Demandez à n’importe quel professionnel de la sécurité ses trois principales préoccupations, et l’identité est probablement une réponse – si ce n’est la principale préoccupation. La transformation numérique et l’évolution de l’identité sur le lieu de travail – stimulée par la décentralisation, l’adoption du cloud et le travail à distance – ont révélé le fait que gestion des identités et des accès a dépassé les protections de sécurité traditionnelles et pose des risques majeurs. Des architectures de sécurité adaptables et agiles mettant l’accent sur l’identité sont une nécessité pour assurer la sécurité des employés et de leurs organisations.
IAM se positionne comme la première et la dernière ligne de protection contre les attaques basées sur les identifiants. Ainsi, de nombreuses tendances en matière d’identité numérique, telles que identité en tant que service et la gestion des droits d’accès à l’infrastructure cloud (CIEM) – concernent également essentiellement la sécurité. C’est également le cas à l’envers : les tendances en matière de sécurité, y compris les courtiers de sécurité zéro confiance et d’accès au cloud (CASB), concernent fondamentalement l’IAM.
Le taux d’innovation en matière d’IAM et de sécurité dans le cloud a produit un marché en évolution rapide pour les acheteurs. Pour analyser le battage médiatique des fournisseurs et discerner la valeur de ces technologies, Carla Roncato, analyste chez Enterprise Strategy Group, une division de TechTarget, a partagé ses idées. Roncato étudie la gestion des identités, la gestion des accès, la sécurité et la confidentialité des données et travaille sur des normes d’identité ouvertes avec l’OpenID Foundation.
Ici, Roncato explique pourquoi l’identité est au cœur de sécurité des nuages et la confidentialité et prête sa perspective centrée sur l’identité pour examiner les tendances émergentes de l’IAM dans le cloud.
Note de l’éditeur: Cette transcription a été modifiée pour plus de longueur et de clarté.
Carla Roncato
Vous êtes un évangéliste des normes d’identité ouvertes à l’OpenID Foundation et vous vous êtes décrit comme un « identerati » dans un article de blog. Au-delà d’un titre soigné, qu’impliquent ces rôles ?
Carla Roncato : Les Identerati veulent une utilisation plus harmonieuse de normes ouvertes. Ce que vous devez savoir sur l’identité, c’est qu’elle doit fonctionner pour tout le monde. L’interopérabilité est si importante pour le travail d’identification qu’il y a moins de concurrence sur le marché pour savoir qui a un meilleur protocole. Comme la vie privée, les évangélistes d’identité travaillent ensemble pour un plus grand bien à l’échelle sociétale et culturelle, plutôt que pour une entreprise individuelle. Il est de notre responsabilité d’intégrer la confidentialité dans les protocoles d’identité [and] implémentations de conception et architecture de référence. Avec la confidentialité dès la conception, les utilisateurs n’ont pas à faire de choix sur la confidentialité car elle est déjà intégrée.
L’utilisation de standards ouverts n’a pas totalement réussi dans la sécurité traditionnelle, mais elle s’améliore. La communauté de l’identité numérique s’est avérée capable de créer des consortiums démocratiques pour desservir plusieurs zones géographiques et industries sans être bureaucratique. Nous voulons améliorer quelque chose qui profite à tous pour l’utilisation et l’accès aux services numériques. Nous contactons les développeurs pour nous assurer qu’ils adoptent ces protocoles standard correctement et conformes à la sécurité nécessaire au système d’identité.
Les défenseurs de la protection de la vie privée sont assez visibles sur des questions telles que la technologie des consommateurs et la législation. Il est intéressant de voir qu’il existe une version identitaire riche de cela dans les coulisses.
Roncato : Ils sont étroitement liés. L’identité est le instanciation de l’intention de la loi sur la protection de la vie privée. Dans de nombreux cas, l’identité est la première étape dans l’instanciation des lois sur la collecte d’informations personnelles pour effectuer une transaction. Les évangélistes d’identité essaient de créer un arrangement plus mutuellement avantageux entre deux parties dans une transaction. Par exemple, nous explorons l’équilibre entre un consommateur et un fournisseur de services qui demande à collecter ses informations pour des raisons de marketing. Personne ne perd dans un scénario de confidentialité.
