Gestion des identités dans l’IT : sécuriser son SI avec l’IAM

IAM : respecter le principe de moindre privilège

Dans le cadre d’une stratégie de gestion des identités et des accès (IAM) dans un environnement IT, il est important de respecter le principe de « Need to Know » (besoin d’en connaître) consistant à aligner les besoins aux privilèges instaurés. Ce n’est pas parce qu’un utilisateur est admin IT qu’il doit avoir accès à des informations métiers par exemple, même s’il peut avoir le pouvoir de s’accorder les droits. Il faut s’assurer dans sa politique IAM que personne n'ait de droits qui outrepassent sa fonction.

IAM : maîtriser l'inventaire de ses outils et de son parc IT

Dans l'IT, on ne peut sécuriser des réseaux, des serveurs ou des machines dont on ignore l'existence. Effectivement, beaucoup d’audit ou de pentests révèlent des machines avec des protocoles legacy obsolètes. Par exemple, il peut s'agir d'une machine Test1234 créée par un développement ou un utilisateur admin à l’époque, qui n’a jamais été supprimée et qui dispose de certains accès.

Pour développement une stratégie IAM dans son environnement IT, il est essentiel de maîtriser son parc de bout en bout, ce qui peut être très difficile chez des grands comptes qui disposent de machines masterisées ou décommissionnées tous les jours. Cela constitue un très gros vecteur de risque dans l'IT.

Souvent, quand on réalise des projets IT de move-to-cloud ou de move-to-another-datacenter, on peut mener un audit et découvrir l’existence de matériels oubliés qu’on ne soupçonnait plus, mais qui sont une porte d’entrée ouverte vers son SI.

IAM : maîtriser ses processus d’attribution et de revue des privilèges

Le "privilege creep" (ou "accumulation des privilèges") se caractérise par l'accumulation progressive et non contrôlée de privilèges ou de droits d'accès par des utilisateurs au fil du temps, dus à :

• Changement de postes ou de responsabilités : lorsqu'un employé change de poste ou de responsabilités dans l'IT, il peut conserver les privilèges associés à son ancien rôle en plus de ceux nécessaires pour son nouveau poste.
• Manque de révision des privilèges : si les privilèges ne sont pas régulièrement réévalués et mis à jour, un utilisateur peut accumuler des droits d'accès dont il n'a plus besoin.
• Attribution temporaire des droits : parfois, des privilèges supplémentaires sont accordés temporairement pour un projet ou une tâche spécifique, mais ils ne sont pas révoqués une fois le projet terminé.

Les conséquences du "privilege creep" peuvent être sérieuses. Cela peut entraîner des risques de sécurité importants, comme un accès non autorisé à des informations sensibles ou des systèmes critiques, augmentant ainsi la surface d'attaque pour des acteurs malveillants internes ou externes. De plus, cela complique la gestion des accès et la conformité avec les régulations de sécurité.

C'est un élément à prendre en compte dans la gestion de sa stratégie IAM au sein de son environnement IT.

S’assurer d’être à l’état de l’art via l’audit et la veille sur l'IAM

Il est important de réaliser de l’audit et de la veille régulière afin de s’assurer d’être à l’état de l’art en matière de gestion des identités et des accès (IAM), de cybersécurité et d'évolution IT en général.

Nous sommes dans un secteur qui évolue très rapidement, tant en termes d’outils que d’attaques et de nouvelles failles peuvent être décelées quotidiennement.

Disposer d’équipes IT de cyberdéfense (SOC et CERT) pour construire sa stratégie IAM

Que vous soyez un grand compte ou même une entreprise plus petite avec un SOC externe, il est important de disposer d’équipes IT de cyberdéfense qui vont analyser les potentielles attaques et faiblesses :

• SOC (Security Operations Center) : c’est une équipe centralisée qui a pour objectifs de superviser, détecter, analyser et répondre aux incidents de sécurité en temps réel. Le SOC surveille les réseaux, les serveurs, les endpoints, les bases de données, les applications, les sites web et autres systèmes en temps réel pour identifier toute activité suspecte ou malveillante. Il utilise des outils de surveillance de la sécurité, tels que les SIEM (Security Information and Event Management), pour collecter et analyser les données.
• CERT (Computer Emergency Response Team) ou CSIRT (Computer Security Incident Response Team) : c’est une équipe spécialisée dans la réponse aux incidents de sécurité. Le CERT se concentre principalement sur la coordination entre les différentes parties prenantes, la gestion des alertes et des avis de sécurité, ainsi que l'analyse post-incident pour proposer des recommandations et des améliorations.

Explorer les outils IAM proposés par les CSP

Les Cloud Service Provider (CSP) proposent de nombreux outils pour gérer les identités et les accès (IAM). Les outils IT, presque trop nombreux, doivent être explorés par les organisations car ils proposent des solutions clé en main pour améliorer la sécurité. D’où le fait de s’assurer d’être à l’état de l’art du marché pour exploiter les outils adaptés à son périmètre, ses contraintes réglementaires et son secteur d’activité (si l’entreprise fait du paiement pour du PCI DSS, du HDS pour des données de santé, etc.)

Réaliser des campagnes de sensibilisation et de fishing 

Il est important de garder une « hygiène cyber » au sein de son entreprise et de réaliser très régulièrement des campagnes de communication et de fishing pour sensibiliser les utilisateurs aux risques cyber.

La sensibilisation est un point essentiel, notamment à une époque où de plus en plus d’utilisateurs peuvent être amenés à se servir d’appareils professionnels pour réaliser des tâches personnelles, ou l’inverse.

Ces campagnes de sensibilisation et de fishing sont également un levier pour faire prendre confiance aux utilisateurs des risques et des impacts en matière de cyber, notamment en regard à la recrudescence de cyberattaques. À titre d’exemple, un téléchargement malheureux d’une pièce jointe non vérifiée peut possiblement faire perdre leur emploi à des centaines ou des milliers de personnes dans les cas les plus graves.