Face à la croissance constante des menaces informatiques et à l’évolution des exigences réglementaires, la nécessité de mettre en place des mesures de cybersécurité robustes n’a jamais été aussi pressante. Dans les environnements hybrides et dynamiques d’aujourd’hui, la gestion des identités et des accès (IAM) occupe une place essentielle dans la protection de la posture de sécurité d’une organisation. HCLTech - Tendances et perspectives a récemment interviewé Sonal Srivastava, responsable mondial de la stratégie, du conseil et de l’expertise IAM chez HCLTech, afin d’examiner plus en profondeur le rôle central de l’IAM dans l’élaboration des stratégies de cybersécurité.

« L’identité est le pont qui relie tout dans une organisation », explique-t-il. « Qu’il s’agisse d’utilisateurs humains ou d’entités non humaines telles que des machines et des applications, la gestion des identités et le contrôle des accès sont essentiels pour protéger les actifs, les données et les ressources de l’organisation. »

La notion traditionnelle de périmètres réseaux s’est dissoute face aux avancées technologiques rapides et à l’évolution des modes de travail. Srivastava évoque ce changement de paradigme en déclarant : « Avec l’avènement de l’informatique en nuage et du télétravail, les frontières sont devenues floues. L’identité est devenue le principal enjeu de la sécurité, car elle détermine qui accède à quoi, peu importe l’endroit ou l’appareil. »

Il met en lumière le lien intrinsèque entre l’IAM et l’écosystème plus large de la cybersécurité, soulignant son rôle central dans l’atténuation des risques multiples liés à la cybersécurité. « Dans l’environnement interconnecté d’aujourd’hui, l’efficacité des stratégies de cybersécurité repose sur une gouvernance robuste des identités et une gestion efficace des accès », affirme-t-il. « L’IAM agit non seulement comme rempart contre les menaces externes, mais améliore aussi la conformité réglementaire et favorise une culture axée sur des mesures de sécurité proactives. »

Le rôle de l’IAM dans le zero trust

Pour les directeurs de la sécurité de l’information (DSI), l’IAM constitue la pierre angulaire de la gestion de la posture de sécurité globale de l’organisation. Puisque les brèches et cyberattaques exploitent souvent les vulnérabilités dans les systèmes, contrôles et processus d’identité et d’accès, il est essentiel pour les DSI de donner priorité aux initiatives IAM dans leurs stratégies de sécurité.

Zero trust, le cadre de sécurité dominant, place l’identité au cœur même de la mise en œuvre des principes de privilège recommandés. Srivastava précise : « Le zero trust exige une authentification et une autorisation continues, rendant l’IAM indispensable. En vérifiant les identités à chaque tentative d’accès, les organisations peuvent réduire le risque d’accès non autorisé et de fuites de données. »

En dépit de son importance, la mise en œuvre de l’IAM comporte de nombreux défis pour les organisations. Il cite les systèmes hérités, les processus décentralisés et le rythme accéléré des avancées technologiques parmi les principaux obstacles. « Les infrastructures anciennes, une gestion inadéquate, les solutions cloisonnées et les processus non standardisés compliquent les efforts d’IAM », note-t-il. « Les organisations doivent composer avec ces complexités tout en veillant à l’alignement avec les objectifs d’affaires et les exigences réglementaires. »

Srivastava explique comment la transition vers les environnements de cloud et hybrides a supprimé les frontières traditionnelles des centres de données et nécessité une réévaluation de la sécurité d’entreprise. Il décrit judicieusement comment la COVID-19 a catalysé l’évolution de l’identité en nouvelle frontière, amplifiant l’urgence de cadres IAM robustes pour assurer la continuité des activités au sein de la main-d’œuvre à distance et face à l’évolution du paysage des menaces.

Alors que les organisations naviguent dans des environnements hybrides et adoptent des technologies émergentes telles que l’IA et l’AM, la complexité de l’adoption et/ou de la modernisation de l’IAM ne cesse de croître. Il précise que les DSI doivent s’adapter et innover dans l’architecture de solutions IAM modernes qui répondent aux défis sécuritaires émergents tout en veillant à la conformité et à la résilience.