Les transactions fondées sur la confidentialité sonnent bien, mais l’identité est-elle sur le point d’y parvenir ?
Roncato : Oui, c’est réalisable si nous l’intégrons dans tout ce que nous faisons. Avec le temps, cela devrait devenir la norme. C’est un défi car de nombreuses entreprises à but lucratif considèrent les clients et leurs données comme faisant partie des bénéfices. Ainsi, les entreprises peuvent penser que les mesures de confidentialité nuisent à leur argent et à leur modèle commercial, car ces données sont si précieuses.
L’identité est assez différente de la sécurité : il ne s’agit pas de chasser le mauvais acteur ; il s’agit de promouvoir le bon comportement.
Carla Roncato
Contrairement à de nombreux professionnels de la sécurité sur cette question, vous semblez optimiste. Pourquoi donc?
Roncato : L’identité est assez différente de la sécurité : il ne s’agit pas de chasser le mauvais acteur ; il s’agit de promouvoir le bon comportement. Même si je suis conscient des mauvais acteurs, je suis là pour le rendre génial pour le reste d’entre nous, c’est pourquoi je peux rester optimiste.
De plus, j’ai vu ce qui a été accompli et comment cela a dépassé les attentes. Il n’a pas fallu aussi longtemps pour que les grandes institutions financières, les entreprises de soins de santé et les universités adoptent ces normes et principes d’identité. Au début, ces organisations ne les comprenaient pas complètement mais étaient réceptives, et maintenant, cela porte ses fruits. Les normes peuvent réduire la complexité en fusionnant les actions les plus couramment souhaitées dans une expérience d’authentification dans tous les types de services et d’industries. Aujourd’hui, les gens achètent des produits et des services d’identité basés sur des normes parce qu’ils sont de facto et qu’ils servent un bien public. Je les compare aux airbags de voiture — maintenant que nous avons des airbags disponibles, nous ne conduirons plus de voiture sans eux.
De nombreuses organisations doivent gérer un conflit entre sécurité et convivialité. Où s’inscrit l’identité dans cette dynamique ?
Roncato : Vous pouvez voir comment cela se passe lorsque vous ouvrez Yelp sur votre appareil mobile, par exemple. Vous pouvez utiliser votre compte Facebook pour vous connecter et éviter de créer un compte Yelp unique – il devient fastidieux de mémoriser les connexions pour chaque application. Ainsi, l’identité est moins une question de sécurité que de facilité d’utilisation et de facilité d’accès pour l’utilisateur, pas pour les méchants.
Comment la croissance de l’adoption du cloud a-t-elle affecté les tendances en matière d’identité numérique ?
Roncato : L’identité touche toutes les parties de la pile technologique, y compris les couches d’infrastructure, de données et d’application, ainsi que l’utilisateur. Le cloud n’a pas créé plus de complexité pour l’identité dans la mesure où il a tenu la promesse d’une identité distribuée à haute disponibilité. Nous ne pouvons pas offrir aux citoyens un accès à des services à l’échelle de milliards sans le cloud. Par exemple, supposons que l’Inde dispose d’un programme d’identité universelle et souhaite que tous ses citoyens puissent s’inscrire pour voter ou s’inscrire aux soins de santé. Soutenir 1 milliard de personnes serait coûteux et difficile à faire évoluer et créerait des problèmes car la base de données nécessiterait une disponibilité et une fiabilité élevées. Répondre à toutes ces préoccupations serait impossible sans le cloud.
Pour voir comment le cloud a démocratisé l’identité distribuée, regardez l’utilisation abondante de WhatsApp ou de TikTok. Sans système d’identité distribué, ces applications n’auraient peut-être pas été utilisées au même niveau global. Sinon, il faudrait envisager un accès au niveau local, régional ou national ; interruptions de service; problèmes de réplication et de synchronisation ; et d’autres problèmes. Le cloud a élargi les possibilités d’expériences à grande échelle.
Quels défis le cloud a-t-il introduits pour l’IAM ?
