Par Arnaud Gallut, directeur des ventes pour l’Europe du sud chez Ping identity
Un responsable de la sécurité informatique chez un de nos grands clients nous a récemment fait part d’une réflexion qui nous a semblé particulièrement juste : « désormais, le cloud est devenu le data center. Internet est devenu le réseau interne. L’identité est devenue le périmètre de sécurité, et tout terminal est devenu un terminal professionnel. »
L’authentification multifacteur peut prévenir des attaques de credential stuffing mais n’empêchera pas automatiquement les utilisateurs de divulguer leurs identifiants via des attaques de phishing. Pour prévenir ce type d’attaques, des formations anti-phishing et l’adoption de la solution d’authentification multifacteur Fido 2 sont recommandées. Fido 2 prévient les attaques de phishing en obligeant l’utilisateur à enregistrer au préalable tous les sites authentifiés. Elle n’acceptera ensuite que les demandes d’authentification provenant des sites enregistrés, bloquant ainsi tous les faux sites de phishing qui tenteraient de récupérer de récolter vos mots de passe et code à usage unique (OTP) puis de prendre le contrôle de votre session utilisateur.
Un processus explicite d’autorisation d’accès doit intervenir entre deux points d’un système, quels qu’ils soient. Ceci s’applique aux utilisateurs, aux applications et aux services. L’autorisation doit être refusée par défaut sauf dans le cas d’une autorisation explicite stipulant que le demandeur, qu’il s’agisse d’un humain ou d’une application, est autorisé à accéder à ces données, à ce service ou à cette application.
Plutôt que de s’appuyer uniquement sur des règles rigides et définies de façon statique, il est préférable de se tourner vers une solution alimentée par du machine learning, plus flexible, afin d’améliorer les processus d’authentification et d’autorisation. Ces solutions améliorent l’expérience utilisateur en supprimant des étapes d’authentification inutiles lorsqu’il existe une réelle certitude que l’utilisateur est bien celui qu’il prétend être. Elles peuvent aussi analyser les schémas d’accès pour détecter des botnets ou des piratages de données et ainsi refuser l’accès dans des cas où des règles statiques n’auraient rien bloqué.
TOUT TERMINAL EST DEVENU UN TERMINAL PROFESSIONNEL
La quatrième affirmation résulte directement des trois autres. N’autoriser l’accès aux données et aux applications qu’à partir des terminaux de l’entreprise est un cauchemar en termes de management, et réduit la productivité des employés. Dans une économie 24/7, les employés doivent être capables d’accéder aux informations et applications en tous lieux et à partir de n’importe quel terminal. Ceci ne veut pas dire que chaque terminal ne doit pas être validé pour s’assurer qu’il n’a pas été piraté. Les entreprises peuvent utiliser des solutions MDM ou CASB pour contrôler la diffusion des données. Pour des cas d’usages aussi bien grand public qu’en entreprise, l’analyse des données peut également aider à détecter des anomalies sur la base de facteurs tels que la géolocalisation et les schémas d’accès. L’objectif primordial est d’établir des processus de contrôle qui permettent aux équipes de sécurité de maîtriser tous les usages BYOD à la fois pour des cas d’utilisation professionnels ou grand public.
DES ACCÈS DE N’IMPORTE OÙ, N’IMPORTE QUAND, N’IMPORTE COMMENT
En bref, les entreprises doivent inverser leur façon de penser. Au lieu d’essayer d’enfermer les applications et les données dans des coffres forts sécurisés, elles doivent en autoriser l’accès depuis n’importe où. En adoptant une politique d’accès à n’importe quelles données, en tout lieu et à partir de n’importe quel terminal, ainsi qu’en mettant en place les procédures et les contrôles nécessaires pour en faire une réalité parfaitement sécurisée, les entreprises pourront améliorer le confort de travail de ses employés et accroître leur productivité. Elles pourront aussi disposer d’une infrastructure flexible qui leur permettra de s’adapter facilement à l’évolution rapide de leurs besoins et de leurs choix technologiques sans avoir à reconfigurer leurs systèmes.