Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Tony Ball, HID Global La gestion des identités : fonction superflue ou nécessité ?

janvier 2012 par Tony Ball, Senior Vice-Président, Gestion des identités et des accès (IAM), HID Global

Les entreprises du monde entier doivent faire face à des menaces de sécurité de plus en plus nombreuses. Brèches de confidentialité, cyber attaques paralysantes et vol de données en interne ne sont que quelques unes des difficultés qu’elles doivent affronter et auxquelles elles doivent se préparer. Ces menaces peuvent nécessiter d’adopter une approche plus pragmatique de la sécurité si le contrôle d’accès physique figure parmi les priorités de l’entreprise.

La mise en évidence de risques inconnus jusqu’alors peut être particulièrement pénalisante en termes de réputation et affecter la confiance du marché. Cette situation peut perturber le fonctionnement d’une entreprise et même avoir des retombées sur le service client.

Les entreprises doivent en outre gérer de nombreuses règlementations telles que le Sarbanes-Oxley Act, la norme ISO9000 et les spécifications Bâle II qui nécessitent d’adopter une approche plus cohérente, et plus globale, de la gestion des risques, de la gouvernance d’entreprise et de la conformité des opérations au jour le jour.

Gérer de façon performante l’accès physique et logique à des ressources de grande valeur ou aux données sensibles est, pour une entreprise, l’un des moyens les plus efficaces de se protéger des multiples menaces auxquelles elle est confrontée. Guidée par ces impératifs, la gestion des accès et des identités (IAM) est en train de devenir la pierre angulaire de la sécurité des informations, un nombre croissant d’entreprises reconnaissant les bénéfices potentiels d’un programme IAM efficace en termes d’économies, de meilleurs niveaux de service, de gestion rigoureuse des réseaux informatiques et d’optimisation de la conformité aux recommandations.

Selon une étude réalisée par Forrester, plus de 75 % des professionnels de la sécurité informatique au Royaume-Uni, en France et en Allemagne indiquent que la gouvernance, le risque et la conformité les motivent à envisager des solutions de management des identités (IAM) pour leur entreprise.

Si la majorité des professionnels reconnait la nécessité d’une telle mise en œuvre, comment expliquer que cette reconnaissance ne se soit pas encore traduite par une adoption généralisée ?

Le coût est l’une des principales barrières à l’adoption citées par les entreprises qui l’ont envisagée mais ont décidé, à contrecœur, de ne pas l’adopter. La récession a fait des ravages dans les budgets informatiques et amené d’autres difficultés prenant parfois le pas sur la sécurité informatique. Cependant, lorsqu’une société réduit son budget informatique, elle peut se trouver dangereusement exposée à des risques de sécurité et à des risques financiers. L’argent économisé grâce à la réduction du budget informatique est alors très vite absorbé par le coût des brèches de sécurité. S’il est impossible de quantifier entièrement l’impact financier des incidents de sécurité, l’Institut Ponemon estime cependant que les fuites de données coûtent environ 70 euros par enregistrement compromis. Par comparaison, selon une étude réalisée par Datamonitor, les solutions de sécurité avec cartes à puce peuvent aboutir à des économies de plus de 1,5 millions d’euros pour 2 000 employés.

Une autre des raisons limitant l’adoption généralisée de l’IAM par les entreprises tient au fait qu’il est encore considéré par certains comme une mise en œuvre tactique plutôt que stratégique. Trop d’entreprises traitent encore l’IAM comme une série de projets ponctuels et non comme un procédé aussi dynamique que l’entreprise elle-même. Or, adopter une approche ponctuelle vis-à-vis de l’IAM peut s’avérer, au minimum, contreproductif. Jongler avec de multiples systèmes mutuellement exclusifs est voué à l’échec. Non seulement, cette approche est coûteuse et utilise beaucoup de ressources mais encore l’absence d’intégration ou de coordination entre les systèmes génère beaucoup de complexités inutiles. Cette situation aboutit souvent à un manque d’engagement de la direction générale et, par voie de conséquence, à un manque d’engagement des employés eux-mêmes.