Tirer parti des services de conseil et d’expertise

Pour surmonter ces défis, les organisations peuvent bénéficier de services de conseil et d’expertise. Srivastava souligne la valeur de l’accompagnement de spécialistes, affirmant : « Les consultants fournissent des perspectives impartiales, identifient les principaux points faibles, quantifient les risques et élaborent des stratégies adaptées pour relever les défis IAM. Ils contribuent également à établir une feuille de route d’implantation et, surtout, aident le client à obtenir l’adhésion des parties prenantes pour aller de l’avant. »

HCLTech adopte une approche pragmatique du conseil IAM, en se concentrant sur la compréhension des besoins uniques de chaque client, qu’ils concernent la transformation numérique, les fusions, acquisitions et cessions, la modernisation des identités ou l’adoption du zero trust. Il explique : « Nous comprenons les attentes et les irritants du client, adaptons les solutions en conséquence et livrons des résultats tangibles. Notre approche centrée sur le client et fondée sur les risques garantit que le programme IAM livre les résultats attendus, en temps voulu et conformément au plan défini. »

Srivastava éclaire les défis rencontrés par les organisations lors de la mise en œuvre des solutions IAM. Il illustre ce point par une intervention de conseil auprès d’un grand constructeur automobile. « L’organisation, avec son respect strict des processus hérités, a éprouvé des difficultés à s’adapter aux nouvelles technologies », explique-t-il. « Grâce au conseil, nous avons établi une unité centrale de gouvernance pour rationaliser le déploiement IAM, traiter les processus fragmentés et assurer une supervision unifiée. »

Un autre exemple marquant qu’il partage concerne une entreprise pharmaceutique américaine. « Cette organisation était confrontée à des outils disparates de gestion des identités et ne disposait pas d’une stratégie IAM cohérente », explique-t-il. « Après une évaluation de la maturité, nous avons repéré des écarts et recommandé des solutions IAM adaptées à leurs besoins, les aidant à améliorer leur maturité en IAM. »

À l’aide de l’accompagnement d’experts et d’une évaluation objective de l’état actuel, d’une planification stratégique de l’état final et de l’adhésion des parties prenantes à la stratégie et à la feuille de route envisagées, les services de conseil et d’expertise peuvent générer des initiatives significatives et des résultats ciblés, permettant aux organisations d’adopter des solutions IAM modernes, les tendances du secteur et les meilleures pratiques, tout en renforçant leur résilience pour détecter les menaces liées à l’identité, y répondre et s’assurer d’un succès durable à l’ère numérique.

Adopter les tendances émergentes

« L’IA et l’AM révolutionnent l’IAM, permettant une authentification adaptative et une détection des menaces en temps réel », affirme Srivastava. « Cependant, l’utilisation responsable de l’IA est essentielle, en tenant compte de l’évolution des cadres réglementaires et des considérations éthiques. » 

Il insiste sur la nécessité pour les DSI de rester informés de l’évolution des réglementations sur la sécurité et la sûreté de l’IA, préconisant une approche prudente de l’adoption. Une autre tendance à surveiller est l’informatique quantique, avec des répercussions directes sur le chiffrement et l’authentification au sein de l’IAM. Srivastava exhorte les DSI à demeurer vigilants et informés des avancées dans ce domaine, car l’informatique quantique offre à la fois des opportunités et des défis pour la cybersécurité.

Passant des tendances aux résultats mesurables, Srivastava souligne l’importance de certains indicateurs pour évaluer l’efficacité des investissements en IAM. Il préconise des métriques qui suivent les aspects clés tels que l’adoption et l’utilisation des outils et technologies IAM dans l’organisation, l’expérience utilisateur et l’état de conformité des comptes. En alignant les indicateurs sur les livrables et en surveillant leur évolution dans le temps, les organisations peuvent mesurer le succès de leurs initiatives IAM et assurer l’amélioration continue.

