Sean Deuby | Technologue principal, Amériques

À mesure que les entreprises développent leur écosystème numérique, elles reconnaissent que les solutions de sécurité dans le nuage, bien que précieuses, ne constituent pas une panacée. Dans les environnements d'identité hybrides tentaculaires d'aujourd'hui, la sécurité du cloud est indissociable de l'architecture de l'entreprise sur site. Assurer la résilience de ces systèmes interconnectés implique beaucoup de complexité et de configuration, en particulier en ce qui concerne la gestion de la posture de sécurité de l'identité, où de nombreuses organisations ne sont pas encore à la hauteur.

"L'identité est au cœur de la cybersécurité, mais les entreprises ne savent généralement pas où elles en sont", a déclaré Maarten Goet, responsable de la gestion des menaces chez Wortell, lors d'un entretien avec lui à la Conférence sur la protection de l'identité hybride (HIP Conf) il y a quelques années. "Elles ne savent pas clairement qui a quels droits, quels systèmes sont en place et comment les choses sont connectées ou déconnectées. Leur principale préoccupation est d'établir leur position actuelle en matière d'identité. Sans cela, ils ne peuvent pas définir une stratégie ou une feuille de route.

Sa vision est convaincante. En tant que MVP Microsoft depuis 18 ans et MSSP Microsoft Security de l'année, M. Goet comprend que pour être efficace, la sécurité des identités doit prendre en compte toute la complexité de nos environnements hybrides en constante évolution. La nécessité d'appréhender cette complexité n'a fait que croître depuis notre conversation.

Pour atteindre la maturité en matière de cybersécurité et mettre en place un dispositif de sécurité solide, il ne suffit pas d'appuyer sur un bouton. Jetons un coup d'œil sur quelques points clés de ma conversation avec Goet qui peuvent vous aider à mieux comprendre votre environnement d'identité - et vous fournir une base pour construire une posture de sécurité d'identité résiliente.

La sécurité de l'identité évolue

Lorsque Microsoft a lancé Entra ID en 2022, il s'agissait d'une tendance qui s'accélérait non seulement dans le domaine de la sécurité des identités hybrides, mais aussi dans le secteur plus large de la cybersécurité.

"Ce que tout le monde a compris, c'est que l'identité ne se limite pas aux répertoires et que l'accès ne se limite pas au réseau", explique M. Goet. "Nos défis en matière de sécurité se sont élargis et nous avons besoin de solutions plus larges. Nous devons adopter une approche intégrée qui fasse de l'identité un tissu de confiance pour l'écosystème numérique.

"C'est l'objectif le plus important à long terme. Un accès sécurisé pour chaque employé, microservice, base de données et capteur."

Gérer la sécurité des identités sous tous les angles

Il n'y a pas deux organisations identiques, même celles qui opèrent dans le même secteur. Bien que certaines bonnes pratiques soient largement applicables, vous devez élaborer une approche unique de la sécurité de l'identité de votre organisation. Plus important encore, vous devez tenir compte de la manière dont vos décisions affectent votre écosystème et votre surface d'attaque.

Complet de détection et de réponse aux menaces liées à l'identité (ITDR) sont extrêmement précieuses. Grâce à l'apprentissage automatique, elles établissent une base de référence pour le comportement normal dans votre environnement, identifient les activités suspectes et automatisent la détection des risques et la remédiation pour la plupart des risques liés à l'identité. C'est un aspect que les solutions de sécurité traditionnelles n'ont pas été en mesure de prendre facilement en compte.

Mais même cela ne représente qu'une solution partielle.

"La technologie n'est qu'une pièce du puzzle de la sécurité de l'identité", explique M. Goet. "Il faut également mettre en place des processus. Vous avez besoin d'une stratégie. Vous devez vous assurer que votre personnel est formé et que vous pouvez suivre l'évolution des priorités et des circonstances.

La complexité et la dette technique désavantagent les entreprises

L'espace de la sécurité a évolué de manière spectaculaire au cours des dernières années. L'authentification sans mot de passe est sans doute le progrès le plus important, car elle offre une alternative rationalisée et sécurisée aux connexions basées sur des informations d'identification obsolètes. Pourtant, malgré tous ses avantages, les entreprises (en particulier les grandes entreprises) ont été lentes à adopter l'authentification sans mot de passe.

"Les petites et moyennes entreprises ont tendance à être beaucoup plus agiles, car leurs environnements sont moins complexes", a déclaré M. Goet. "Cela leur permet d'adopter plus facilement l'authentification sans mot de passe grâce à des solutions telles que Windows Hello. Dans les grandes entreprises, il y a tout simplement trop d'autres facteurs en jeu - des points de contact et des systèmes existants - qui rendent difficile le déploiement d'une nouvelle technologie."

