7 conseils pour gérer la sécurité de vos identités numériques

Publié le 05/01/2023 dans Actualité

7 conseils pour gérer la sécurité de vos identités numériques

La sécurité est en pleine évolution. La sécurité se focalise non pas seulement sur le périmètre, mais également sur l’utilisateur. Jusqu’à récemment, la gestion des identités était souvent assez fragmentée, alors qu’il est nécessaire d’adopter une approche globale.

7 conseils pour réussir votre gestion des identités par Bart Callens, Product Manager chez Proximus.

Une identité numérique se définit par l’ensemble des informations concernant un individu, une entreprise ou un appareil électronique existant en ligne. Il est important pour une entreprise de gérer dûment ses identités numériques, notamment en ce qui concerne l’accès qu’elles ont au réseau, aux données et aux applications de l’entreprise.

1. Les trois commandements : qui, quoi, où

Des entreprises telles que Google ou Facebook sont probablement les plus gros processeurs de données d’identité. Pourtant, cela n’a que peu d’utilité. Un service public n’autorisera jamais un citoyen à s’enregistrer à l’aide de ses seuls identifiants Facebook. Ceci est dû aux trois commandements de la gestion des identités : authentification (être sûr de qui il s’agit), autorisation (donner à cette personne les droits et privilèges adéquats) et vérification (savoir ce qu’il est advenu des données).

2. La nécessité d’une approche intégrée

Une entreprise ne doit pas envisager son approche de la gestion des identités d’un point de vue purement informatique. Elle concerne en effet de nombreux services au sein de l’entreprise. Par exemple, les ressources humaines, en charge du recrutement et du licenciement des employés, le marketing, qui souhaite faciliter l’expérience des clients pendant leur enregistrement et les inciter à utiliser ses applications digitales, ou encore le service juridique et de conformité, qui veut gérer les identités numériques, celles-ci étant soumises à de nombreuses législations et règlements comme le RGPD.

Il est par conséquent important que toutes les parties concernées soient identifiées et impliquées dans le projet d’identité numérique.

La gestion des identités est en outre un important fondement d’une architecture Zero Trust moderne, et c’est pourquoi elle devrait être intégrée à votre architecture ZTNA (Zero-Trust Network Access) générale et corréler les événements relatifs aux identités aux autres événements de sécurité de votre réseau. Aujourd’hui, beaucoup d’attaques impliquent une élévation de privilèges dans le cadre de la kill chain. Détecter les menaces de sécurité liées aux identités vous permettra d’identifier et d’arrêter les attaques plus tôt et de limiter les dégâts provoqués par de telles attaques.

3. Commencez petit et apprenez

Il n’est pas recommandé d’adopter une approche ‘Big Bang’ pour un projet de gestion des identités réussi. Commencez petit, occupez-vous d’un nombre limité de groupes d’utilisateurs, d’applications et de rôles. Apprenez de votre produit minimum viable de façon agile en vue d’étendre votre projet de sécurité des identités initial à un programme continu de sécurité des identités.

4. L’expérience utilisateur et la communication, deux piliers essentiels

Une interface conviviale accélère l’adoption de la solution de gestion des identités. Si la solution est perçue comme trop stricte, les utilisateurs risquent de se montrer réticents. Les utilisateurs finaux veulent une interface efficace, qui inclut des appareils mobiles. Intégrez donc votre solution de gestion des identités aux canaux de communication d’ores et déjà adoptés par vos utilisateurs, tels que Microsoft Teams ou Slack.

5. Un travail à long terme

La gestion des identités n’est pas un projet, mais un programme. Une fois la plateforme implémentée, il est essentiel d’en poursuivre la surveillance et le développement. La gestion des identités est ainsi un travail à long terme. Une entreprise ne doit jamais cesser de réfléchir à la façon dont elle entend rester connectée à ses clients, son personnel et ses fournisseurs.

6. La MFA est une bonne chose, mais pas une solution miracle

Si ce n’est pas encore le cas, utilisez l’authentification multifactorielle (MFA) où vous le pouvez pour vous prémunir de vols d’identifiants ou de scénarios d’attaque par force brute. Sachez cependant que la MFA n’est pas une solution miracle. Des techniques d’attaque telles que la ‘MFA fatigue’, le ‘pass-the-hash’, le ‘pass-the-token’ ou le ‘pass-the-cooki’ contournent l’authentification multifactorielle.

Utilisez l’authentification sans mot de passe et le FIDO2 (Fast Identity Online) lorsque cela est pertinent et surveillez toute activité suspecte sur vos terminaux et votre infrastructure d’identités. N’oubliez pas de protéger également vos appareils mobiles car ils constituent souvent le maillon le plus faible et attirent de plus en plus les hackers. Dans de nombreux cas, ils sont la seconde forme d’authentification de MFA (pensez à des apps d’authentification telles que Microsoft ou Google Authenticator).

7. N’oubliez pas le contexte

La façon dont vous devez protéger et gérer les identités numériques et leur accès change en fonction du contexte d’utilisation de ces identités. Dans un contexte de B2E, B2C, B2B, ou G2C, les identités numériques impliquent chacune leurs propres défis et solutions. Par exemple, la façon dont vous gèrerez l’accès des employés à vos applications d’entreprise sera très différente de la façon dont vous allez sécuriser les identités numériques de vos clients et prévenir toute fraude numérique. Votre personnel aura parfois besoin d’accéder à des plateformes contenant des données sensibles, ce qui requiert également une sécurité renforcée.

Si l’on pensait auparavant aux modèles d’identité numérique essentiellement en termes de silos, on voit aujourd’hui apparaître de plus en plus de modèles adoptant une approche centralisée. Il est important de connaître les avantages et les inconvénients de chaque approche et d’adopter le modèle qui convient à votre activité ou à votre cas, et surtout de trouver le bon équilibre entre confidentialité et sécurité.

Enfin, n’oubliez pas de regarder au-delà des utilisateurs traditionnels dans votre plan de gestion des identités. Les applications, plateformes et bots ont eux aussi une identité numérique qu’il convient de gérer et protéger dûment.

Il y a un risque pour la sécurité de vos données d'entreprise. Cela est dû au fait que vous avez plus de travailleurs mobiles, que vous stockez plus de données dans le cloud et que vos travailleurs ont une empreinte digitale plus importante.

Protégez vos données d’entreprise

One

Le magazine IT de Proximus qui s’adresse aux CIO et professionnels IT actifs dans les PME. 

Les autres articles de One