Les perspectives de Srivastava illustrent le caractère évolutif de l’IAM et la nécessité d’une adaptation stratégique face aux tendances et cadres réglementaires en mutation. En adoptant les innovations telles que l’IA, l’AM et les bonnes pratiques responsables, les organisations peuvent renforcer leur posture de sécurité et s’adapter à l’évolution permanente du paysage de la cybersécurité. 

Naviguer à travers la multitude des tendances IAM et les attentes divergentes de nombreux acteurs peut s’avérer complexe pour les organisations. Srivastava prodigue des conseils pratiques en matière de planification des investissements : « Qu’il s’agisse de la gestion des identités de machines, de la gestion des droits des infrastructures cloud (CIEM) ou d’une solution aussi simple que l’authentification multifacteur (MFA), les organisations doivent aligner les investissements sur les écarts qui comportent les risques les plus élevés et un impact majeur sur la sécurité. Réaliser une évaluation de la maturité du paysage existant est essentiel pour détecter les écarts, connaître les risques et hiérarchiser les investissements. Faire le point sur votre situation actuelle est une étape déterminante dans cette direction et aide à définir la vision pour l’avenir. »

Tirer parti de l’expertise de HCLTech

Srivastava met de l’avant l’accompagnement offert par HCLTech dans le parcours IAM des organisations. « HCLTech offre un service-conseil et une expertise complets personnalisés pour chaque client selon ses besoins particuliers. Grâce à des analyses de l’environnement et à la planification stratégique des investissements, nous permettons aux organisations d’évoluer dans la complexité de la cybersécurité en toute confiance. »

Srivastava identifie plusieurs grandes tendances que les DSI devraient prendre en compte dans leur stratégie d’investissement. La gestion des identités de machines s’impose en enjeu critique, soulignant l’importance d’attribuer la même attention aux identités non humaines qu’aux identités humaines. La gestion des secrets, clé pour protéger les communications machine à machine et application à application, prend une importance accrue dans le contexte du DevOps, du cloud et des architectures de microservices.

Il insiste également sur l’importance de la détection et de la réponse aux menaces identitaires dans un monde où les attaques par rançongiciel et hameçonnage deviennent de plus en plus fréquentes. On doit présumer qu’une brèche aura lieu, et les organisations doivent donc avoir une stratégie pour y faire face.

L’adoption du nuage impose des pratiques robustes de gestion des privilèges chez tous les “hyperscalers” auxquels une organisation a souscrit. C’est ici que la CIEM devient une dimension essentielle, assurant la visibilité, le contrôle, la gouvernance et la sécurité à travers les déploiements massifs dans le nuage.

L’analytique des identités et la surveillance du comportement utilisateur, couplées à l’authentification adaptative et à la MFA résistante au hameçonnage, renforcent la sécurité, surtout chez les détaillants ayant une vaste clientèle. En parallèle, la gestion des accès privilégiés (PAM) demeure un pilier des stratégies IAM, protégeant l’infrastructure critique et atténuant les risques d’attaques ciblant les identités et accès privilégiés (y compris les attaques par rançongiciels).

L’IAM est l’une des grandes priorités des DSI à l’échelle mondiale et il ne fait aucun doute que grâce au conseil stratégique, les organisations peuvent accroître leur maturité IAM, atténuer les risques, se moderniser et s’aligner sur les tendances émergentes. Pour orienter ce parcours et définir des voies d’investissement optimales, Srivastava conseille aux DSI d’allouer de manière proactive des budgets pour les services de conseil, d’expertise et d’évaluation. 

En mettant à profit l’expertise de HCLTech en conseil et stratégie IAM, les DSI peuvent combler efficacement les lacunes de leur environnement IAM, se doter d’une stratégie et d’un plan directeur solides, et les exécuter avec clarté et confiance pour renforcer leur posture de sécurité contre les menaces émergentes et garantir leur résilience face à l’évolution des menaces.