Les mesures d'évaluation de la posture de sécurité sont utiles, mais seulement dans leur contexte

Microsoft Secure Score, un outil de mesure permettant d'évaluer la posture globale de sécurité, peut fournir à votre organisation des indications précieuses sur la manière de concentrer vos efforts. Cependant, vous ne devez pas commettre l'erreur d'appliquer ces cadres sans contexte. Ces cadres ne doivent pas être le seul moyen de mesurer le succès.

D'après mon expérience, les solutions d'établissement de rapports sur les mesures peuvent être trompeuses. Nombre d'entre elles ne tiennent pas compte des différences de configuration, par exemple. J'ai trouvé le score Identity Secure particulièrement frustrant parce qu'il ne tenait pas compte de certains des contrôles de sécurité que j'avais mis en place.

"L'évaluation de la sécurité est un tremplin", reconnaît M. Goet. "Le véritable défi réside dans la manière dont vous l'interprétez, dont il s'adapte à votre environnement et dont il s'applique à votre stratégie globale. Ces scores et mesures sont conçus pour un monde parfait et se rapportent à des environnements parfaits. Mais votre environnement n'est pas parfait.

"L'autre chose que je trouve trompeuse à propos des scores de sécurité, c'est qu'ils semblent limités", poursuit-il. "La sécurité est un processus continu qui demande du temps, de l'argent, des efforts et de la concentration. Elle ne s'arrête pas une fois que l'on a atteint un point de référence arbitraire".

Ne jamais sous-estimer la valeur d'une base d'identité sécurisée

En matière de cybersécurité, trop d'entreprises tentent de réinventer la roue. Elles pensent que le seul moyen de faire face aux acteurs de la menace moderne est de recourir à des solutions de sécurité de pointe. En réalité, la plupart des acteurs de la menace ne sont pas des chapeaux noirs invincibles, mais des opportunistes à la recherche de systèmes mal configurés et obsolètes.

"Le simple fait de mettre en place des configurations de sécurité de base peut considérablement renforcer votre position en matière de sécurité de l'identité", a déclaré M. Goet. "Je recommande toujours à mes clients d'établir leurs paramètres de sécurité par défaut. C'est quelque chose qui aide beaucoup avant qu'une entreprise n'adopte des solutions plus larges et plus sophistiquées comme le SIEM."

La gestion des autorisations et la gestion de la posture de sécurité de l'identité vont de pair

Les permissions représentent le facteur le plus crucial dans la gestion et la sécurisation du paysage identitaire d'une organisation. À quels systèmes les utilisateurs peuvent-ils accéder et que peuvent-ils faire avec cet accès ? Telles sont les questions auxquelles toute stratégie de sécurité de l'identité cherche à répondre.

"Lagestion des autorisations est la clé de la sécurité moderne des identités", explique M. Goet. "Elle offre une vue unifiée des permissions et des identités dans n'importe quel nuage. Elle vous donne un aperçu de chaque environnement cloud, de ce qui se passe, des personnes impliquées et de la nécessité de se préoccuper de quelque chose.

"À partir de là, il vous aide à automatiser l'accès au moindre privilège", poursuit M. Goet. "Vous pouvez ensuite adapter les autorisations en fonction des données d'utilisation historiques et de la surveillance en temps réel. L'objectif final est de s'assurer que les personnes ne disposent que des autorisations dont elles ont absolument besoin.

Poursuivre l'exploration : Étudier le paysage dans son ensemble

Votre entreprise ne cesse d'évoluer. Votre sécurité identitaire doit suivre le rythme. Mais pour toute entreprise, la définition de ses objectifs de cybersécurité ne peut se faire en vase clos. Votre posture de sécurité de l'identité englobe toutes les activités, technologies, personnes et processus qui permettent à votre organisation non seulement de prévenir les cyberincidents, mais aussi de s'en remettre - avec résilience.

C'est pourquoi il est important que les équipes de sécurité redéfinissent périodiquement ce que la sécurité de l'identité signifie pour votre organisation. Des événements tels que HIP Conf réunissent les plus grands experts mondiaux de la protection de l'identité, vous mettent en contact avec les tendances et les solutions actuelles, et favorisent des conversations enrichissantes pour vous aider à résoudre des défis complexes en matière de cybersécurité.

Visitez le site HIP pour consulter les ressources. Et pensez à vous inscrire, vous et votre équipe, à la HIP Conf 2025 qui se tiendra à Charleston, en Caroline du Sud, au mois d'octobre.

Pour en savoir plus