Prévenir les fuites de données avec la gestion des identités et des accès (IAM)

15 mars 2022
-minutes de lecture
Yev Koup

Introduction

Les fuites de données sont une menace qui évolue en permanence pour de nombreuses entreprises. Selon le rapport IBM’s Cost of Data Breach 2021, le coût moyen d’une fuite de données était de 4,24 millions de dollars, le principal point d’entrée étant des identifiants compromis. Les hackers ont plusieurs manières d’obtenir des identifiants compromis, notamment les attaques de phishing (hameçonnage) qui piègent les utilisateurs pour qu’ils partagent des informations sur leur compte.

 

Les fuites de données peuvent également être la source de données personnelles (PII) et d’identifiants compromis, qui sont ensuite potentiellement vendus sur le dark web. Parmi les principales fuites de données en 2021 impliquant des données personnelles (PII) et/ou des identifiants figurent Cognyte (5 milliards de fichiers), LinkedIn (700 millions d’utilisateurs) et Facebook (533 millions de comptes). Compte tenu du nombre d’utilisateurs qui réutilisent leurs mots de passe sur plusieurs comptes ou les partagent avec d’autres personnes, ces fuites ont un effet ricochet.

 

Les menaces persistantes affectant la cybersécurité poussent de plus en plus d’organisations à s’orienter vers une approche Zero Trust, qui impose de ne faire confiance à personne et de vérifier tout.

 

 

En poursuivant votre lecture vous découvrirez comment la gestion des identités et des accès (IAM), qui est un élément clé de l’approche Zero Trust, travaille sur de multiples fronts pour éviter les.

Qu’est-ce que la gestion des identités et des accès clients (CIAM) ?

La gestion des identités et des accès (IAM) est un cadre de cybersécurité doté de nombreuses fonctionnalités, notamment la capacité à s’assurer que les utilisateurs sont bien ceux qu’ils prétendent être, ce qui empêche les hackers ayant des identifiants compromis d’accéder à votre réseau. Des solutions d’IAM sont disponibles pour les clients, les employés et les partenaires, qui peuvent également empêcher les initiés malhonnêtes d’accéder à des données sensibles et de les vendre. Une solution d’IAM est essentielle pour connecter et intégrer votre entreprise aux personnes et aux ressources, ce qui peut être fait encore plus facilement avec un service d’orchestration des identités.

 

Regardez cette vidéo pour en savoir plus sur l’IAM.

 

Hi, I'd like to talk to you today about identity defined security.
Many leading global companies have unlocked huge value in identity and access management solutions.
But putting identity at the core of your security architecture, you can reduce the risk of stolen credentials, eliminating the number one threat of breach in the enterprise.
Centralized access control to remove security holes and improve compliance.
Protect your customers and employee identity data from end to end.
And enforce both corporate data access policy and user preferences for data privacy.
Most organizations today still rely on a perimeter based approach to security.
This is made up of both the physical walls of their office and a network firewall.
This made sense when all the users applications and identities were inside this perimeter and the bad guys were on the outside.
But today, users and their devices are mobile.
And many SaaS enterprise applications and services are in the cloud, making a perimeter based approach to security ineffective in securing the enterprise.
To make matters even worse, users authenticate with many passwords giving hackers a much larger surface area for attack.
Well there's a better way, the Ping Identity platform makes identity a security cornerstone with five key capabilities.
First, single sign-on gives all of your users, your employees, customers and partners single-click access to SaaS, cloud, and legacy apps.
SSO from Ping lets you authenticate your users once, no matter where they are with a single set of corporate credentials, eliminating all of those insecure passwords and giving your organization a single authentication authority.
But since most organizations still rely on passwords for their corporate credentials, they're still susceptible to breach.
Multi-factor authentication or MFA allows your enterprise to move beyond passwords with a great user experience.
As users sign on, policy is evaluated using contextual data to determine if step up authentication beyond a password is necessary.
If so, they're prompted for another factor.
This is highly configurable, including one time pass codes via SMS, email or voice or maybe a user is prompted for a fingerprint on their device.
With MFA, hackers are denied access even with a stolen password.
Okay, so now your users are securely authenticated, but not every user should have access to all applications.
The access security capability will give your organization a central policy driven access control layer for all enterprise apps, whether they're in the cloud or on premises.
As users make requests to applications or to API's through a mobile application for instance, contextual data and attributes such as the application page requested, time of the day, network, session status, group, etc.
are used to evaluate authorization policy at the application page or API level and determine whether access is granted or denied.
Another challenge that many organizations face is keeping their customer and employee identity data safe and secure.
Many times identity data is scattered across many unsecure data stores and directories.
The Ping directory consolidates and secures your sensitive identity data at all phases during capture, and transit, at rest, or during reporting and logging.
It does this without sacrificing performance or scale.
In addition, most organizations are required to govern who has access to what data.
For instance, when a partner requests customer data maybe to fill an order, you may need to protect social security numbers or credit card data.
The Ping data governance capability enforces both corporate policy and user privacy preferences for all requested data from partners, various corporate groups or other applications.
Ensuring your organization complies with all relevant industry, geographic, or corporate policies.
The Ping Identity platform makes identity the new perimeter, strengthening corporate security, and ensuring regulatory compliance without sacrificing user experience.
Thank you.

