La gestion des identités doit passer des équipes IT aux CISOs pour renforcer la sécurité face aux cybermenaces croissantes, en adoptant le modèle de confiance zéro.
Dans un contexte de cybermenaces croissantes, la gestion des identités devient essentielle pour la sécurité des entreprises.
Historiquement, cette fonction était sous la responsabilité du département IT, considérée comme un service d’« habilitation ». Cependant, les récentes attaques montrent que l’identité est souvent le vecteur principal d’une violation de données.
En conséquence, le CISO, étant responsable du système de management de la sécurité doit donc prendre le contrôle de la gestion des identités pour mieux prévenir globalement les menaces.
L’importance de la gestion des identités pour la sécurité
Les récentes violations de données, comme celles d’Okta ou SolarWinds, illustrent les risques liés à une gestion défaillante des identités.
Lorsque des informations d’identification sont compromises, les attaquants peuvent facilement se déplacer latéralement à travers les systèmes. Cela démontre la nécessité d’une couche de sécurité unifiée autour des identités, au-delà des simples outils de gestion comme Active Directory. Les outils de gestion des identités et les solutions de sécurité identitaire doivent être combinés pour assurer une protection efficace.
Dans ce contexte, les CISOs jouent un rôle crucial dans la gestion des risques et la sécurité globale. Pourtant, leur influence sur la gestion des identités a historiquement été limitée, laissant souvent cette responsabilité aux équipes IT. Cette approche crée des lacunes en matière de contrôle, comme la prolifération de comptes non gérés ou surpriviliégiés.
En transférant la gestion des identités au CISO, les entreprises peuvent appliquer des politiques de sécurité plus globales et transversales , notamment en matière de principe du moindre privilège et de segmentation des accès.
Un alignement organisationnel logique avec les CISOs
Bien que certains puissent croire que le CISO peut influencer la gestion des identités sans en avoir la responsabilité directe, les exemples récents démontrent que cela n’est souvent pas suffisant. Le cas de SolarWinds a révélé l’importance de donner aux CISOs le pouvoir d’agir concrètement, avec une ligne hiérarchique claire et une responsabilité accrue dans la gestion des identités et des accès.
Les violations récentes ont également mis en lumière les faiblesses des approches traditionnelles de segmentation réseau, souvent contournées lorsque des identités compromises traversent des segments.
La segmentation des identités, associée à la gestion des accès les plus critiques, est cruciale pour limiter les mouvements latéraux des attaquants et protéger les ressources sensibles. Des pratiques comme l’authentification multifactorielle (MFA) généralisée, la gestion des identités non humaines et la segmentation des accès doivent être adoptées.
L’apport du principe de confiance zéro dans la gestion des identités et des accès
Dans cette réflexion, il est important de se rappeler que le modèle de confiance zéro (“Zero Trust”) renforce la gestion des identités et des accès en éliminant la notion de périmètre de sécurité traditionnel.
Pour rappel, il repose sur l’idée que toute personne, qu’elle soit interne ou externe, doit être considérée comme une menace potentielle. Ce principe exige des vérifications constantes de l’identité et des privilèges d’accès, même à l’intérieur du réseau.
En appliquant des contrôles stricts d’authentification et des segments d’accès minimaux (principe du moindre privilège), la confiance zéro garantit une réduction significative des risques d’abus ou de compromission des identités, tout en limitant les mouvements latéraux lors des attaques. En alignant cette stratégie avec la gestion des identités sous la responsabilité du CISO, les entreprises renforcent leur posture de sécurité et se prémunissent plus efficacement contre les cybermenaces.
Pour en savoir plus
Why Identity Teams Need to Start Reporting to the CISO
Identity management sits with IT for good reason, but now that identity is the common denominator in every attack, it’s time identity security was owned…