Qu’est-ce que la gestion du cycle de vie de la sécurité ?

Un réseau d’entreprise héberge en moyenne des milliers, voire des dizaines de milliers d’identités, allant des utilisateurs humains (développeurs et autres parties prenantes) aux identités non humaines (par exemple, agents IA, périphériques, workloads et services). Cette population est dynamique. Les utilisateurs humains viennent, s’en vont et changent de rôle fréquemment. De nouvelles identités non humaines apparaissent sans cesse à mesure que l’infrastructure est provisionnée, mise à l’échelle et mise hors service, surtout dans les contextes cloud natif et DevOps, où le pipeline CI/CD et les workflows automatisés engendrent régulièrement des services et des workloads éphémères.

Chaque identité est une vulnérabilité potentielle. Les utilisateurs peuvent, par malveillance ou par négligence, abuser de leurs privilèges, devenant ainsi des menaces internes. Les acteurs de la menace peuvent prendre le contrôle des identités humaines et non humaines en utilisant des identifiants volés et en menant des attaques par force brute pour accéder sans autorisation à des données et systèmes sensibles.

D’ailleurs, les attaques basées sur l’identité, où des hackers abusent d’identifiants légitimes pour pénétrer dans un réseau, sont l’une des méthodes de cyberattaque les plus courantes. Elles représentent 30 % des violations de données enregistrées dans l’IBM X-Force Threat Intelligence Index.

La gestion du cycle de vie de la sécurité vise à réduire la surface d’attaque des identités et à combler les failles de sécurité en centralisant la gestion de ces identités et des autorisations et identifiants associés sur une plateforme unique ou un ensemble d’outils étroitement intégrés. La gestion du cycle de vie de la sécurité automatise les fonctions essentielles de cybersécurité, telles que la création et la rotation des identifiants, le provisionnement et la suppression des comptes, ainsi que l’application de politiques de sécurité, afin de renforcer les contrôles d’accès et la gestion des secrets sans perturber les workflows métier critiques.

La gestion du cycle de vie de la sécurité s’appuie sur une plateforme ou sur un ensemble d’outils intégrés pour centraliser la supervision et l’automatisation des principales fonctions de cybersécurité, en particulier celles relatives à la sécurité des comptes, à la gestion des identifiants et aux autorisations d’accès utilisateur.

Parmi les principales fonctions de la gestion du cycle de vie de sécurité, citons la gestion des identités, la gestion des secrets et la mise en réseau sécurisée.

La gestion du cycle de vie de la sécurité peut automatiser les workflows de gestion des identités et des accès (IAM) pour les identités humaines et non humaines, parmi lesquels :

• Intégration de nouveaux utilisateurs et de nouvelles entités, y compris la création de comptes et l’attribution d’autorisations ;
  
  
• Modifier les droits d’accès des utilisateurs et des entités selon l’évolution de leur rôle au fil du temps.
  
  
• Renforcer les politiques de sécurité par des mesures telles que les contrôles d’accès basés sur les rôles (RBAC), l’authentification et l’autorisation continues, ou encore l’accès juste à temps.
  
  
• Contrôle permanent de l’activité des utilisateurs grâce à l’enregistrement des sessions ;
  
  
• Déprovisionnement des identités lorsque les utilisateurs partent ou que les services sont retirés ;

La gestion du cycle de vie de la sécurité permet de protéger non seulement les identités, mais aussi les identifiants associés. Elle permet d’automatiser d’importantes fonctions de gestion des identifiants et des secrets, notamment :

• Création d’identifiants forts pour les nouvelles identités humaines et non humaines, y compris les certificats, les clés API, les mots de passe et les tokens ;
  
  
• Assurer une rotation régulière des identifiants.
  
  
• Stockage d’identifiants de forte valeur, tels que des identifiants administratifs et de compte de service qui accordent un accès hautement privilégié à des informations et systèmes sensibles dans des coffres-forts d’identifiants. Les coffres-forts sont, à leur tour, protégés par un chiffrement et des mesures d’authentification renforcées telles que l’authentification à étapes (MFA), afin de garantir que seuls les utilisateurs autorisés puissent accéder à ces identifiants lorsque cela est nécessaire.
  
  
• Remplacement des identifiants permanents par des identifiants temporaires ou juste-à-temps.
  
  
• Rechercher automatiquement et remédier aux secrets exposés stockés dans le code, les référentiels, les plateformes collaboratives, les outils de développement ou à d’autres endroits.

Certains outils de gestion du cycle de vie de la sécurité prennent également en charge l’injection d’identifiants, un processus d’authentification dans lequel les utilisateurs n’ont jamais besoin de gérer directement les identifiants. Au contraire, les identifiants sont transmis depuis des coffres-forts aux services appropriés pour le compte de l’utilisateur, ce qui réduit les risques d’exposition ou de vol.

S’appuyant sur la protection des identités et des identifiants, la gestion du cycle de vie de la sécurité facilite également la connexion et la communication sécurisées entre les identités, en particulier entre les services.

Les outils de gestion du cycle de vie de la sécurité offrent souvent les éléments suivants :

• Une source d’information centralisée pour les identités de services permettant la découverte et le suivi de ces derniers, ainsi que des informations en temps réel sur leur état et leurs autres attributs.
  
  
• Connexions basées sur l’identité, incluant le chiffrement service-à-service, l’authentification continue et l’autorisation basée sur attributs. Chaque demande d’accès est vérifiée et les services se voient accorder l’accès en fonction de leurs attributs plutôt que de l’emplacement réseau.
  