Comment l’IAM aide à prévenir les fuites de données

Nous présentons ci-dessous plusieurs fonctionnalités de l’IAM ainsi que le rôle qu’elles jouent pour empêcher les fuites de données.

 

Autorité d’authentification globale

Une autorité d’authentification fournit un service d’authentification authentique qui couvre toutes vos ressources numériques, qu’elles soient sur site, sur cloud ou SaaS. Une autorité adaptative peut réduire votre surface d’attaque en demandant automatiquement un degré supérieur de preuve pour les utilisateurs lorsque certains signaux de risques sont déclenchés, comme par exemple une connexion depuis des adresses IP suspectes ou la géolocalisation. Les utilisateurs qui suivent leurs schémas typiques connaissent des expériences de connexion fluides, tandis que des évaluations en temps réel peuvent identifier une tentative de fuite de données et demander des formes d’authentification supplémentaires.

 

Authentification multifacteur

L’authentification multifacteur (MFA) demande aux employés, aux partenaires et/ou aux clients de fournir une preuve de leur identité à partir de deux catégories d’authentification ou plus. Un acteur malveillant utilisant des identifiants compromis ne se verra pas autoriser l’accès sans fournir des formes supplémentaires de preuve provenant d’une catégorie différente, comme un appareil mobile relié à l’utilisateur ou l’empreinte digitale de l’utilisateur. Selon Microsoft, la MFA peut « empêcher 99,9 pourcent des attaques ciblant vos comptes ».

 

Les facteurs d’authentification incluent :

 

  • Quelque chose que vous connaissez.  Les mots de passe, les codes PIN et les réponses aux questions de sécurité entrent dans cette catégorie. Les gens partagent ouvertement des informations personnelles sur les sites des réseaux sociaux, ce qui les rend moins sécurisées et plus faciles à identifier par les acteurs malveillants.
     

  • Quelque chose que vous possédez. Les smartphones, les jetons physiques, les jetons logiciels, les porte-clés et les cartes à puce en possession de l’utilisateur en sont des exemples. Les méthodes incluent d’envoyer un mot de passe à usage unique (OTP) sur un smartphone ou d’insérer une carte à puce sur un appareil.

  • Une chose qui vous est propre. La biométrie est de plus en plus utilisée pour confirmer l’identité d’un utilisateur dans la vie réelle, notamment grâce au scan des empreintes digitales, à la reconnaissance vocale ou faciale, au scan de la rétine ou grâce à d’autres méthodes.