Les entreprises qui doivent mettre en œuvre l’IAM mais ne savent pas par où commencer pourraient le comparer à un champ de mines. Pour nombre d’entre elles, le point de départ évident n’est autre que les cartes à puce. Prenons comme exemple l’une des plus grosses bêtes noires du département informatique : la gestion des identités. Cette gestion, par nature, est pour le moins difficile mais, en cas d’identités multiples, disparates, pour chaque utilisateur, elle confine au cauchemar pour les DSI. Si les utilisateurs se servent de plusieurs identités pour accéder aux informations stockées dans différents endroits, regrouper toutes ces informations en un seul format, lorsque les systèmes sont combinés, peut devenir très complexe.

Une récente étude, réalisée par la société de sécurité informatique Sophos, révèle qu’un tiers des personnes interrogées utilise un seul mot de passe sur de multiples sites. Dans ce cas, si un compte est compromis, tous les comptes le sont. La combinaison nom d’utilisateur/mot de passe reste la méthode la plus répandue pour accéder aux systèmes informatiques mais ses inconvénients sont bien documentés.

La technologie des cartes à puce progresse sans arrêt. Ces cartes peuvent maintenant offrir trois niveaux de sécurité : authentification à un, deux ou trois facteurs. Avec l’authentification à un seul facteur, l’utilisation de la carte à elle seule garantit l’accès à un système ou ouvre une porte. L’authentification à deux facteurs ajoute un niveau de sécurité supplémentaire sous la forme d’un code PIN. L’authentification à trois facteurs va encore un peu plus loin en utilisant un code PIN et une mesure de sécurité supplémentaire telle qu’un scan biométrique. Les cartes à puce trouvent également des applications efficaces en dehors du monde des entreprises. Cette technologie aide aujourd’hui à résoudre certains des problèmes les plus épineux du secteur de la santé, notamment la protection des patients et du personnel, de même que la protection des informations confidentielles des patients. Au Royaume-Uni, de nombreux hôpitaux commencent à s’intéresser aux avantages des cartes à puce pour le contrôle de l’accès physique aux bâtiments et pour la sécurité logique des réseaux informatiques qui stockent les données confidentielles des patients.

Autrefois, il était relativement facile à un intrus de se déplacer sans difficulté dans un hôpital et d’accéder aux zones réservées au seul personnel autorisé. Dans de rares cas, cette situation a abouti à des brèches de sécurité telles que le kidnapping de nouveau-nés. Les cartes à puce résolvent ce problème d’accès physique grâce au cryptage et à différents niveaux d’accès aux bâtiments, en fonction du type de personnel.

Le personnel médical se sert également des cartes à puce pour accéder rapidement aux données sensibles d’un patient. Par conséquent, outre la protection des informations personnelles du patient, l’utilisation d’une carte à puce pour la sécurité logique autorise également un gain de temps et donc une plus grande efficacité.

Correctement mises en œuvre, les solutions de gestion des identités et des accès peuvent aider les entreprises à renforcer la sécurité de leurs données et de leur activité, tout facilitant l’accès aux informations par les utilisateurs. En clair, le défi, pour toute entreprise mettant en œuvre un système IAM, consiste à regrouper contrôle d’accès physique et sécurité logique afin d’assurer un meilleur fonctionnement et par conséquent, un meilleur service aux clients.

Dans un environnement de plus en plus préoccupé des risques, l’IAM s’établit rapidement comme un élément fondamental et non négociable de l’infrastructure informatique. Bien que l’IAM soit destiné à gérer certains des plus grands défis de sécurité, il le fait avec une approche directe et de bon sens.

Portables et sécurisées, les cartes à puce deviennent rapidement un outil de plus en plus précieux dans les entreprises, les hôpitaux, les administrations et toute entreprise cherchant des solutions de sécurité renforcées. Lorsque l’on compare les avantages des solutions de gestion des identités et des accès aux coûts des dommages en termes de réputation, de brèches de sécurité et de non-conformité, l’IAM peut offrir une valeur remarquable, économisant temps et argent tout en protégeant les biens de l’entreprise.




Voir les articles précédents

    

Voir les articles suivants