À propos de l'Auteur
Jim Ducharme est vice-président des produits d'identité chez RSA Security.
Il semble que les violations de données et les cyberattaques font partie de notre monde hyper-connecté. Cette année seulement, des milliards d'enregistrements de données ont été compromis. Malgré le nombre croissant de menaces et la sophistication croissante des attaques, la manière dont les entreprises sécurisent l'accès aux ressources critiques n'a pas beaucoup changé.
L'identité a regagné son importance alors que les entreprises se rendent compte que le vol d'identité est le problème de sécurité numéro un et souvent le maillon faible du système de sécurité. Pour résoudre ce problème, les entreprises doivent analyser leurs activités pour s'assurer que les trois dimensions essentielles du risque d'identité sont prises en compte:
La garantie d'identité et d'accès est le contrôle le plus important pour la gestion des risques numériques. Pour vraiment détecter et gérer les risques liés à l'identité, les entreprises doivent envisager une solution d'authentification basée sur les risques qui peut analyser l'accès des utilisateurs, les appareils, les applications et le comportement afin de s'assurer que les utilisateurs sont ceux sur lesquels elles prétendent être basées. En arrière-plan.
De plus, les organisations sont confrontées à deux défis principaux dans la gestion de la main-d'œuvre dynamique d'aujourd'hui:
Que peut-il se passer si l'identité est mal gérée?
Avec un flux sans fin de violations de données de haut niveau et de cyberattaques malveillantes, nous avons vu ce qui peut se produire lorsque l'identité est mal gérée. La gestion des identités et des accès ne peut plus être une réflexion après coup, et les entreprises ne peuvent plus compter sur les anciennes postures de sécurité dans un paysage de sécurité en constante évolution.
Nous constatons également que de nouvelles réglementations plus strictes, telles que les PMP, encouragent les organisations à commencer à avoir des conversations importantes sur les données, la confidentialité et la conformité. Avec de plus en plus d'enjeux, y compris des dommages financiers sous forme de dépenses de non-conformité, des sanctions réglementaires et la perte potentiellement irréparable de la confiance et de la réputation des clients, les entreprises recherchent désormais des solutions innovantes et sécurisées pour authentifier les utilisateurs cherchant à accéder aux ressources critiques. Il est essentiel que les entreprises prennent le temps d'évaluer et de comprendre où se trouvent leurs bijoux afin de les protéger.
De nombreuses organisations travaillant désormais avec des tiers, comment cela affecte-t-il la gestion de leur identité?
À l'ère de la transformation numérique, le succès est un sport d'équipe. Aujourd'hui, la plupart des entreprises comptent sur des tiers pour offrir de nombreux avantages, notamment l'innovation, la rapidité et l'efficacité. Cependant, ces avantages comportent des risques imprévisibles et hérités; En effet, 59% des entreprises ont été victimes d'une violation de données par un tiers.
À mesure que les entreprises développent leurs écosystèmes tiers, elles doivent simultanément chercher à protéger leurs systèmes internes critiques, leurs données sensibles et leurs canaux numériques grand public. Pour gérer efficacement les postures de gestion des identités et des accès, les organisations doivent utiliser une approche automatisée et basée sur les risques qui certifie les identités, attribue des niveaux d'accès appropriés en fonction des responsabilités des utilisateurs et prend en charge les demandes d'authentification d'utilisateurs uniques provenant de tiers.
Les organisations doivent également tenir compte du fait que les relations avec des tiers sont souvent des silos gérés, au sein de différentes unités ou fonctions fonctionnelles. Chaque rôle peut avoir sa propre façon d'identifier, d'évaluer et de gérer les partenaires commerciaux. Cela conduit non seulement à des activités redondantes, mais empêche également l'équipe de direction d'avoir une vue complète et précise des risques et des performances des tiers au sein de l'organisation.
Et sans une bonne compréhension de l'exposition de leur entreprise aux risques de tiers, les dirigeants ne peuvent pas prendre de décision éclairée sur le montant à investir, et où, pour protéger l'entreprise contre ces risques et gérer efficacement les identités et les risques. l'accès.
Comment les organisations peuvent-elles mieux réguler l'accès des tiers aux applications et ressources critiques?
Désormais, il est extrêmement rare de trouver une entreprise totalement dépendante de son personnel interne et de sa technologie, que ce soit pour le cloud computing ou pour l'emploi d'indépendants ou de consultants temporaires. Les tiers modifient la dynamique de l'identité et multiplient le nombre d'identités à gérer.
