Pour Barry McMahon, International Product Marketing Manager chez LogMeIn, l’image parfois négative de la sécurité informatique n’est pas une fatalité. La gestion des identités et des accès permet aux responsable sécurités de changer les perceptions et d’apporter de la valeur.

Quels sont les enjeux de la gestion des identités ?

La gestion des identités et des accès, maintenant appelée IDT (Identity and Digital Trust), désigne les solutions permettant d’associer des droits et restrictions d’accès à des utilisateurs de solutions informatiques. Elle représente un défi mais aussi une opportunité pour les entreprises et les département sécurité : le périmètre de sécurité ne peut plus se cantonner uniquement aux murs de l’entreprise, a fortiori depuis l’irruption du Covid-19. Les entreprises doivent maintenant sécuriser leur activité et leurs employés où qu’ils se trouvent, ce qui force les équipes IT à imaginer de nouvelles solutions faciles d’emploi, ne nécessitant pas un support constant aux utilisateurs.

Pourquoi les mots de passe sont-ils perçus négativement en entreprise aujourd’hui ?

Les mots de passe ont une image négative en raison des risques qu’ils peuvent faire courir aux entreprises. En moyenne, les utilisateurs peuvent avoir besoin de se logger à 200 applications entre leur vie personnelle et leur vie professionnelle, ce qui n’est pas humainement faisable sans réutiliser des identifiants. Or, les fuites de données surviennent principalement du fait du manque de diversification des mots de passe par les utilisateurs. Cette mauvaise image est donc liée à leur utilisation, pas intrinsèquement aux mots de passe. Bien que la disparition des mots de passe soit régulièrement évoquée, le fait est qu’ils demeurent la meilleure façon de fournir un accès à des systèmes et réseaux aux utilisateurs.

Comment industrialiser leur gestion ?

La solution LastPass permet de gérer les mots de passe à l’échelle de l’entreprise. Elle offre également la possibilité de protéger des applications derrière un firewall SSO (Single Sign-On), ce qui permet de réduire le nombre de mots de passe via une identification unique. A ce propos, je vous invite à consulter l’article suivant : Le zéro mot de passe est-il vraiment possible ? Par ailleurs, la méthode d’authentification est un élément décisif : même en cas d’usurpation d’identité, on peut être protégé par LastPass MFA (authentification à facteurs multiples), qui permet de refuser une demande accès non reconnue. Il s’agit bien d’une deuxième ligne de défense : même en cas de vol des accès, la validation peut prendre une autre forme, par exemple en intégrant des données biométriques. Les responsables sécurité recherchent des solutions de bout en bout : LastPass inclut ainsi la gestion des mots de passe, la SSO et la MFA en une seule plateforme, qui donne accès aux politiques de sécurité et aux rapports via un tableau de bord unique.

Le cabinet IDC a récemment réalisé une étude portant sur l’IDaaS : ses résultats révèlent que le contrôle des identités est un réel levier business. Pouvez-vous nous expliquer dans quelle mesure ?

Comme évoqué précédemment, le contrôle des identités demeure un aspect essentiel, car les employés sont de moins en moins présents sur leur lieu de travail en cette période d’épidémie. Pour garantir leur productivité et réduire les risques d’exposition, il est essentiel de gérer leur identité de manière rigoureuse. Alors que les employés sont parfois perçus comme des vulnérabilités pour l’organisation, ils peuvent aussi devenir de véritables ambassadeurs en matière de sécurité. L’avènement de la RGPD a accéléré le déploiement de solutions dédiées, mais leur implémentation peut se révéler complexe. Il ne suffit pas de mettre de nouveaux process en place, car la sécurité doit devenir une préoccupation de tous les instants à l’échelle de l’entreprise. Pour en savoir plus à ce sujet : RGPD : impact sur les résultats des entreprises.

Enfin, l’enquête IDC révèle qu’il est crucial aujourd’hui pour les départements IT de parler le même langage que la direction générale de l’entreprise et que les métiers. Comment y parvenir ?

On constate que l’état d’esprit des directions a changé : il ne s’agit plus de déployer des solutions complexes dans l’espoir d’atteindre le risque zéro, mais plutôt de changer les comportements pour réduire les risques. La technologie et l’expérience utilisateur ont évidemment un rôle à jouer, mais le changement doit être culturel et profond.

C’est dans le même mouvement général qu’on observe également un changement dans l’expression des équipes sécurité IT. Si vous parlez de cybersécurité en des termes très techniques, la plupart de vos interlocuteurs vont se dire que ce sont des débats de spécialistes qui ne les concernent pas. Il est donc primordial que ces dernières facilitent et sécurisent des objectifs business clés, comme la conformité réglementaire. Si les solutions qu’elles proposent sont faciles à utiliser, elles seront utilisées par la majorité des employés, ce qui favorisera l’adoption de pratiques de sécurité unifiées : Sécurité et expérience utilisateur : un duo gagnant.

La transformation digitale a longtemps été perçue comme un grand défi par les équipes de cybersécurité, notamment au niveau de la coexistence entre les applications legacy et cloud. La sécurisation de ce parc applicatif hybride est donc devenu une préoccupation majeure pour les entreprises, mais l’irruption du Covid-19 a chamboulé cette planification. Dans un contexte de télétravail forcé quasi universel, la planification est un luxe qu’on ne peut plus se permettre, et il est grand temps que les responsables de la sécurité informatique prennent le sujet de la gestion des accès à bras le corps pour garantir la continuité de l’activité.