La sécurité IAM : Tout ce que vous devez savoir

8 juil. 2021
-minutes de lecture
Emily McKeown

Introduction

Le dernier rapport du FBI sur la criminalité Internet révèle une augmentation alarmante des attaques par hameçonnage, ramsomware et logiciels malveillants contre les entreprises globales. L’année dernière, l’Internet Crime Complaint Center (IC3) du FBI a reçu près de 20 000 signalements d’événements de compromission d’e-mails d’entreprise/de comptes de messagerie (BEC/EAC) - des pirates informatiques compromettant les comptes de messagerie d’entreprises à l’aide de techniques d’intrusion et/ou d’ingénierie sociale - qui leur ont fait perdre 2 milliards de dollars. Et le nombre total de plaintes reçues par l’IC3 a grimpé en flèche, passant d’environ 300 000 plaintes en 2016 à 790 000 en 2020.
 

Empêcher les pirates de s’infiltrer dans une entreprise et de compromettre son intégrité constitue un travail à temps plein pour les services informatiques d’aujourd’hui. Les cybercriminels ont accès à une quantité illimitée de connaissances, d’outils et de technologies via le Dark Web. La sophistication et la vitesse qu’ils utilisent pour compromettre les entreprises continuent de croître rapidement, sans aucune fin en vue.

 

L’un des outils les plus importants pour lutter contre les cyberattaques est la gestion des identités et des accès, qui garantit que seules les bonnes personnes accèdent aux ressources de l’entreprise. En fournissant aux utilisateurs autorisés un accès sécurisé et transparent à toutes leurs applications et ressources de n’importe où, les entreprises libèrent de la valeur tout en offrant une meilleure sécurité.

Qu’est-ce que la gestion des identités et des accès (IAM) ?

La gestion des identités et des accès est l’ensemble des solutions qui aident votre entreprise à atteindre le bon niveau de sécurité pour une situation spécifique grâce à la collecte, l’analyse et la gestion des attributs et des informations d’identité. L’IAM évalue le contexte, les appareils et les signaux de risque pour des décisions d’authentification et d’autorisation plus intelligentes, optimisant la sécurité et la commodité afin que vous puissiez simultanément protéger votre organisation et faciliter les interactions pour vos collaborateurs et vos clients.

 

Bien que l’IAM fasse généralement référence à l’authentification et à l’autorisation, le champ de gestion des identités et des accès dans son ensemble peut englober une gamme complète de fonctionnalités de sécurité des identités, telles que :

 

Quelles sont les fonctionnalités de la sécurité IAM ?

Gérer avec précision les identités numériques des employés, des partenaires et des clients tout en contrôlant en toute sécurité l’accès aux ressources de l’entreprise est la définition fondamentale de la sécurité IAM. Les méthodes permettant de garantir ces protocoles comprennent :

 

  • Authentifier et vérifier les utilisateurs en temps réel, en fonction de facteurs qui incluent l’appareil de l’utilisateur, son comportement et d’autres contextes (heure de la journée, situation géographique, etc...)

     

  • Utilisation de l’autorisation dynamique pour accorder ou restreindre l’accès aux ressources, partager des données spécifiques ou autoriser des actions sensibles

     

  • Gestion transparente des privilèges d’accès (attribution, suppression et/ou suspension des privilèges d’un utilisateur)

 

Constituant de plus en plus le premier choix parmi les entreprises, le cloud IAM ou l’identité en tant que service (IDaaS) est un groupe de solutions IAM déployées dans des environnements hébergés. En plus de fournir une sécurité puissante contre les hackers, l’IAM dans le cloud libère les équipes informatiques des rouages opérationnels de l’hébergement et de la gestion d’une solution même. Par conséquent, les employés peuvent consacrer plus de temps au développement d’améliorations informatiques destinées à contribuer au succès de l’entreprise.

Bonnes pratiques pour la sécurité IAM : qu’est-ce qui rend l’IAM si efficace ?

Dans le monde hyperconnecté d’aujourd’hui, l’accès à distance est essentiel. Les clients et les employés sont mobiles et les applications commerciales se trouvent dans le cloud. Cependant, le périmètre de sécurité traditionnel basé sur le réseau rend les actifs numériques sensibles vulnérables et entrave la productivité des employés en raison du manque d’accès. Alors que les entreprises numériques ouvrent un accès sans précédent aux ressources, il est impératif qu’elles passent à une authentification et à une autorisation dynamiques et continues pour protéger leurs applications et leurs données.

