Approches post-pandémiques de l’IAM pour la sécurité des nuages

Nouveaux défis en matière de sécurité

En raison de l’augmentation massive du travail à distance à la suite de l’épidémie de coronavirus, la capacité des organisations à gérer l’identité des utilisateurs et la gestion de l’accès est devenue un défi de taille.

Saj Huq, directeur du centre d’innovation du London Office for Rapid Cybersecurity Advancement (Lorca), déclare : « Avec une grande partie de la population active utilisant des appareils personnels pour des moyens professionnels, les risques généralement associés au BYOD [bring your own device] sont considérablement multipliés.

« Cela est particulièrement répandu dans les entreprises qui n’étaient pas équipées pour travailler à distance à grande échelle, mais qui se sont retrouvées avec un éventail complexe d’appareils fiables et connus et une quantité importante d’actifs inconnus au sein de leurs réseaux. Une telle gamme de points de terminaison non soumis aux mêmes politiques de sécurité réseau ou d’entreprise rend extrêmement difficile la gestion sécurisée de l’accès aux actifs numériques.

Huq dit que parce que l’essor du travail à distance a fondamentalement changé la façon dont les gens travaillent, les mesures de sécurité traditionnelles sont devenues moins efficaces. « Par exemple, il a exigé des employés – dont certains ont des niveaux inférieurs d’hygiène cybernétique – qu’ils utilisent de nouveaux outils de collaboration basés sur le cloud, qui pourraient réutiliser les informations d’identification des utilisateurs d’entreprise pour accéder à des services moins sûrs », ajoute-t-il.

« En outre, la protection au niveau de l’entreprise traditionnellement offerte par les pare-feu et les contrôles d’entreprise peut ne pas être aussi efficace lorsqu’il s’agit d’utiliser des réseaux à domicile pour accéder à distance, rendant les approches basées sur le périmètre pour protéger les réseaux d’entreprise moins pertinentes. »

Zéro confiance à la rescousse

Face à ces différents défis, les organisations ont dû chercher de nouvelles solutions pour mieux gérer l’identité et l’accès des utilisateurs – et les principes de confiance zéro en font partie.

Huq déclare à Computer Weekly : « Au-delà de l’introduction de produits spécifiques de cybersécurité, les entreprises adoptent de plus en plus des principes plus larges de confiance zéro pour atténuer les risques associés à l’entreprise distribuée et répandue.

« Ces principes sont rendus possibles par bon nombre des produits les plus avancés du marché, ce qui permet une vérification continue de chaque interaction entre tout et n’importe qui qui souhaite se connecter aux systèmes d’entreprise et accéder aux données d’une entreprise.

« Cela nécessite un modèle matricielle pour micro-segmenter le réseau, ce qui rend plus difficile pour les attaquants de se déplacer latéralement à travers l’infrastructure d’une entreprise une fois qu’il a été infiltré. Les entreprises utilisent également de plus en plus des analyses comportementales avancées pour mieux identifier les comportements atypiques des utilisateurs, afin de mieux détecter à la fois les menaces internes et les attaques avancées », explique Huq.

Mais même si les principes de confiance zéro sont très efficaces pour la gestion de l’identité et de l’accès, ils peuvent être difficiles à mettre en œuvre pour les entreprises. Huq dit qu’ils ont besoin d’un état d’esprit de sécurité fondamentalement différent, en particulier pour les grandes organisations complexes qui peuvent exploiter des processus critiques sur des technologies héritées fortement personnalisées ou propriétaires.

« Une combinaison de technologies archaïques, d’une visibilité globale réduite du réseau et de politiques de sécurité profondément ancrées qui ne se prêtent pas à l’automatisation et à la vérification continue rend la confiance zéro extrêmement difficile à mettre en œuvre », ajoute-t-il.

Faire de l’identité un nouveau périmètre

Certains experts estiment que lorsque des restrictions de verrouillage ont été annoncées plus tôt cette année, de nombreuses organisations se sont précipitées pour déplacer leurs équipes à distance sans penser aux implications en matière de cybersécurité.

