Sécuriser tous les accès : le devoir incontestable de toute entreprise
Avis d’expert signé par Stefan Rabben, Directeur des ventes DACH & Europe de l’Est, WALLIX.
Novembre 2022
Dans un contexte où les usages numériques évoluent fortement et où la cybercriminalité est désormais considérée comme la troisième force économique mondiale, la nécessité de protéger les accès aux infrastructures des organisations est plus que jamais d’actualité. En sécurisant les accès, les organisations assurent la continuité de leurs activités, se conforment aux exigences réglementaires et, surtout, rendent les données accessibles à tous. Elles facilitent ainsi l’innovation et assurent leur compétitivité économique.
La pandémie a accéléré le processus de la transformation numérique. Le besoin de sécuriser les accès aux données des entreprises n’a jamais été aussi grand. Il suffit de penser à la standardisation du télétravail, à la croissance massive des services liés au Cloud ou à l’augmentation considérable du nombre d’appareils mobiles. Toutes les applications qui ont permis aux organisations de poursuivre leurs activités pendant les longs mois de confinement ont entraîné une augmentation considérable du nombre de points d’accès aux infrastructures informatiques. Considérant que ces points d’accès sont des portes d’entrée potentielles pour les pirates, la protection des données et des applications est devenue une tâche urgente. Le record de 2021 ne laisse pas de place au doute: 40 milliards de données personnelles ont été piratées, soit environ 10 données personnelles par individu dans le monde, soit une augmentation de 78% par rapport à 2020.
Cependant, ce record risque d’être battu de nombreuses fois car la cybercriminalité connaît actuellement une sorte d’industrialisation qui va considérablement augmenter le risque cyber pesant sur les économies de nombreux pays. Les organisations de hackers opèrent désormais au plus près des entreprises. La cybercriminalité est considérée comme la troisième plus grande industrie au monde, son coût global étant passé de 3 000 milliards de dollars en 2015 à 6 000 milliards de dollars en 2021 et pourrait passer à 10 500 milliards de dollars en 2025. Ces coûts comprennent les dommages et la destruction de données personnelles et/ou financières, le détournement de fonds, la fraude, le vol de propriété intellectuelle et l’atteinte à la réputation. Nous devons également tenir compte des coûts encourus par les organisations en raison de l’interruption des activités – qui peut parfois durer longtemps après l’attaque – ainsi que des investissements qu’elles doivent réaliser pour restaurer les systèmes piratés.
La sécurité n’existe plus, les bonnes mesures de protection si
Nous vivons aujourd’hui dans une ère d’évolution et de changement où les utilisateurs – qu’il s’agisse de personnes ou de machines – sont de plus en plus mobiles et doivent accéder aux données des organisations à tout moment et de n’importe où.
Les données elles-mêmes deviennent éphémères (stockage sur le cloud, solutions SaaS, automatisation) afin de contrôler les coûts et de gagner en flexibilité. Cela s’applique à tous les secteurs, y compris les plus critiques comme la santé, l’industrie ou l’administration, qui doivent de toute urgence protéger leurs accès pour assurer une continuité pérenne de leurs activités, la conformité réglementaire et, plus important encore, l’accessibilité des données, qui à son tour permet l’innovation et renforce la compétitivité économique.
Pour protéger l’accès, les entreprises doivent mettre en œuvre des mesures telles que:
- L’authentification forte ou multifacteur (MFA) pour neutraliser les risques liés à la compromission des identifiants.
- La gestion de l’accès à distance, basée sur les dernières technologies de sécurité, car elle permet de maintenir l’accès à distance pour les fournisseurs, les employés ou les administrateurs tiers.
- La gestion des sessions pour surveiller, contrôler et auditer les sessions.
- La gestion des mots de passe pour sécuriser et faire tourner les mots de passe et les clés, et pour supprimer les mots de passe difficiles.
- Et enfin, le principe du moindre privilège pour accorder les bons privilèges au bon utilisateur au bon moment et pour arrêter la propagation des logiciels malveillants en bloquant les mouvements latéraux et verticaux.
Des solutions intégrées pour la meilleure protection possible
WALLIX combine toutes ces mesures dans une solution unique appelée PAM4ALL. Elle aide les entreprises à mettre rapidement en œuvre une architecture Zéro Trust avec un système d’authentification forte et un contrôle d’accès adapté aux utilisateurs, en fonction de la tâche qu’ils doivent accomplir et pour une période donnée (Just-In-Time).
Il est également important que les responsables de la sécurité aient une vue d’ensemble constante sur les activités qui se déroulent sur le réseau de l’entreprise afin de pouvoir intervenir rapidement en cas de menaces avancées ou de logiciels malveillants. Les comptes, les clés et les certificats doivent être sécurisés, pour l’automatisation et les pratiques DevOps. Ces environnements DevOps doivent être sécurisés, quel que soit le type de plateforme d’automatisation utilisée et sans exposer les informations d’identification (pas de codage en dur). Les politiques de contrôle d’accès garantissent que les niveaux de privilèges appropriés sont accordés sans perturber les processus de travail internes. Il est donc absolument nécessaire de protéger tous les accès, et pas seulement les comptes à privilèges. Le principe du moindre privilège (Least Privilege) protège tous les utilisateurs et postes de travail vulnérables d’une organisation. Tous les employés, à un moment donné de leur journée de travail, utilisent une forme de privilège pour accéder à certaines ressources internes.
Le défi consiste à accorder l’accès au bon moment avec le bon niveau de privilèges pour accomplir la tâche attendue:
- Pour tous les utilisateurs: employés, fournisseurs, partenaires, ou machines, etc.
- Pour tous les types de situations.
- Sur toutes les ressources stratégiques de l’entreprise.
- Sur tous les appareils de l’entreprise.