 

 

 

Autorisation dynamique

L’autorisation dynamique vous permet de contrôler les personnes ayant accès aux données ainsi que les actions qu’elles peuvent effectuer sur vos applications SaaS, mobiles, Web et de l’entreprise. En utilisant le contexte en temps réel, les décisions d’autorisation strictes peuvent autoriser, bloquer, filtrer ou masquer. L’autorisation joue aussi un rôle dans la conformité aux réglementations. Les réglementations sur la protection des données des consommateurs varient en fonction des secteurs et des régions ; des mises à jour et de nouvelles réglementations sont régulièrement introduites. La conformité aux réglementations telles que le Règlement général sur la protection des données (RGPD), le California Consumer Privacy Act (CCPA) et le Consumer Data Right (CDR) signifie que vos clients peuvent consulter et contrôler leurs données.

 

Annuaire

Les acteurs malveillants veulent les données de vos employés, de vos partenaires et de vos clients. Un annuaire qui centralise et chiffre les données d’identité aide à les protéger contre les attaques. Plutôt que d’avoir plusieurs annuaires en silos, combiner ces derniers dans une seule source de confiance pour votre organisation et vos partenaires de confiance vous permet de personnaliser le parcours utilisateur tout en gardant les données en sécurité. Cet annuaire chiffre les données quel que soit leur état (au repos, en mouvement ou en cours d’utilisation) pour éviter les fuites de données coûteuses et les problèmes liés aux réglementations. Un annuaire centralisé peut aussi défendre contre les attaques internes en permettant aux entreprises de limiter l’accès et d’envoyer des alertes actives et passives lorsqu’une activité suspecte se produit.

 

Sécurisation des API

Les API (Application programmable interfaces) sont des logiciels intermédiaires utilisés que les applications communiquent entre elles ; plusieurs méthodes existent pour les développer. Dans la mesure où les données passent pas les API, ce sont des sources privilégiées pour les acteurs malveillants. La sécurité des API inclut le contrôle des accès aux API et la confidentialité, la détection et la remédiation des attaques ciblant les API grâce à la rétro-ingénierie, et l’exploitation des vulnérabilités des API décrite dans l’Open Web Application Security Project (OWASP) API Security Top 10.

 

Regardez cette brève vidéo pour en savoir plus sur la sécurité des API.

 

Digital transformation is built on APIs, which drive new operating models that provide direct access to business logic, applications, and data.
While this access is invaluable for your employees, partners, and customers, it also makes APIs attractive targets for hackers and rogue insiders.
A growing number of highly publicized attacks have revealed how vulnerable APIs can be to attack vectors like credential stuffing, stolen tokens, data extraction, broken authentication, account takeover, and breaches through a partner.
Existing API security solutions like content delivery networks and application delivery controllers, web application firewalls, identity and access management systems, and API gateways provide basic protections for your API infrastructure against volumetric DDOS attacks, OWASP top ten vulnerabilities, session hijacking, and invalid input attacks, to name a few.
But they're not enough to stop hackers determined to exploit vulnerabilities unique to each API.
To learn more about four common gaps in API security, visit our website at the link below or visit the API intelligence page at www.pingidentity.com.
Thanks for watching.

En savoir plus sur le Zero Trust

Les acteurs malveillants cherchent en permanence de nouvelles manières d’attaquer votre système, de voler des données ou pire encore, de faire de vos données des otages dans le cadre d’une attaque par ransomware. Le Zero Trust procure une approche générale pour sécuriser votre réseau. Téléchargez notre livre blanc pour en savoir plus : Le parcours vers le Zero Trust.

Partager cet article:
Ressources connexes
Transformer la stratégie CIAM en un centre de profit dans les services financiers
3 juil. 2024
Transformez le CIAM en un centre de profit dans les services financiers pour offrir des expériences numériques fluides et sécurisées
5 moyens de gagner la bataille numrique dans les services financiers grce lidentit
5 moyens de gagner la bataille numérique dans les services financiers grâce à l'identité
Adam Preis
21 févr. 2024
Devenez plus compétitif face aux acteurs digital-first en libérant la puissance de l’identité numérique dans les services financiers.

Lancez-vous dès Aujourd'hui

Contactez-Nous

sales@pingidentity.com

Découvrez comment Ping peut vous aider à offrir des expériences sécurisées aux employés, partenaires et clients dans un monde numérique en constante évolution.