Gérer les identités et la dette technique : pourquoi c’est un défi pour les entreprises
Dans un univers où la transformation digitale s’impose à tous les niveaux, la gestion des identités des collaborateurs et des partenaires constitue un enjeu stratégique pour les entreprises. Un véritable défi pour certaines structures qui doivent gérer leur dette technique. Des dispositifs techniques et organisationnels doivent être implémentés et régulièrement actualisés afin de renforcer le contrôle des accès.
Les opérateurs télécoms restent des cibles privilégiées pour les cybercriminels. À la fin de l’année 2024, SFR puis Free ont subi des cyberattaques. Dans le cas de Free, celles-ci ont provoqué un « accès non autorisé » aux informations personnelles, incluant les IBAN, d’environ 5 millions de clients. Orange et La Poste Mobile avaient été confrontés à des incidents similaires en 2022. D’autres sociétés privées ont également été touchées par des fuites de données sensibles, notamment des identifiants et mots de passe.
Un coût des violations de données en constante augmentation
D’après son rapport publié en juillet 2024, IBM évalue le coût moyen d’une violation de données à 4,88 millions de dollars, contre 4,45 millions l’année précédente. En France, l’augmentation se limite à 3 %, avec un coût moyen de 3,85 millions d’euros, montant qui peut atteindre 5,19 millions d’euros dans le secteur pharmaceutique.
La gestion de la cybersécurité devient un vrai défi pour les RSSI, DSI et leurs équipes, la surface d’attaque ne cessant de s’étendre. Ce problème se fait particulièrement sentir dans les entreprises ayant réalisé des acquisitions, où le suivi des nouvelles identités peut manquer de clarté, générant un excès d’accès, des retards et des difficultés lors des transferts ou départs de collaborateurs.
Le facteur identité, maillon faible de la cybersécurité
La complexité augmente avec le nombre croissant d’identités et de données sensibles à gérer. « Pour avoir une activité, les entreprises sont obligées d’avoir des flux, d’avoir un CRM, des comptes Microsoft 365… Tous ces services utilisent des identités. Si une seule est compromise, tout le monde tombe. Cette problématique est souvent gérée sous l’angle technique. En réalité, si nous ne prenons pas le facteur identité en compte, nous ratons plus de la moitié du problème. Les entreprises fédèrent des identités parce qu’il est plus facile de gérer un compte que 800. Or, il faut gérer chaque identité comme nous le faisons pour les services », explique Julien Courtemanche, Avant-vente chez WithSecure.
Gregory Chevalier, DSI du CNPP (Centre national de prévention et de protection) rappelle également que « l’identité n’est pas que la personne. On va pouvoir identifier les device qui se connectent. La gestion des identités va se faire aussi bien sur la personne physique que sur l’ordinateur professionnel, voire le bring your own device qui est plus ou moins accepté suivant les structures et suivant l’endroit où l’on voudra se connecter. Il s’agit de spécifier et de valider la connexion de ce device à son SI ».
Auditer et renforcer les identités pour limiter les failles
Cette vigilance est essentielle, car compromettre une identité ouvre la porte à de nombreuses autres ressources. « Les entreprises oublient de les gérer, de les rendre un peu plus tenaces, de faire du nettoyage, d’auditer régulièrement…. S’il y a une faille dans le système, cela va donner une opportunité à d’autres de pouvoir l’exploiter », avertit Jérôme Etienne, CISO du Groupe Rocher.
Le piratage de messageries et de comptes Microsoft 365 ou Google Workspace constitue une menace majeure pour les entreprises. Les cybercriminels emploient différentes méthodes (phishing, attaques par force brute, exploitation de failles logicielles) pour prendre le contrôle de ces comptes.
Une fois qu’ils ont réussi à s’infiltrer, les attaquants peuvent :
- Dérober des informations sensibles. Les données confidentielles, qu’il s’agisse d’informations clients, de secrets commerciaux ou de données financières, peuvent être extraites et ensuite vendues sur le dark web ou cédées à des concurrents malintentionnés.
- Usurper des Identités. Les pirates peuvent envoyer des courriels trompeurs en se faisant passer pour des employés de confiance, ce qui nuit à la réputation de l’entreprise. Le piratage de messageries a été utilisé pour informer des clients d’un changement d’IBAN, poussant certains à effectuer des virements vers des comptes frauduleux.
- Perturber les opérations. Un accès non autorisé peut provoquer la modification ou la suppression des données essentielles, entraînant des interruptions dans le fontionnement quotidien de l'entreprise.
- Propager des malwares. Les comptes compromis peuvent servir à diffuser des logiciels malveillants, tant à l’intérieur de l’entreprise qu’auprès de ses partenaires.