  
• Provisionnement automatisé d’une infrastructure de réseau sécurisée, telle que des réseaux de services, des équilibreurs de charge, des pare-feux et des passerelles. La communication sécurisée est établie, mise à jour et désactivée automatiquement au fur et à mesure que les services sont créés, étendus ou mis hors service.

Bien que la gestion du cycle de vie de la sécurité se concentre généralement sur les identités, les identifiants, les services et l’infrastructure logicielle, elle peut parfois impliquer des fonctions de gestion des appareils. Parmi les exemples figurent l’application automatisée de correctifs pour les stations de travail et appareils mobiles, la gestion des certificats matériels ainsi que la surveillance continue et la résolution des systèmes de sécurité sur site, tels que les caméras et les contrôles d’accès physiques.

En centralisant et en automatisant les fonctions essentielles de l’IAM et de la gestion des secrets, la gestion du cycle de vie de la sécurité donne aux équipes plus de visibilité et de contrôle sur les utilisateurs humains et les identités non humaines. La centralisation et l’automatisation permettent de rationaliser la surveillance de l’activité, les contrôles d’accès et l’application des politiques, afin de prévenir les attaques exploitant l’identité, ainsi que d’autres incidents de sécurité et cybermenaces.

Dans les systèmes informatiques complexes, les identités humaines et non humaines peuvent exister et se déplacer entre les infrastructures cloud, sur site et distantes. La nature distribuée de ces réseaux rend difficile pour les équipes de sécurité de suivre ce que fait chaque identité. De plus, les ressources sont souvent dynamiques et éphémères dans les pipelines DevOps. De nouvelles identités non humaines peuvent être introduites dans un système. Ces dernières peuvent alors accéder à des informations sécurisées et disparaître avant même que l’équipe de sécurité ne s’en aperçoive. En conséquence, l’application de la politique est difficile et les risques de sécurité augmentent.

En l’absence d’une gestion sécurisée et d’une supervision centralisée, les utilisateurs risquent d’ignorer les bonnes pratiques en matière d’hygiène informatique. Ils peuvent définir des mots de passe faibles et les réutiliser. Ils peuvent omettre d’activer la MFA. Les pipelines DevOps sont connus pour être sujets à la propagation des secrets, c’est-à-dire la prolifération des secrets non gérés à travers les dépôts, le code, les bases de données et ailleurs, ce qui les rend vulnérables aux menaces.

La prolifération des applications, c’est-à-dire intégrer des applications dans un écosystème sans gestion centralisée, en particulier celles dont les fonctions d’authentification et d’autorisation ne s’intègrent pas aux systèmes IAM existants, pose également des problèmes. Lorsque des applications distinctes ont des répertoires d’identité différents, des paramètres d’autorisation et des identifiants séparés, il devient trop facile pour des activités de sécurité importantes, telles que les audits de privilèges et le déprovisionnement, de passer à travers les mailles du filet.

La gestion du cycle de vie de la sécurité peut aider à minimiser les menaces posées par des contrôles d’identité, d’accès et d’identifiants faibles en centralisant la gestion et en automatisant les processus clés.

Gérer toutes les identités, humaines et non humaines, à partir d’un seul et même système aide les équipes de sécurité à définir des politiques d’accès plus cohérentes. L’automatisation du provisionnement et du déprovisionnement permet de s’assurer que ces politiques sont appliquées d’une manière prompte et standardisée.

La gestion automatisée des identifiants permet de s’assurer que des identifiants robustes sont utilisés, sécurisés et renouvelés correctement, tandis que les outils de détection des identifiants aident à repérer les secrets non gérés et non sécurisés afin de pouvoir y remédier.

Grâce à l’enregistrement des sessions, les équipes de sécurité peuvent suivre tout ce que font les utilisateurs, ce qui simplifie tant l’application des politiques que la réponse aux incidents. En cas de violation de la sécurité, l’enregistrement permet aux enquêteurs de savoir ce que les pirates ont fait avec le compte compromis.

Enfin, sécuriser les connexions service-à-service permet de corriger l’une des vulnérabilités les plus importantes de la chaîne d’approvisionnement : les connexions entre les composants du système.

Comme l’a expliqué Jeff Crume, ingénieur distingué et inventeur en chef chez IBM, dans le podcast Security Intelligence :

« Certaines des plus grandes vulnérabilités se produisent dans ces jonctions entre deux éléments différents où se trouvent les interfaces. Mon composant peut être parfait, et votre composant peut être parfait, mais notre interface ne l’est pas. Bien sûr, les acteurs malveillants iront là où se trouvent les points faibles. »

En bref, une approche globale de la gestion du cycle de vie de la sécurité peut fournir à une entreprise un système d’enregistrement unique pour les identités humaines et non humaines, les informations d’identification et les autorisations dans l’ensemble de l’écosystème, soutenant le principe Zero Trust et le principe de moindre privilège.

Il est également important de noter que les outils et pratiques de gestion du cycle de vie de la sécurité visent à soutenir l’activité rapide et innovante des pipelines DevOps. En fait, ils contribuent à optimiser ces processus en se chargeant de gérer les identifiants à la place des développeurs. En créant, en stockant, en renouvelant et en protégeant automatiquement les secrets, la gestion du cycle de vie de la sécurité assure discrètement la protection de votre écosystème.