Réfléchissez bien avant de transférer les identités de vos utilisateurs vers le cloud

Posted On 02 Avr 2024

Une approche pragmatique pour préserver la sécurité de vos identifiants utilisateurs et réduire au maximum votre surface d’attaque.

Suite aux failles récentes, les entreprises commencent à revoir leur position quant au fait de confier leurs données à des tierces parties. Et elles ont raison. Lorsque les identités numériques de vos utilisateurs sont en jeu, la prudence est de mise.

Dans cet article, nous allons explorer les raisons qui pourraient vous inciter à la précaution avant de permettre à des tierces parties d’accéder aux identifiants réseau de vos utilisateurs.

Adaptez votre seuil de risque au paysage des menaces

Les fuites de données qui ont récemment fait les gros titres soulèvent des questions sur la pertinence de mettre entre les mains la gestion de ses identités à un fournisseur d’identité (IdP) cloud. Plus particulièrement, il est légitime de se demander : dans quelle mesure le transfert de vos identités numériques vers le cloud étend-il votre surface d’attaque ?

Et surtout, est-il vraiment possible d’apporter une réponse à cette question ?

Revenons un instant sur la faille récente subie par Okta. Du point de vue du risque, la gestion des identités dans le cloud apparaît soudain comme un véritable cheval de Troie.

Les attaquants ont accédé aux informations client stockées sur la plateforme d’assistance d’Okta. De là, ils ont réussi à accéder aux identifiants réseau des clients. C’est un risque que tout le monde a plus ou moins accepté de courir. Mais l’étendue des dégâts est plus importante encore. Les attaquants se sont également emparé des jetons de session.

Et comme nous l’avons vu, cette technique ouvre la voie à une myriade d’accès non autorisés et de déplacements latéraux particulièrement sournois.

Déterminez votre tolérance au risque

Quelles sont les implications pour les leaders de l’IT ? Tout d’abord, la façon dont votre entreprise met en œuvre la gouvernance des identités dépend de votre situation spécifique.

Si vous faites déjà appel à un fournisseur d’identité basé dans le cloud, voyez s’il vous est possible de réduire votre surface d’attaque (un indice : elle est beaucoup plus étendue que vous ne le pensez). Par exemple, assurez-vous d’appliquer l’authentification multifacteur à tous les accès réseau, en contrôlant l’association aux sessions administrateur.

Si votre entreprise envisage d’avoir recours à un fournisseur d’identité cloud, mais que vous n’avez pas encore franchi le pas, vérifiez attentivement la façon dont votre fournisseur stocke vos identifiants sur sa plateforme. Assurez-vous que les politiques et fonctionnalités de sécurité qu’il propose répondent à vos exigences en matière de gestion du cycle de vie des identités.

Si votre entreprise utilise actuellement un fournisseur d’identité sur site comme Active Directory (AD), votre surface d’attaque sera bien plus réduite si vous conservez la gestion de vos identités utilisateur en interne. Avec une solution robuste d’authentification unique (SSO) pour Active Directory, vous offrez un accès transparent et sécurisé à vos utilisateurs pour leur permettre de profiter de tous les avantages du cloud.

Garder le contrôle de vos données : une capacité vitale

Les fuites de données n’ont pas fini de faire les gros titres. Dans ce contexte incertain, il est d’autant plus important de bien protéger les identités numériques de vos utilisateurs. Pour les professionnels de l’IT qui doivent composer avec les difficultés liées à la protection des accès réseau, il est aujourd’hui capital de choisir des solutions de sécurité capables de réduire le risque inhérent.

Retrouver toutes les actualités d’IS Décision, partenaire de ZATAZ.COM dans l’espace UserLock Community.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.