De plus, toutes ces identités nécessitent plus ou moins d'accès, et certaines peuvent même nécessiter un accès privilégié à des données sensibles, laissant les équipes informatiques gérer un flux constant d'identités. Des plates-formes telles que RSA Identity Governance & Lifecycle permettent aux entreprises de gérer et de gérer l'accès de tiers pour garantir un accès approprié aux systèmes critiques et aux données sensibles.
Où les entreprises ont-elles actuellement tort de gérer efficacement l'accès?
La plus grande erreur que les entreprises peuvent faire est de ne pas comprendre où vivent leurs joyaux. En raison de violations massives de données exposant les données des clients, les secrets commerciaux, etc., ceci est un rappel que les entreprises doivent prendre le temps d'évaluer et de comprendre où se trouvent leurs données sensibles et confidentielles. Sans cela, impossible de construire une vision complète du risque numérique.
Cela inclut la capacité de reconnaître le changement d'identité; Par exemple, si le rôle d'un employé (et donc les exigences d'accès) change, l'équipe informatique a besoin d'une visibilité complète sur la période de transition entre les anciens et les nouveaux privilèges d'accès des utilisateurs, pour éviter les abus.
Les utilisateurs finaux sont également une partie essentielle du puzzle et de nombreuses organisations ne réalisent pas les frictions qui peuvent être causées par des mesures d'authentification et d'accès restrictives ou difficiles. Toutes les équipes informatiques visent à trouver des moyens de créer une identité sans friction, sinon les utilisateurs trouveront simplement des moyens de contourner la sécurité, créant de nouveaux angles morts pour les équipes de sécurité. Les solutions d'authentification d'identité doivent toujours être associées à des couches de sécurité supplémentaires pour gérer correctement les risques numériques et fournir un niveau plus élevé d'assurance de l'identité.
Existe-t-il une mesure d'authentification parfaite que les entreprises peuvent utiliser pour sécuriser leurs actifs les plus critiques?
Dans le monde de l'identité, il n'y a pas de solution miracle pour l'authentification. Le défi pour les organisations réside souvent dans la détermination de la stratégie d'authentification correcte. La population d'utilisateurs est plus dynamique que jamais; les identités sont dispersées partout et les entreprises ont besoin d'une stratégie qui sécurise plusieurs points d'accès.
Il existe également plus d'options d'authentification que jamais, des clés USB aux jetons matériels et aux authentificateurs mobiles. Tout en continuant à adopter les initiatives de transformation numérique et les considérations réglementaires, les entreprises doivent également continuer à évaluer les exigences d'authentification et ne pas placer le fardeau de la sécurité sur une solution d'authentification. infaillible.
Enfin, quels sont les futurs problèmes qui affecteront les entreprises en termes de gestion du risque d'identité?
La notion de main-d'œuvre dynamique ne fera que devenir plus complexe à mesure que les entreprises continueront à rechercher des appareils intelligents (qui deviennent de plus en plus intelligents) et des processus indépendants pour améliorer la productivité dans les opérations commerciales quotidiennes.
Cette explosion de l'Internet des objets (IoT) en a fait une cible du piratage, qui a atteint un point critique dans le sens où la conversation identitaire prendra une toute nouvelle dimension. Le nombre d'identités associées à des choses ou processus autonomes réduira bientôt le nombre de vrais humains pour lesquels ces choses agissent. Pour cette raison, les organisations devront se préparer à gérer le risque numérique sans précédent et en évolution qui accompagne l'identité des choses.
De même, à mesure que les entreprises poursuivent leur transformation numérique et que les cybercriminels deviennent plus efficaces, les entreprises devront continuellement moderniser leurs mesures d'authentification. Des clés de sécurité USB à la biométrie, en passant par les e-mails et les appareils mobiles, il y aura plus de solutions d'authentification à évaluer que jamais.
Cependant, aucun profil de risque unique ne s'applique à toutes les organisations, grandes ou petites, ce qui rend la gestion des risques numériques et la cybersécurité particulièrement difficiles. Lorsqu'elles déterminent la bonne stratégie de gestion du risque d'identité, les entreprises devront prendre le temps de comprendre le fonctionnement des utilisateurs et de leurs activités et de l'aligner sur des mesures d'assurance efficaces. identité et accès.
Jim Ducharme est vice-président des produits d'identité chez RSA Security.