Gestion des identités et des accès : un catalyseur de la transformation digitale

Avec le déplacement du périmètre de sécurité du bureau vers le domicile, les risques se multiplient. Mais les entreprises qui ont une stratégie claire en matière de gestion des identités peuvent tirer partie de cette opportunité pour gagner en sécurité et en flexibilité.

S’il est essentiel de bien être conscient des risques liés aux mots de passes dans le contexte actuel, il existe des solutions pour garantir la sécurité des télétravailleurs tout en améliorant leur productivité. Pour y voir plus clair sur ces thématiques, nous avons recueilli l’avis de Barry McMahon, International Product Marketing Manager chez LogMeIn.

Quels sont les principaux facteurs de risque pour les télétravailleurs ?

Avant la pandémie, les quelques télétravailleurs ne représentaient pas un risque car ils disposaient des outils adaptés pour être protégés. Mais l’exception est devenue la règle, et elle risque de s’installer dans la durée. L’implémentation du télétravail à une telle échelle n’a évidemment pas été anticipée : bien des entreprises sont sous-équipées, ce qui a poussé les salariés à recourir au BYOD. C’est ce transfert du périmètre de sécurité du bureau à la table du salon qui force les entreprises à réinventer la sécurisation de leur activité. Il ne s’agit plus de sécuriser tous les appareils, mais plutôt l’identité de la personne qui les emploie. Avec la gestion des identités et des accès (IAM) ou Identité as a Service (IDaaS), le périmètre de sécurité devient dynamique.

Le facteur humain demeure le maillon faible dans la chaîne de sécurité, comme en atteste le comportement des internautes en matière de mots de passe. Selon l’étude mondiale intitulée la Psychologie des mots de passe, 53% des répondants déclarent ne pas avoir changé leurs mots de passe depuis un an, même en cas de fuite de données sur leurs comptes, et 66% des personnes interrogées utilisent le même mot de passe pour tous leurs comptes en ligne ! Ces comportements se retrouvent malheureusement dans la sphère professionnelle : seuls 29% des répondants avaient l’intention de renforcer leurs mots de passe pour accéder à des comptes ou applications professionnels.

Il est cependant rassurant de constater que les responsables sécurité des entreprises en sont conscients. En 2019, nous avons assisté à une forte croissance des services d’IAM dans le Cloud. Selon IDC[1], les entreprises européennes ont investi 1,9 Mds de $ dans ce type de solutions, ce qui représente une croissance de 20% pour les services Cloud et seulement 3% pour ceux qui sont on-premise. La principale explication est que les entreprises n’ont pas suffisamment de ressources matérielles et humaines à y consacrer, et font confiance aux éditeurs spécialisés. Il s’agit du choix le plus sage, car le télétravail va devenir la norme.

Pourquoi les utilisateurs n’agissent-ils pas alors qu’ils sont conscients de leur vulnérabilité ?

S’ils sont conscients du risque, ils ne se considèrent pas pour autant comme des cibles. Pourtant, le fait de ne pas changer de mots de passe en cas de faille met en danger tous leurs comptes. A l’échelle de plusieurs millions d’utilisateurs, c’est du pain bénit pour les cybercriminels. Nous avons récemment publié une infographie sur le coût de la protection de l’identité numérique. Vous y apprendrez qu’un mot de passe peut se négocier jusqu’à 2000 $, donc ce trafic peut vite se révéler lucratif.

Cette tendance se vérifie également dans les PME. Selon notre Rapport annuel sur les mots de passe 2019, ces entreprises ne se considèrent pas comme des cibles prioritaires, alors qu’elles sont souvent utilisées comme des points d’entrée dans la supply chain de plus grosses organisations. C’est d’autant plus inquiétant que cette ignorance s’accompagne souvent d’un manque de vigilance, et diminue la probabilité de détecter des attaques.