Todd Peterson, évangéliste iAM chez One Identity, déclare : « Dans la course pour permettre aux utilisateurs de travailler à distance, de nombreux professionnels de la sécurité ont accordé peu d’attention à la force et aux faiblesses des autorisations réseau. Leurs efforts pour faciliter le résultat de la transitiondans de nombreuses organisations de surapprovisionnement des utilisateurs.

Lorsque différents problèmes de sécurité sont apparus, les organisations ont pris conscience de l’importance des processus d’IAM dans un monde post-pandémique. Peterson déclare : « En raison de cette inefficacité, 50 % des professionnels de la sécurité informatique ont déclaré qu’ils accordaient maintenant une plus grande priorité aux technologies de demande d’accès qu’il y a un an.

« En outre, plus de la moitié des professionnels de la sécurité ont accru leur priorisation de la gestion de l’identité et de l’accès aux processus de gestion du cycle de vie, aux processus d’identité et aux flux de travail. Ces technologies sont la clé de la création d’une stratégie globale de cybersécurité qui non seulement sécurise les critères d’évaluation d’une organisation, mais qui facteurs dans la façon dont l’accès d’un employé pourrait permettre à un cybercriminels d’infiltrer le réseau.

Peterson croit que la pandémie de coronavirus a radicalement changé le concept de sécurité périmétrique. Il dit: « Avec tout le monde qui travaille à distance, pare-feu et VPN [virtual private networks] ne peut pas défendre le réseau d’entreprise d’une organisation, mais les employés peuvent, ce qui signifie que les entreprises ont besoin de faire de l’identité leur nouveau périmètre. En tant que section du réseau qui reste cohérente, peu importe d’où les employés travaillent, les identités sont maintenant à l’origine de la cybersécurité.

Même après notre retour au bureau, il y aura un autre changement perturbateur dans notre façon de travailler.

Dans le même temps, la gouvernance est devenue un problème encore plus urgent, selon Peterson. « Pour placer le concept d’identité au centre des stratégies de sécurité des organisations, ils doivent faire de la gouvernance un élément essentiel de chaque tâche », explique-t-il.

« La gouvernance est axée sur le pourquoi derrière la tâche par rapport à la façon dont la tâche est accomplie. Avec une meilleure compréhension des raisons pour lesquelles ses procédures de sécurité sont en place, les professionnels de la sécurité sont mieux placés pour maintenir la sécurité, quel que soit le nombre de changements dans sa stratégie d’entreprise.

Toutefois, étant donné que l’avenir du travail est encore incertain, les entreprises doivent être préparées à d’autres changements du point de vue de la cybersécurité. « Je prédis que même après notre retour au bureau, il y aura un autre changement perturbateur dans notre façon de travailler », dit Peterson.

« Sachant cela, je recommande aux professionnels de la sécurité d’avoir un plan en place pour faire face à un autre changement radical afin qu’il n’a pas à sacrifier sa sécurité pour faire face à un autre événement inattendu. »

Une bonne hygiène IAM est essentielle

Comme les organisations continuent de s’appuyer sur les technologies cloud pour le travail à distance, il est crucial qu’elles prennent des mesures pour améliorer l’identité des utilisateurs et la gestion de l’accès. Anna Chung, chercheuse principale à l’Unité 42 de Palo Alto Networks, estime qu’une bonne hygiène de l’IAM est essentielle pour réduire les risques.

« Il y a un certain nombre de choses que les organisations peuvent faire pour améliorer la sécurité de l’IAM, mais les organisations doivent d’abord et avant tout s’assurer que les comptes sont configurés selon les principes du moindre privilège, en limitant les dommages qui peuvent être causés si un compte est compromis. Il s’agit d’une tâche permanente pour les équipes de sécurité et il est donc préférable d’automatiser pour des raisons de coût et de facilité », dit-elle.

Si les organisations ne prennent pas IAM au sérieux, elles finiront par se laisser ouvertes au risque d’atteintes à la sécurité. « Même sans privilèges d’administrateur, si les rôles IAM ne sont pas configurés correctement, les pirates peuvent toujours se déplacer latéralement », explique Chung.