Pour se protéger de ces risques, les entreprises doivent combiner solutions technologiques et processus organisationnels :
- Mettre en place l'authentification à double facteur (MFA). La MFA renforce la sécurité en demandant une deuxième étape de vérification, comme un code reçu par SMS ou généré par une application dédiée, compliquant considérablement l’accès aux comptes pour les cyberattaquants.
- Gérer les identités et les accès. L’Identity and Access Management (IAM) centralise la gestion des identités des utilisateurs et garantit que seuls les employés autorisés peuvent accéder aux ressources nécessaires. Il offre des fonctions telles que le provisionnement automatique des comptes et la gestion des rôles. En assignant des rôles précis à chaque collaborateur et en veillant à ce que leur niveau d’accès corresponde à leurs besoins, l’IAM renforce la sécurité, améliore l’expérience utilisateur, optimise les performances de l’entreprise et facilite le travail à distance et l’adoption des solutions cloud.
- Surveiller la chaîne de sous-traitance. Selon une étude de SailPoint Technologies, près de 80 % des entreprises craignent les vulnérabilités liées à des accès excessifs accordés à des tiers ou à des anciens collaborateurs. Certaines infiltrations du système d’information proviennent d’accès laissés ouverts à des prestataires n’étant plus en activité. Il est donc crucial d’intégrer partenaires et fournisseurs dans la stratégie de segmentation des accès. La segmentation des accès doit donc intégrer les partenaires et prestataires. « J’ai vécu une compromission sur un compte d’administrateur sur de la téléphonie. Nous pouvons toujours parler de VPN, d’EDR… Le tri n’est pas toujours fait et certains accès restant en permanence ouverts constituent de potentielles failles. Si nous ne sécurisons pas toute la supply chain, nous risquons gros », rappelle David Patrzynski, DSI du groupe Nollet.
- Gérer la dette technique. « Des entreprises décident de garder un système obsolète qui n’a plus de capacité d’évolution. Elles travaillent avec cet équipement qui est figé dans le temps… mais qui se trouve dans un écosystème qui n’arrête pas de changer. Il faut adapter les systèmes techniques, être sûr qu’ils sont à jour », note Jérôme Etienne, CISO du Groupe Rocher. La solution ? Isoler ce dispositif. Oui, mais pour le faire, il faut d’abord y accéder afin d’intégrer des systèmes de sécurité, qui eux-mêmes nécessitent une gestion des identités. Les entreprises se retrouvent donc constamment face à ce type de dilemme. « Cela implique de faire de la gestion de risques pour trouver le bon équilibre entre un choix d’investissement ou la conservation en l’état : combien cela va coûter, quels risques sont engendrés, quelle adaptation dois je mettre en place, combien de temps dois je le garder… Sauf que la décision prise correspond au jour où elle a été prise. Demain, peut-être que le serveur présentera une vulnérabilité qui fragilisera mon entreprise. Cette analyse bénéfices/risques doit toujours être actualisée », souligne Julien Courtemanche, Avant-vente chez WithSecure.
- Sensibiliser ses colaborateurs. Les outils logiciels ne représentent qu’une partie de la protection. Tous les employés, y compris les dirigeants, doivent recevoir une formation régulière à l’hygiène numérique. Cela passe par la détection des tentatives de phishing, l’usage de mots de passe robustes et une attention constante aux comportements inhabituels ou suspects.
L’humain au cœur de la cybersécurité
Dans le domaine de la cybersécurité, l’humain reste un maillon central. Il est donc crucial de développer une véritable culture de la sécurité au sein de l’entreprise, pour que chaque collaborateur saisisse l’importance de protéger les données et les comptes. Parallèlement, les organisations doivent veiller à ce que leur politique de sécurité soit claire, accessible et bien comprise de tous.
En résumé, la gestion des identités des employés et la sécurisation des comptes représentent des enjeux cruciaux pour les entreprises. Les conséquences d’un piratage de comptes peuvent être multiples et particulièrement graves.
Une approche globale entre technologie et bonnes pratiques
Pour se prémunir contre ces risques, les entreprises gagneront à adopter une approche globale, mêlant technologies sophistiquées et bonnes pratiques humaines, régulièrement mises à jour et appliquées avec rigueur.
En s’appuyant sur des outils tels que l’authentification multi-facteurs ou la gestion des identités et des accès, tout en renforçant la culture de la sécurité, les entreprises peuvent accroître leur résilience face aux cybermenaces et mieux protéger leurs ressources les plus critiques.
Pour retrouver tous nos autres articles, consultez la bibliothèque complète de nos articles de cybersécurité.
Pour ce qui concerne nos émissions, dont est tiré cet article, vous pouvez consulter notre chaîne YouTube.
.avif)