Réfléchissez bien avant de transférer les identités de vos utilisateurs vers le cloud

Suite aux failles récentes, les entreprises commencent à revoir leur position quant au fait de confier leurs données à confier à des tierces parties. Et elles ont raison. Lorsque les identités numériques de vos utilisateurs sont en jeu, la prudence est de mise.

Dans cet article, nous allons explorer les raisons qui pourraient vous inciter à la précaution avant de permettre à des tierces parties d’accéder aux identifiants réseau de vos utilisateurs.

Les fuites de données qui ont récemment fait les gros titres soulèvent des questions sur la pertinence de confier la gestion de ses identités à un fournisseur d’identité (IdP) cloud. Plus particulièrement, il est légitime de se demander : dans quelle mesure le transfert de vos identités numériques vers le cloud étend-il votre surface d’attaque ?

Et surtout, est-il vraiment possible d’apporter une réponse à cette question ?

Revenons un instant sur la faille subie par Okta en 2023. Du point de vue du risque, la gestion des identités dans le cloud apparaît soudain comme un véritable cheval de Troie.

Les attaquants ont accédé aux informations client stockées sur la plateforme d’assistance d’Okta. De là, ils ont réussi à accéder aux identifiants réseau des clients. C’est un risque que tout le monde a plus ou moins accepté de courir. Mais l’étendue des dégâts est plus importante encore. Les attaquants se sont également emparé des jetons de session.

Et comme nous l’avons vu, cette technique ouvre la voie à une myriade d’accès non autorisés et de déplacements latéraux particulièrement sournois.

Quelles sont les implications pour les leaders de l’IT ? Tout d’abord, la façon dont votre entreprise met en œuvre la gouvernance des identités dépend de votre situation spécifique.

Si vous faites déjà appel à un fournisseur d’identité basé dans le cloud, voyez s’il vous est possible de réduire votre surface d’attaque (un indice : elle est beaucoup plus étendue que vous ne le pensez[MT1]). Par exemple, assurez-vous d’appliquer l’authentification multifacteur à tous les accès réseau, en contrôlant l’association aux sessions administrateur.

Si votre entreprise envisage d’avoir recours à un fournisseur d’identité cloud, mais que vous n’avez pas encore franchi le pas, vérifiez attentivement la façon dont votre fournisseur stocke vos identifiants sur sa plateforme. Assurez-vous que les politiques et fonctionnalités de sécurité qu’il propose répondent à vos exigences en matière de gestion du cycle de vie des identités.

Si votre entreprise utilise actuellement un fournisseur d’identité sur site comme Active Directory (AD), votre surface d’attaque sera bien plus réduite si vous conservez la gestion de vos identités utilisateur en interne. Avec une solution robuste d’authentification unique (SSO) pour Active Directory, vous offrez un accès transparent et sécurisé à vos utilisateurs pour leur permettre de profiter de tous les avantages du cloud.

Les dirigeants IT prennent très au sérieux leur responsabilité de protéger l’identité numérique de leurs utilisateurs. Vos fournisseurs de solutions logicielles devraient en faire de même. Voici l’approche adoptée par d’IS Decisions pour protéger l’identité de vos utilisateurs Active Directory.

Tout d’abord, nous ne conservons jamais les identifiants et mots de passe d’accès au réseau de vos utilisateurs. Active Directory reste votre unique fournisseur d’identité.

Nos solutions de sécurité des accès sur site, UserLock et FileAudit, prennent la forme d’extensions pour Active Directory. Ainsi, l’intégration à AD est rapide, simple et ne modifie rien à votre schéma AD existant. En outre, l’ensemble de vos identifiants utilisateurs, même pour l’accès à notre solution, restent sur site : ils sont conservés dans vos systèmes, pas les nôtres.

Conserver la gestion de vos identités sur site permet de réduire votre surface d’attaque. Nous ne sommes peut-être pas très objectifs, mais nous estimons que la maîtrise de la surface d’attaque fait partie des avantages les plus sous-estimés de la gestion des identités sur site.

Pour reprendre les mots de notre directeur ingénierie, Daniel Garcia : « ça n’étonnera personne, mais quand on garde les clés de chez soi dans la poche, on est plus en sécurité que lorsqu’on les donne à quelqu’un d’autre ».

Une remarque des plus sages.

Notre engagement en faveur de la protection des données ne consiste pas simplement à ne pas stocker les identités numériques de vos utilisateurs : nous n’utilisons pas de système d’assistance accessible au public.

Vous soumettez vos tickets d’assistance par l’intermédiaire de votre compte isdecisions.com, en utilisant une adresse e-mail et un mot de passe totalement différents de ceux que vous utilisez pour votre compte Active Directory.

Autrement dit, l’infrastructure de nos clients reste totalement isolée de la nôtre.