 

Une approche centrée sur l’identité permet aux équipes de sécurité de se concentrer sur les processus et technologies sécurisés qui peuvent être appliqués directement aux ressources de l’entreprise, quel que soit l’endroit où elles se trouvent. Une stratégie populaire pour les entreprises modernes est le modèle de sécurité Zero Trust, qui repose sur des contrôles d’authentification et d’autorisation plutôt que sur des périmètres de réseau.

 

[MUSIC] Hey, welcome to this fast chat exploring why zero trust starts with identity.
I'm Black Hat contributing editor Alex Wawro and with us today is Baber Amin, CTO west for Ping Identity.
Baber, thanks for joining us.
>> Thank you, Alex.
>> All right, let's get right into it.
I think first let's ask like what are the essential components of zero trust?
And why is identity key?
>> So, well the one essential component of zero trust is identification right?
If you don't know who somebody else is, then, you're you're starting off on the wrong foot.
And that's one of the reasons why identity is key.
Because you're not relying on any discrete events anymore.
You're not relying on any discrete mechanisms, but it's more of continuously verifying and and evaluating trust in the person or the device or the process.
>> So what are some easy wins for people who are looking to get started with zero trust?
>> So we get asked that a lot, right and I always tell people look, again start with proofing, so making sure that who it is from before you give somebody a credential and then move to authentication.
Then move to access and then move to consolidating your data stores.
Like a lot of people think, let me just consolidate my data stores.
And you know that project takes forever and it never succeeds because it never finishes.
>> Yeah.
So what type of companies do you think would benefit most from a zero trust approach?
>> Well, I used to say that you know, if you have a lot of people that are remote workers, they would benefit the most.
But given that everybody is remote now, I say everybody can benefit, because without zero trust, which is really a bad name for this, right?
Because it's not like you don't trust anything it's that you don't trust anything by default, right in a static manner, so a better name would be maybe ephemeral trust or something like that.
But everybody benefits from that, especially nowadays when you have all folks working remotely in giving things like telehealth or even the proofing that a doctor can prescribe you medicine they have to go through a certain amount of proofing.
That they are credentialed and everything else so that that used to be all in person, new employees.
Right?
>> Right.
>> When you get a new employee on board, you check their authorization to work the I9 form all of that, that used to be in person.
So all of that has to be remote now too, so pretty much everybody benefits from implementing zero trust principles.
>> So, besides technologies like what are the key things people need to know about the people and processes required for zero trust?
>> Yes.
So that's another place where people think that zero trust is some silver bullet and if I implement these four things, and yay, I'm good to go.
[LAUGH] But security is a people problem and a people solution.
The worst thing in security and the biggest hole in security is the combination of the person, email and clicking on links.
Because that violates no matter what kind of firewalls you put up no matter what kind of gates you put up.
It's that one person who didn't think about it or just clicked on it, right?
So that's the weakest link.
So processes become very important because it's educating your folks.
Look, don't do this or, don't connect to systems, don't download information to your machine that is not a possibly have the same level of security or patches on it right?
Don't download super secret documents to grandma's PC that has never been patched for the last 10 years.
And just because you need to work on something right after Thanksgiving dinner.
That is if we get to go to grandma's house this year.
So, yeah, people, processes, education and in really getting that buy in from your organization is very, very important.
>> Yeah, that makes a lot of sense.
Well Baber, thank you so much for joining us today and thanks everyone for taking part.
>> Thank you, Alex.
[MUSIC]

 

L’IAM offre une sécurité basée sur l’identité grâce à des outils tels que l’authentification multifacteur contextuelle (MFA), l’authentification unique fédérée (SSO), le contrôle d’accès basé sur des normes qui s’adapte dynamiquement aux utilisateurs et aux appareils, un data store de données chiffrées des données utilisateur consolidées et la gouvernance des données avec un ensemble unique de stratégies pour une conformité rationalisée. L’identité au cœur de la sécurité d’entreprise offre aux entreprises un contrôle centralisé et basé sur des stratégies qui permettent une protection renforcée des applications, des services et des API de l’entreprise.

