nouvelle authentification ou bloquer temporairement l’accès à des données sensibles.
  

La sécurité des identités renforce les contrôles IAM de base pour offrir des avantages de taille :

• Amélioration de la posture de sécurité

• Conformité réglementaire

• Efficacité opérationnelle

La sécurité des identités peut contribuer à réduire la probabilité et l’impact du détournement de compte, du vol d’identifiants, de l’accès non autorisé et d’autres attaques basées sur l’identité.

Les outils de sécurité des identités peuvent aider les entreprises à maintenir et à prouver leur conformité aux règles en vigueur.

Les systèmes de sécurité des identités peuvent contribuer à rationaliser les opérations quotidiennes de l’organisation.

Les progrès de l’intelligence artificielle (IA) influent sur la sécurité des identités à la fois comme une menace et comme une opportunité.

En tant que menace, l’IA générative aide les pirates à lancer des attaques efficaces basées sur l’identité en plus grand nombre et en moins de temps. Selon le X-Force Threat Intelligence Index, les analystes de X-Force ont vu des cybercriminels exploiter l’IA générative pour générer des voix et des vidéos deepfake, concevoir des e-mails de phishing convaincants et même écrire du code malveillant.

En tant qu’opportunité, les outils de détection et de prévention des menaces liées à l’identité alimentés par l’IA sont de plus en plus courants, permettant aux entreprises de détecter et d’arrêter les attaques plus rapidement. Ainsi, grâce au machine learning, les solutions ITDR peuvent créer des modèles de référence du comportement normal des utilisateurs, qu’elles emploient pour identifier les écarts suspects qui pourraient représenter des menaces.