Roncato : Le cloud a introduit défis concernant les privilèges et les droits. Il a révélé les risques de donner trop de gens trop de privilèges à trop de choses. C’était relativement plus facile avant le cloud, car la question des privilèges tentaculaires était plus limitée à votre propre environnement, par opposition au reste du monde. Une grande partie de l’accent mis sur la sécurité s’est tourné vers fluage de privilège et comment le réduire.
L’ampleur de la consolidation et de l’innovation du marché peut contribuer à la confusion des clients quant à l’opportunité d’investir dans CASB, CIEM ou d’autres produits Cloud IAM. Que doivent savoir les acheteurs sur ces tendances en matière de sécurité des identités numériques ?
Roncato : CASB est important pour l’identité et la sécurité du cloud en raison de son composant de contrôle d’accès. Il existe de nombreuses normes et protocoles utilisés pour l’authentification, l’autorisation et les autorisations. La confirmation du respect de ces politiques se fait par le biais de points de décision de politique et de points d’application de politique, c’est là qu’intervient le CASB. Un CASB prend des informations sur la session d’authentification, qui est un jeton d’utilisateur, et des informations sur la session d’autorisation, qui est un jeton d’accès. Il comprend les politiques et agit comme un point de décision. Il sait ce que l’entité, la personne ou le service est autorisé à faire et s’assure que la politique est appliquée de manière à ce qu’un utilisateur ne le remarque jamais lors de la connexion.
CIEM est une toute nouvelle catégorie dans le rapport « Hype Cycle for Identity and Access Management Technologies » de Gartner. Ce produit de droits résout les problèmes liés à l’adoption généralisée du cloud en tant que plate-forme de développement. Lorsque l’adoption du cloud a commencé, en particulier avec les développeurs d’AWS, personne n’avait décidé du niveau d’accès que le développeur devrait avoir en premier lieu. AWS offrait aux développeurs la possibilité de se connecter, mais ne permettait pas aux entreprises de savoir quels développeurs avaient accès à quelles parties de l’environnement de développement. Des millions de développeurs ont créé des applications dans le cloud depuis lors, mais la plupart des entreprises ne connaissent toujours pas le niveau d’accès dont disposent les équipes de développement ou DevOps. CIEM est utilisé pour déterminer qui est autorisé à accéder au calcul et au stockage ou à démarrer des machines virtuelles en développement là où quelque chose n’est pas encore construit ou est en livraison continue.
Cet exemple du CIEM illustre le fonctionnement de l’innovation. L’innovation s’est produite lorsque les gens ont réfléchi aux risques de dérive des privilèges et se sont rendu compte : « J’aurais dû savoir quel développeur faisait quoi, avec quoi et pendant combien de temps ».
Cela me rappelle comment les acteurs des États-nations ont utilisé une porte dérobée pour accéder à l’attaque de la chaîne d’approvisionnement de SolarWinds.
Roncato : Exactement. le Attaque de SolarWinds était l’exemple le plus brillant – et le plus horrible – d’une livraison d’une charge utile que j’ai vu depuis un moment. Les attaquants ont utilisé une porte dérobée pour accéder à l’environnement de développement et fournir un malware signé. Il contournait la sécurité car le processus de développement lui faisait confiance. Parce qu’il avait assuré la livraison, il est sorti comme une mise à jour à 18 000 clients. C’était un dévastateur compromission d’intégrité, ce qui signifie que l’ensemble du système a été affecté, y compris l’environnement de développement, le système de livraison et les clients.
En parlant de confiance, que signifie le modèle de confiance zéro pour les experts en identité ?
Roncato : La philosophie de la confiance zéro est alignée sur la philosophie de la vie privée. Le modèle de confiance zéro suppose que tout le monde n’est pas digne de confiance et exige qu’il soit vérifié et qu’il lui soit accordé un accès basé sur le principe du moindre privilège.
Mais la confiance n’est pas un mauvais mot. Conceptuellement, la confiance est similaire à la façon dont nous définissons le « doute raisonnable » en droit. Il y aura toujours un élément de confiance dans l’infrastructure, y compris Internet, afin de construire quoi que ce soit. Ainsi, la sécurité absolue n’existe pas.
Carla Roncato