Outils de sécurité IAM communs

Les outils suivants sont essentiels au maintien de la sécurité IAM. En voici quelques exemples mais non limitatifs :
 

Single Sign-on (SSO)

La Single Sign-ON est un type de contrôle IAM qui permet aux utilisateurs d’authentifier leur identité sur de nombreuses ressources via un seul ensemble d’informations d’identification. La première fois qu’un utilisateur se connecte, son nom d’utilisateur et son mot de passe sont transmis au fournisseur d’identité pour vérification. Le serveur d’authentification vérifie les identifiants dans le répertoire où sont stockées les données des utilisateurs et lance une session SSO sur le navigateur de l’utilisateur. Lorsque l’utilisateur demande à accéder à une application au sein du groupe de confiance, au lieu de demander un mot de passe, le fournisseur de l’application demande au fournisseur d’identité d’authentifier l’identité de l’utilisateur.

 

Les avantages de la SSO incluent :

 

  • Surface d’attaque réduite de plusieurs identifiants à un seul

  • Une expérience utilisateur simplifiée et une fatigue des mots de passe minimisée

  • Réduction des risques de sécurité impliquant des partenaires, des clients et d’autres entités associées à l’entreprise

 

Authentification multifacteur (MFA)

Lorsqu’un pirate informatique trouve un compte pris en charge par un seul mot de passe et un seul nom d’utilisateur, il sait qu’il a touché un trésor. Les cybercriminels ont accès à des logiciels achetés sur le Dark Web qui peuvent envoyer des centaines de milliers de mots de passe et de noms d’utilisateur à ce compte en moins d’une minute. Une fois que le compte reconnaît la bonne combinaison de lettres, de chiffres et de symboles, le pirate peut accéder au compte et potentiellement mettre la main sur les informations sensibles de l’entreprise.

 

L'Authentification multifacteur garantit que les utilisateurs numériques sont bien qui ils prétendent être en exigeant qu’ils fournissent au moins deux éléments de preuve pour prouver leur identité. Chaque preuve doit provenir d’une catégorie différente : Quelque chose qu’ils connaissent, quelque chose qu’ils ont ou quelque chose inhérent à leur individu. Si l’un de ces facteurs a été corrompu par un hacker ou par un utilisateur non autorisé, les chances qu’un autre facteur ait également été corrompu sont faibles. C’est pourquoi le fait de demander plusieurs facteurs d’authentification fournit un niveau supérieur d’assurance quant à l’identité de l’utilisateur. Ces facteurs supplémentaires peuvent prendre la forme de codes numériques envoyés à un téléphone portable, de porte-clés, de cartes à puce, de vérifications de localisation, d’informations biométriques ou d’autres facteurs.

 

SDécouvrez comment fonctionne une demande d’accès avec la MFA :

 

 

Annuaire

Les données d’identité des utilisateurs sont une cible privilégiée pour les attaquants, en particulier lorsqu’elles sont hébergées dans des data store décentralisés avec des stratégies de sécurité incohérentes. La sécurité IAM peut aider à protéger les données des employés, des partenaires et des clients via un annuaire qui centralise et chiffre les données d’identité, les protégeant des attaques. Une solution d’annuaire solide peut également aider à protéger contre les attaques internes en permettant aux entreprises de limiter l’accès administrateur et en envoyant des alertes actives et passives lorsqu’une activité suspecte se produit.

 

Réinitialisations de mot de passe en libre-service

Une caractéristique importante mais souvent négligée d’une solution de sécurité IAM est la possibilité de mettre en œuvre des réinitialisations de mot de passe en libre-service au lieu d’obliger les utilisateurs à envoyer des demandes aux services d’assistance du service informatique. En permettant aux employés d’utiliser la MFA pour authentifier leur identité et réinitialiser les mots de passe, non seulement vous réduisez le nombre de réinitialisations de mots de passe coûteuses, mais aussi le risque de sécurité lié au piratage des mots de passe par des hackers surveillant le système de « chat » est considérablement réduit.

