Dans un monde axé sur le cloud et l’hybride, soutenu par des données distribuées, la gestion des identités et des accès (GIA) soutient tout, du point de vue de l’architecture de sécurité en entreprise.

En décrivant ce terme, Prashant Mascarenhas, vice-président – Cybersécurité et services de GRC chez HCLTech, déclare : « C’est un élément qui a un impact direct sur l’expérience utilisateur dans la façon dont les utilisateurs d’entreprise ou les consommateurs interagissent avec les systèmes informatiques et les applications auxquels ils doivent accéder. »

Selon Mascarenhas, la GIA est définie par trois éléments.

Le premier consiste à gérer les identités « humaines, machines ou de dispositifs ». Le deuxième consiste à fournir le bon accès à ces identités—la politique de sécurité définit qui a accès à certaines données et applications. Le troisième est la gouvernance, qui se concentre sur la compréhension d’un éventuel problème et, le cas échéant, sur la façon d’y remédier conformément aux règlements, qui obligent les organisations à signaler certains incidents.

La première ligne de défense

Dans le monde informatique traditionnel, la plupart des applications et des données d’entreprise résidaient dans des centres de données sur site. Dans cet environnement, la sécurité du réseau constituait la première ligne de défense et les entreprises adoptaient une approche en couches de la cybersécurité pour faire face aux menaces internes et externes.

Cependant, « ces couches n’existent plus aujourd’hui. Les données sont distribuées et la plupart des applications ont migré vers le cloud, avec des effectifs mondiaux fonctionnant selon un modèle hybride », affirme Mascarenhas.

Aujourd’hui, la GIA est l’un des aspects les plus critiques d’une stratégie de cybersécurité et constitue la première ligne de défense contre la cybercriminalité. Elle permet aux entreprises d’accorder à certains utilisateurs l’accès à différentes applications et données dans un environnement en pleine expansion, dans le cadre d’une architecture zéro confiance qui intègre le monde émergent de l’informatique en périphérie.

La cybersécurité en maillage pour l’entreprise nouvelle génération

Le concept de cybersécurité en maillage a été introduit par Gartner dans ses principales tendances technologiques stratégiques pour 2022.

La société d’analyse prévoyait qu’en 2024, les organisations adoptant une architecture de cybersécurité en maillage réduiraient de 90 % en moyenne l’impact financier des incidents de sécurité.

« Ce concept ou cette architecture en développement représente l’intégration de divers outils de sécurité dans un écosystème, où tous ces outils échangent des données contextuelles entre eux. Les organisations peuvent alors créer une politique de sécurité unifiée à travers ces divers outils de sécurité en utilisant des mécanismes de communication modernes et une approche axée sur les API. Ceci permet une analyse en temps réel de la posture de sécurité d’une organisation », précise Mascarenhas.

Il poursuit : « Cette idée est très similaire au zéro confiance—l’identité est la pierre angulaire de l’ensemble du concept. L’identité permet à tous les outils distincts de bien fonctionner ensemble et facilite le déploiement de politiques de droits minimaux dans un environnement distribué. »

Offrir une meilleure expérience utilisateur

La GIA représente la base de tout dans le domaine de la sécurité. Il s’agit du premier point de contrôle d’une entreprise et de la première ligne de défense.

Au-delà de cela, la GIA a un énorme potentiel pour améliorer l’expérience utilisateur.

Mascarenhas explique : « Au fil des ans, les entreprises ont mis en place de nombreux contrôles de sécurité, et lorsque les utilisateurs commencent à accéder à des applications ou à des données, ces contrôles deviennent visibles et créent une expérience utilisateur négative. Mais, en adoptant la GIA et en l’intégrant à l’ensemble des outils de sécurité du maillage de cybersécurité, il est possible de rendre beaucoup de ces contrôles plus transparents pour l’utilisateur, réduisant ainsi la friction. Cela va améliorer l’expérience utilisateur et, en même temps, aider les organisations à renforcer leur posture de sécurité. »

Soutenir les ambitions en matière de GIA

Pour les organisations soucieuses de la sécurité, la GIA est une nécessité. Mais souvent, elles éprouvent des difficultés à mettre en place de tels cadres par elles-mêmes.

Les partenaires de transformation technologique, comme HCLTech, peuvent soutenir ce parcours de cybersécurité.

« HCLTech possède une vaste pratique de l’identité, avec près de 1500 ressources. Nous collaborons avec de nombreux partenaires technologiques différents, qu’il s’agisse d’authentification moderne ou de services d’annuaire, pour aider les organisations à réaliser leurs ambitions en cybersécurité. De plus, nous pouvons assurer la gouvernance et l’administration des produits de GIA via notre plateforme IGA, tout en offrant des services de conseil permettant d’évaluer le paysage actuel de la sécurité d’une entreprise. Cela favorise la transformation, l’automatisation et réduit la quantité d’efforts humains nécessaires pour intégrer de nouvelles technologies comme l’intelligence artificielle et l’apprentissage automatique afin d’atténuer les risques et d’adopter une approche globale de la sécurité », affirme Mascarenhas.

Il ajoute : « Le paysage applicatif et les politiques de sécurité évoluent constamment. Pour s’adapter à cet environnement en perpétuel changement, les systèmes d’identité doivent adopter une approche DevOps afin de pouvoir fonctionner et évoluer de façon agile. C’est un service que nous pouvons offrir et qui est assez unique dans le domaine de l’identité.