Back to Basics: l’importance de la gestion des identités et des accès
Depuis plus d’une décennie, les experts en cybersécurité alertent sur les failles liées à la gestion des identités et des accès. Néanmoins, de nombreuses entreprises suisses restent vulnérables, faute de mesures adaptées. Entre solutions inachevées et résistances organisationnelles, il est temps de revenir aux fondamentaux.
Malgré l’enjeu central que représente la cybersécurité, certaines failles persistent, et ce, malgré des années de sensibilisation. La gestion des identités et des accès (IAM) en est un exemple frappant. Les experts martèlent la nécessité d’un contrôle strict des accès aux systèmes d’information. Pourtant, nombre d’attaques actuelles démontrent que cette problématique reste largement sous-estimée. Selon le Centre National pour la Cybersécurité (NCSC), les incidents impliquant des accès non autorisés, souvent liés à un vol de données ou une mauvaise gestion des identifiants, représentent une part importante des compromissions signalées (source: NCSC Rapport semestriel 2023/II (juillet – décembre)).
Multiplication des applications - failles récurrentes - attaques facilitées
Les audits de sécurité révèlent des erreurs similaires d’une entreprise à l’autre:
- Absence de gouvernance des identités, avec des droits d’accès trop larges et mal définis
- Utilisation de mots de passe faibles ou réutilisés
- Multiplication des portails et applications sans politique unifiée de gestion des accès
- Droits non révoqués après le départ d’un employé ou un changement de fonction
- Manque de contrôle sur les accès distants, facilitant l’utilisation d’identifiants volés
Notre retour d’expérience nous démontre qu’aujourd’hui encore, beaucoup d’entreprises subissent des attaques par compromission d’identifiants, donnant aux cybercriminels un accès non détecté. Nombre d’entre elles ne disposent toujours pas d’une authentificationmulti-facteurs (MFA), qui s’avère pourtant fondamentale, ni d’une gouvernance efficace des identités. De plus, les accès ne sont pas limités en fonction de l’appareil, de la localisation de l’utilisateur ou du nombre de tentatives de connexion.
Pourquoi ces fondamentaux sont-ils encore négligés?
Plusieurs facteurs expliquent cette situation:
1. La gestion des accès est souvent consi
dérée comme une tâche technique, alors qu’elle relève d’une véritable gouvernance d’entreprise, impliquant tous les métiers et la mise en place de politiques strictes.
2. Une priorité donnée à la technologie
Beaucoup d’entreprises investissent dans des solutions d’IAM sophistiquées sans avoir mis en place des mesures de base.
3. Un manque de formation du personnel
La gestion des identités représente un défi organisationnel et humain.
Retour aux sources: (re)partir sur de bonnes bases – les bons réflexes
Face à ces lacunes, il est urgent de revenir à des principes essentiels:
- Gouvernance stricte des accès: qui a accès à quoi, et pourquoi?
- Unification et Centralisation de l’authentification des applications entreprise (SSO)
- Mise en place systématique de l’authentification multi-facteurs
- Utilisation de mots de passe forts et uniques
- Automatisation des processus de créations, mise à jour et suppressions de comptes afin d’éviter les accès fantômes
- Revue régulière des accès et sensibilisation des collaborateurs
Revenir aux fondamentaux ne constitue pas un aveu de faiblesse, mais bien une nécessité stratégique. Une gouvernance efficace, associée à une évaluation continue des dispositifs en place, permet aux organisations de renforcer leur posture de cybersécurité et de gagner en maturité sur la gestion des identités et des accès. Adopter une approche mêlant humain, processus et technologie est essentielle pour répondre aux menaces actuelles. SPIE se positionne en amont et accompagne ses clients tout au long de leur stratégie en cybersécurité.
«Les entreprises doivent appliquer strictement le principe du moindre privilège»
Pour les cybercriminels, les données d'accès compromises sont une aubaine. Frédéric Noyer, Head of Governance Services chez Spie ICS, explique comment les entreprises peuvent se protéger contre les accès non autorisés et comment elles peuvent gérer les accès en toute sécurité. Interview: Yannick Chavanne
Comment concrètement définir et mettre en œuvre une gouvernance stricte des accès au sein d’une entreprise, en impliquant tous les métiers concernés?
La mise en œuvre d’une gouvernance stricte des accès implique d’abord une analyse des risques d’accès à l’information. Ensuite, il est nécessaire d’établir des règles claires d’authentification et d’autorisation, adaptées aux besoins des métiers et aux objectifs stratégiques. Il faut formaliser les rôles et responsabilités, en impliquant activement les métiers pour garantir la pertinence des accès accordés. Le cycle de vie complet des identités doit être rigoureusement encadré, depuis la création jusqu’à la révocation des accès, avec des ajustements réguliers selon les évolutions professionnelles. L’utilisation de solutions technologiques telles que les systèmes IAM (Identity and Access Management) et l’authentification multi-facteurs (MFA) sont indispensables. Une formation régulière et une sensibilisation constante des collaborateurs, couplées à une communication efficace, renforcent l’adhésion aux bonnes pratiques. Enfin, la réalisation régulière d’audits et la surveillance proactive des comptes à l’aide d’outils tels qu’IDS, IPS ou SIEM garantissent une amélioration continue.
A quelle fréquence et selon quels critères une entreprise devrait-elle effectuer une revue des accès pour garantir une gestion des identités optimale?
Une revue complète des accès doit être effectuée régulièrement et annuellement pour l’ensemble des utilisateurs. Toutefois, pour les comptes privilégiés et les systèmes à risques ou sensibles, une revue trimestrielle est fortement recommandée. Une surveillance des comptes et des accès automatisée continue doit compléter ces revues périodiques afin de détecter rapidement toute anomalie.
Les critères prioritaires incluent le niveau de risque des comptes, les changements organisationnels importants (départs, arrivées, changements de rôles) et les obligations réglementaires telles que la conformité ISO 27001. Toute anomalie détectée lors de ces revues doit immédiatement faire l’objet d’une correction ou révocation des accès concernés.
Quelles mesures de sécurité spécifiques les entreprises devraient-elles adopter pour mitiger les risques liés à l’accès à distance et à l’utilisation d’identifiants volés?
Plusieurs mesures spécifiques doivent être adoptées pour sécuriser l’accès à distance. Premièrement, un inventaire complet des utilisateurs et parties prenantes concernés doit être réalisé. La mise en œuvre d’un contrôle des flux d’accès et d’une authentification multi-facteurs (MFA) est essentielle pour renforcer la sécurité des connexions. L’utilisation systématique de VPN permet de sécuriser et chiffrer les échanges. La gestion centralisée des identités (IAM) est indispensable pour contrôler précisément les privilèges des utilisateurs et réagir rapidement en cas d’incident. Le principe du moindre privilège doit être strictement appliqué pour limiter les risques. L’utilisation généralisée de gestionnaires de mots de passe permet d’assurer des mots de passe robustes et uniques, réduisant ainsi leur réutilisation et leur compromission. Enfin, la sensibilisation régulière des collaborateurs sur les menaces spécifiques telles que le phishing et une surveillance proactive continue des comptes et des accès via des outils de détection garantissent une réaction rapide face aux menaces.