 

 

Hi, I'd like to talk to you today about identity defined security.
Many leading global companies have unlocked huge value in identity and access management solutions.
But putting identity at the core of your security architecture, you can reduce the risk of stolen credentials, eliminating the number one threat of breach in the enterprise.
Centralized access control to remove security holes and improve compliance.
Protect your customers and employee identity data from end to end.
And enforce both corporate data access policy and user preferences for data privacy.
Most organizations today still rely on a perimeter based approach to security.
This is made up of both the physical walls of their office and a network firewall.
This made sense when all the users applications and identities were inside this perimeter and the bad guys were on the outside.
But today, users and their devices are mobile.
And many SaaS enterprise applications and services are in the cloud, making a perimeter based approach to security ineffective in securing the enterprise.
To make matters even worse, users authenticate with many passwords giving hackers a much larger surface area for attack.
Well there's a better way, the Ping Identity platform makes identity a security cornerstone with five key capabilities.
First, single sign-on gives all of your users, your employees, customers and partners single-click access to SaaS, cloud, and legacy apps.
SSO from Ping lets you authenticate your users once, no matter where they are with a single set of corporate credentials, eliminating all of those insecure passwords and giving your organization a single authentication authority.
But since most organizations still rely on passwords for their corporate credentials, they're still susceptible to breach.
Multi-factor authentication or MFA allows your enterprise to move beyond passwords with a great user experience.
As users sign on, policy is evaluated using contextual data to determine if step up authentication beyond a password is necessary.
If so, they're prompted for another factor.
This is highly configurable, including one time pass codes via SMS, email or voice or maybe a user is prompted for a fingerprint on their device.
With MFA, hackers are denied access even with a stolen password.
Okay, so now your users are securely authenticated, but not every user should have access to all applications.
The access security capability will give your organization a central policy driven access control layer for all enterprise apps, whether they're in the cloud or on premises.
As users make requests to applications or to API's through a mobile application for instance, contextual data and attributes such as the application page requested, time of the day, network, session status, group, etc.
are used to evaluate authorization policy at the application page or API level and determine whether access is granted or denied.
Another challenge that many organizations face is keeping their customer and employee identity data safe and secure.
Many times identity data is scattered across many unsecure data stores and directories.
The Ping directory consolidates and secures your sensitive identity data at all phases during capture, and transit, at rest, or during reporting and logging.
It does this without sacrificing performance or scale.
In addition, most organizations are required to govern who has access to what data.
For instance, when a partner requests customer data maybe to fill an order, you may need to protect social security numbers or credit card data.
The Ping data governance capability enforces both corporate policy and user privacy preferences for all requested data from partners, various corporate groups or other applications.
Ensuring your organization complies with all relevant industry, geographic, or corporate policies.
The Ping Identity platform makes identity the new perimeter, strengthening corporate security, and ensuring regulatory compliance without sacrificing user experience.
Thank you.

Protéger votre entreprise avec la sécurité IAM

Chez Ping, nous pensons que l’identité moderne est le fil qui relie le monde numérique ensemble et qu’elle est essentielle à la réalisation de la transformation numérique. La demande des clients en matière de confidentialité et de protection n’a jamais été aussi importante, et la crise sanitaire mondiale a mis en lumière la nécessité de sécuriser l’accès à distance afin que le travail puisse être effectué depuis n’importe où. Cela signifie que la sécurité IAM est votre priorité numéro un en matière de transformation numérique aujourd’hui. 


Pour en savoir plus sur les raisons pour lesquelles les plus grandes entreprises du monde choisissent les solutions IAM de Ping Identity pour protéger leurs actifs les plus critiques et permettre un accès sécurisé pour leurs employés, clients et partenaires, nous vous invitons à regarder cette vidéo.

Partager cet article:
Ressources connexes
CIAM : d’un centre de coûts à un centre de profit dans les services financiers
3 juil. 2024
Transformez le CIAM en un centre de profit dans les services financiers pour offrir des expériences numériques fluides et sécurisées
Pekin Insurance maintient un niveau de scurit lev tout en offrant une exprience optimale
Pekin Insurance maintient un niveau de sécurité élevé tout en offrant une expérience optimale
Nicole Roseveare
22 avr. 2024
Pekin Insurance utilise Ping pour le SSO et le MFA, ainsi que PingOne Protect et PingFederate, pour protéger son personnel et ses courtiers tout en offrant une expérience utilisateur exceptionnelle.

Lancez-vous dès Aujourd'hui

Contactez-Nous

sales@pingidentity.com

Découvrez comment Ping peut vous aider à offrir des expériences sécurisées aux employés, partenaires et clients dans un monde numérique en constante évolution.