[1] IDC, European Security Strategies Survey, 2019 (n = 700)

Comment améliorer la sécurité et la productivité des télétravailleurs ?

Le travail à distance est une opportunité pour les entreprises, mais il nécessite l’implémentation de mesure de sécurité globales, et de garantir l’accès des employés aux bonnes ressources pour maintenir leur productivité.

Si on aborde les mesures de sécurité, on peut citer en premier lieu le déploiement de l’authentification unique, qui simplifie l’attribution d’accès pour le service informatique, à laquelle on peut ajouter l’authentification multifacteur, qui renforce la sécurité avec des facteurs biométriques. Les stratégies contextuelles permettent quant à elles d’appliquer des modalités d’authentification adaptées au processus de connexion pour plus de flexibilité. L’activation permanente du VPN est également fortement recommandée, afin de garantir l’identité des employés très en amont. Il faut rappeler que 80% des fuites de données sont causées par la faiblesse ou la réutilisation des mots de passe.[1] Les pratiques de phishing sont courantes, exploitant notamment le remplissage automatique des mots de passe. Avec un gestionnaire de mots de passe, ce risque est fortement réduit.

En respectant ces mesures, le poste de travail des utilisateurs est protégé, même en cas de piratage. Par ailleurs, la fonctionnalité de partage de mots de passe sécurisée favorise l’accès des employés aux ressources partagées, optimisant ainsi leur productivité. Il est tout aussi important de prendre des mesures à l’égard du phénomène de Shadow IT, particulièrement développé dans les circonstances actuelles, et l’utilisation d’un gestionnaire de mots de passe couvre ces cas d’usage.

Les gestionnaires de mots de passe offrent enfin une vue globale des informations de connexion, permettant aux administrateurs de modifier les accès et paramètres d’authentification en fonction des besoins des utilisateurs, et il faut noter qu’il s’agit d’une priorité pour 53% des entreprises[2].

Comment faire de la gestion des identités et des accès un levier de la transformation digitale ?

Le nœud du problème réside dans l’efficacité opérationnelle. Pour les responsables de la sécurité, cela demeure un objectif difficile à atteindre, car la perception de leur domaine d’expertise n’est pas toujours positive. Ainsi, en 2019, la sécurité était perçue comme un frein à l'innovation, à la conformité ou comme un centre de coût par 36% des chefs d’entreprises français[3], et seuls 44% de ces derniers s’impliquent dans ces projets dès leur entame.

Or, le travail à domicile est plus que jamais d’actualité. Selon un récent sondage, 71% des personnes qui n'avaient jamais travaillé à domicile avant la crise sanitaire souhaitent désormais travailler de chez elles au moins un jour par semaine. Il s’agit là d’une occasion de tirer parti de la flexibilité offerte par la gestion des identités pour fournir aux employés les outils dont ils ont besoin pour être productifs en tout lieu. Ainsi, selon IDC, les entreprises disposent en moyenne d'une équipe de sécurité de 3,7 ETP, et peuvent espérer récupérer 95 jours de travail par an grâce à l'adoption d'une approche intégrée de leur environnement de sécurité.

Dans cette optique, les solutions de sécurité unifiée intégrant la gestion des mots de passe d'entreprise (EPM), l'authentification unique (SSO) et l'authentification multifacteur (MFA) permettent aux employés d’accéder aux ressources de l'entreprise en toute sécurité, et apportent une valeur ajoutée considérable à l'entreprise. Elles favorisent le recrutement et la conservation des meilleurs talents, en leur garantissant une flexibilité tout en réduisant l'exposition au risque pour l'entreprise. La sécurité peut désormais être perçue comme un véritable catalyseur de l’activité, ce qui renforce la position des équipes de sécurité auprès de la direction.

[1] Le guide de l'identité moderne
[2] Le guide de l'identité moderne
[3] IDC, European Security Strategies Survey, 2019 (n = 700)

Sur le même thème

Partenaires