Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Pourquoi et comment recourir à des fournisseurs de services de sécurité managés (MSSP) pour mieux gérer les identités et les accès au sein de son SI ?

avril 2020 par Hicham Bouali, Directeur avant- ventes EMEA chez One Identity

C’est un fait, les fuites de données ne cessent de se multiplier. Selon le rapport Verizon Data Breach Investigations Report, en 2019, 71% des failles de données avaient une motivation financière, et dans 56% des cas il aura fallu aux entreprises plusieurs mois avant de détecter qu’elles étaient victimes d’une fuite… La transformation numérique est certes une nécessité, mais elle est également responsable d’une plus grande vulnérabilité des entreprises, du fait d’une surface d’attaque élargie, au cloud notamment, et d’une rupture avec le périmètre de sécurité traditionnel. En plus de la complexité croissante de leur SI, les équipes de sécurité font face à des exigences de conformité ou des évaluations des risques de sécurité qui peuvent être des territoires complètement nouveaux pour elles.

L’un des principaux axes pour se protéger des failles de données (issues de l’interne ou de l’usurpation de comptes utilisateurs légitimes) et mieux maitriser les risques de son SI, est la mise en place de mesures de gestion des identités et des accès. Pour cela les entreprises font de plus en plus appel à des fournisseurs de services de sécurité managés, (MSSP). Mais avant de se lancer, soi-même ou via un fournisseur spécialisé, dans la gestion des accès et identités, il faut se poser les bonnes questions pour aboutir à des mesures et une gestion optimales :

Quels objectifs de sécurité conduisent une entreprise à externaliser sa gestion des identités et des accès par un MSSP ? Avant d’externaliser certaines fonctions de sécurité, une entreprise doit avoir défini précisément les objectifs qu’elle souhaite atteindre, qu’il s’agisse de faire évoluer le processus d’authentification pour les travailleurs à distance ou de surveiller les sessions à privilèges afin de protéger ses données critiques. Les MSSP ne sont pas tous équivalents, il est donc important de sélectionner un modèle adapté aux objectifs propres de l’entreprise.

Si l’entreprise a subi une transformation numérique importante, les processus de sécurité ont-ils également évolué ?

L’avènement des environnements Cloud et la numérisation des opérations a fait évoluer rapidement les besoins en sécurité. Avant de choisir un MSSP, l’entreprise doit comprendre ce qui a changé et où en sont les mesures de sécurité appropriées mises en place. L’entreprise devra également évaluer les changements qu’elle prévoit, afin de réfléchir à la sécurité dès la phase de conception. La sécurité peut faire partie du processus et être intégrée en toute transparence aux opérations métiers dès le départ.

Quelle est la surface à protéger ?

Pour établir une stratégie de gestion des identités et des accès efficaces, il faut déterminer les éléments à protéger, en réalisant un inventaire complet des actifs numériques de l’entreprise, hiérarchisés selon leurs facteurs de risques. Les systèmes les plus critiques auront besoin d’une authentification plus forte, mais il est nécessaire de comprendre comment l’identité est structurée sur les autres systèmes, pour s’assurer qu’un cybercriminel ne puisse profiter d’une élévation de privilège pour atteindre les ressources critiques.

Si l’entreprise a mis en place une stratégie BYOD ?

Le bureau se transforme pour offrir davantage de flexibilité aux employés, les appareils connectés les suivent partout, et certains peuvent utiliser leurs ordinateurs personnels. Cette flexibilité a entraîné une croissance exponentielle des points d’entrée potentiellement exploitables par les cybercriminels pour accéder au réseau de l’entreprise. Il est donc essentiel de s’assurer que les sessions qu’ils ouvrent depuis ces appareils, soient aussi sécurisées que lorsqu’ils se connectent au réseau à l’intérieur de l’enceinte de l’entreprise.

L’entreprise a-t-elle une visibilité totale de son réseau ?

La visibilité est un principe fondamental de sécurité. Les entreprises doivent impérativement identifier tous les appareils connectés à leur réseau même ceux cachés, auquel cas ils seraient impossibles à protéger.
Ce qui est assimilé à de l’informatique cachée (Shadow IT), dépend des stratégies des entreprises, mais correspond généralement, à tous les systèmes utilisés à l’insu du service informatique. Ces systèmes présentent un danger potentiel, l’entreprise doit alors développer des stratégies permettant de contrôler les éléments installés sur le réseau et les activités des employés sur leurs appareils. Chaque cas doit être étudié individuellement pour limiter les risques.

Des prestataires externes ont-ils accès à l’environnement de l’entreprise ?

Un des facteur clés de réussite d’un programme de gestion des identités et des accès, est de posséder une bonne visibilité des personnes ayant accès à l’environnement de l’entreprise. Sous-traitants comme fournisseurs tiers, toutes personnes susceptibles d’avoir accès au réseau et aux systèmes internes. Ces utilisateurs et leurs accès ne présentent pas moins de risques que les utilisateurs internes. Il convient donc de les gérer selon les mêmes principes qui régissent les stratégies de gestion des identités et des accès interne à l’entreprise, en leur accordant uniquement les privilèges dont ils ont besoin.

Ressources humaines : comment l’équipe informatique répond-elle aux besoins en cybersécurité ?

Faire appel à un MSSP présente deux avantages principaux : une réduction de la charge de travail des équipes de sécurité informatique et une gestion plus économique de la sécurité. Avant d’acheter une solution d’automatisation onéreuse, l’entreprise doit s’assurer que son équipe interne possède les compétences et la bande passante nécessaires pour l’exploiter efficacement. Avant de choisir un modèle de MSSP, l’entreprise doit réfléchir aux tâches réalisables en interne, celles qu’il serait judicieux d’externaliser pour faire des économies, et aux processus que l’équipe en charge de la sécurité a intérêt à gérer elle-même. Il ne doit pas y avoir de dichotomie entre les pratiques de sécurité et les outils utilisés, ni entre les fonctions sous-traitées et celles conservées en interne.

Quelles sont les normes de conformité à respecter ?

Auparavant, seuls les secteurs réglementés, tels que les services financiers et les assurances, étaient tenus de se conformer à des normes spécifiques. Avec l’entrée en vigueur du règlement général sur la protection des données (RGPD) et d’autres réglementations relatives à la protection de la vie privée, toutes les entreprises doivent s’y soumettre. Il est désormais de la responsabilité individuelle des entreprises de protéger les données qu’elles stockent, sous peine de graves conséquences financières et d’atteinte à leur réputation.

Il est important que l’entreprise évalue de manière réaliste ses ressources et ses fonctions de sécurité informatique et d’identifier si elles répondent aux exigences de conformité ?

Aborder ces questions avant de se lancer vers un MSSP, permettra à l’entreprise, et au MSSP, de trouver la meilleure réponse à leurs exigences spécifiques. Choisir un MSSP, c’est choisir un partenariat à double sens. C’est pourquoi les entreprises qui s’y préparent en amont, ont plus de chances de réussir avec l’aide et les conseils du MSSP choisi.




Voir les articles précédents

    

Voir les articles suivants