septembre 2022 par Hervé Liotaud, VP South Europe Chez SailPoint

Lorsque la pandémie s’est déclenchée en 2020, les entreprises ont tenté de développer rapidement une main-d’œuvre 100% virtuelle. L’élément le plus urgent sur leur liste : permettre à chacun d’accéder à l’ensemble des outils et applications dont il avait besoin pour travailler depuis son domicile et être productif. Le changement qui s’est alors opéré a non seulement été rapide, mais il a également créé une marge d’erreur importante en ce qui concerne la sécurité de l’entreprise, car tout le monde avait désormais accès à tout. Les entreprises ont donc été contraintes de comprendre les défis que représente le maintien de la productivité d’une main-d’œuvre virtuelle sans compromettre la sécurité de leur SI.

Aujourd’hui, plus de deux ans plus tard, il est clair que la main-d’œuvre virtuelle est là pour rester. Parallèlement, ce qui était autrefois considéré comme une transformation numérique pour les entreprises de tous les secteurs est devenu une accélération numérique. Les organisations adoptent plus rapidement que jamais un éventail de nouvelles technologies pour rester compétitives, et le nombre comme la variété des identités qui doivent avoir accès à ces technologies sont montés en flèche. Entre ces deux dynamiques, les entreprises ont du mal à suivre le rythme, tant du point de vue de la sécurité que des accès. Sans disposer d’un système moderne de sécurité des identités, elles se trouveront dans l’incapacité de fonctionner au quotidien sans s’exposer à des risques importants.

La conclusion est la suivante : les organisations ne peuvent pas se permettre de passer à la vitesse supérieure dans leurs efforts de transformation de l’entreprise si elles n’ont pas les bonnes bases en place pour appuyer sur l’accélérateur en toute sécurité. Cette base, l’élément qui se trouve au cœur de tout cela, est la sécurité de l’identité. Elle continue d’être « essentielle » au mouvement de transformation numérique accélérée qui se produit dans le monde entier. Aucune entreprise ne peut aujourd’hui se permettre d’exclure la sécurité des identités de ses priorités.

Les équipes chargées de la sécurité et de la protection des identités sont au cœur de cette rupture. Elles font l’objet au quotidien d’une multitude de menaces et la majorité d’entre elles visent les identités qui permettent aux entreprises de fonctionner à plein régime. L’IDSA (Identity Defined Security Alliance) vient de publier un nouveau rapport à ce sujet qui confirme ce que nous constatons tous les jours dans les conversations avec les clients : 84 % des organisations ont subi une violation liée à l’identité au cours de l’année écoulée.

C’est pour cette raison que les RSSI du monde entier continuent intelligemment à placer la sécurité de l’identité au cœur de leurs programmes de sécurité d’entreprise. Il s’agit pour eux d’un programme qui, lorsqu’il est bien fait, s’inscrit de plain-pied dans la stratégie de la direction générale. Cette approche peut les faire évoluer ou au contraire les handicaper dans la mesure où elle fait la différence entre protéger pleinement leur entreprise contre la menace liée à l’identité ou se contenter d’un travail « suffisant », ce qui revient à ne rien faire du tout. C’est bien connu : les hackers ne se reposent jamais et ne se contentent jamais de peu. Au contraire, ils cherchent le point d’entrée le plus facile pour attaquer, et dans presque 100 % des cas c’est par le biais d’une identité compromise que cela se produit.

Aucune entreprise ne peut se permettre d’ouvrir l’accès à ses ressources technologiques sans sécuriser chaque point d’accès de contrôles de sécurité d’identité clairs : qui doit avoir accès, pour combien de temps, et jusqu’où doit aller cet accès ? Il ne s’agit pas simplement d’activer un interrupteur ; il faut une réflexion approfondie de l’identité derrière chaque bascule. Celle-ci, et celle-ci seule, permet d’appliquer correctement les politiques de sécurité de l’identité pour toutes les identités et tous les points d’accès technologiques nécessaires pour le travail ou le rôle de chacun.

Ce n’est pas tout. Pour couronner le tout, il est nécessaire d’avoir un niveau d’automatisation adéquat afin de s’assurer que toutes ces décisions suivent le rythme de l’évolution de l’environnement de l’entreprise. Si vous comptez sur les gens pour suivre le rythme, ce n’est pas suffisant. Le problème auquel nous faisons face a largement dépassé les capacités humaines : il nécessite intelligence et automatisation si l’on souhaite rester en tête. Une sécurité des identités faible ou légère, voire même « suffisante », ouvre la porte aux menaces de sécurité, aux insuffisances en matière de conformité et aux baisses de productivité. En d’autres termes, la sécurité « suffisante » n’est pas suffisante. Le RSSI qui a opté pour cette option a probablement mis son emploi en péril, tout comme d’ailleurs la réputation de son organisation.

La pandémie a été l’un des exemples concrets les plus tangibles pour démontrer en quoi l’identité se devait d’être le fondement de chaque entreprise. La transformation et l’accélération numériques qui se déploient actuellement en sont un nouvel exemple. Celui-ci est permanent, profond. Il touche tous les continents, tous les secteurs, le privé comme le public, et sera certainement l’un des juges de paix qui permettront de sanctionner la pérennité de nos entreprises demain.