« Lors d’un récent exercice d’équipe rouge, nous avons pu tirer parti d’un rôle iAM mal configuré, augmenter les privilèges pour gagner en persistance et détourner un compte admin. Un tel exploit pourrait donner aux pirates la possibilité de voler des données, effacer l’infrastructure ou de livrer une attaque ransomware.

« Au cours de l’exercice de l’équipe rouge, nous avons également pu exploiter une politique de confiance de rôle trop permissive de l’IAM concernant ‘AssumeRole’. La mauvaise configuration signifiait tout utilisateur AWS pas dans le compte d’assumer le rôle et d’obtenir un jeton d’accès, ouvrant la porte pour les attaques ransomware ou même avancé menace persistante [APT] Acteurs.

« Les organisations doivent surveiller leurs journaux CloudTrail pour des événements AssumeRole comme celui-ci afin de s’assurer que seuls les comptes approuvés entreprennent ces actions dans leur environnement. »

Elle conseille aux organisations d’utiliser les solutions IAM proposées par tous les principaux fournisseurs de cloud. « Ces services peuvent identifier des activités anormales, telles que les attaques par force brute, mais la surveillance peut se décomposer au fur et à mesure que l’adoption du cloud s’étend sur plusieurs environnements. Pour cette raison, les organisations doivent tirer parti des API [application programming interfaces] services pour consolider le suivi », explique Chung.

« Rester constamment au top d’un grand nombre d’utilisateurs privilégiés et gérer leur accès à un ensemble sans cesse croissant de ressources sensibles est incroyablement challengIng. Les organisations doivent adopter des plateformes de sécurité natives cloud pour faire respecter les politiques de sécurité et assurer un comportement sécurisé des utilisateurs dans plusieurs environnements cloud.

Kristian Alsing, responsable de l’identité numérique chez Accenture en Europe, décrit l’adoption accrue du cloud comme une « tempête parfaite » pour les cybercriminels. Il dit qu’il leur a fourni de nouveaux vecteurs d’attaque et des vulnérabilités à exploiter.

« Juste à l’œil de cette tempête est IAM que le passage au travail à distance a étendu le périmètre de l’entreprise dans les maisons, où l’environnement est moins contrôlé. Par exemple, les équipes de sécurité ont maintenant le défi de la visibilité sur les menaces dans le « dernier kilomètre » sur le réseau, en raison de la division tunnelling étant exploité sur les VPN », dit-il.

M. Alsing affirme que la mise en œuvre de politiques d’identité et d’accès solides est cruciale en raison de ces menaces accrues. « Des politiques strictes en matière d’accès privilégié et d’accès aux entreprises sont des éléments essentiels de la gestion des risques dans des environnements tentaculaires et jetant les bases de contrôles préventifs et de détectives », dit-il.

En particulier, il conseille aux entreprises de déployer des cadres à confiance zéro pour contrôler les identités distantes et éviter de s’appuyer uniquement sur les VPN. « Cela devrait inclure l’authentification multifacteurs, l’authentification adaptative en utilisant des facteurs de l’appareil et de l’environnement plus large, l’analyse comportementale et la biométrie », ajoute-t-il.

Il dit que la gestion privilégiée des comptes est un autre domaine d’importance. « Les organisations doivent s’assurer que les comptes privilégiés sont contrôlés par le biais de la voûte, de l’authentification multifacteurs, de la rotation des mots de passe, de l’enregistrement des sessions ainsi que de l’enregistrement et de l’analyse de sécurité », dit-il.

« Bien que le passage rapide au cloud puisse présenter un nouveau défi pour les équipes de sécurité, une approche approfondie de la défense permet aux responsables de la sécurité d’obtenir des contrôles solides sans en tenir compte des employés. Les solutions basées sur le cloud peuvent répondre à la demande croissante d’accès rapide et sans friction à distance aux données et applications d’entreprise, malgré les contrôles supplémentaires en place. »

Il est difficile d’imaginer comment les entreprises auraient géré sans les technologies cloud pendant la pandémie de coronavirus. Toutefois, si les solutions cloud ont aidé les entreprises, elles ont également posé de nouveaux défis en matière d’identité et de gestion de l’accès. Avec l’adoption du cloud susceptible de croître encore plus au cours des prochains mois, les entreprises doivent prendre IAM au sérieux.