La numérisation croissante crée de nouveaux environnements et des centaines de milliers de nouvelles identités humaines et machines dans chaque entreprise. Cependant, cette digitalisation s’est accompagnée de nouvelles méthodes d’attaque innovantes, les cybercriminels cherchant à exploiter les identités et à contourner les efforts de sécurité en place.
Sécuriser les identités numériques en entreprise n’est plus optionnel
Ainsi, selon le dernier rapport CyberArk, plus de la moitié (57 %) des pressionnels de l’IT français estiment que les initiatives de transformation numérique sont susceptibles d’engendrer des compromissions liées aux identités dans mois à venir.
Comment les entreprises peuvent-elles résoudre les vulnérabilités liées à la sécurisation des identités ?
Faute de compétences ou de ressources internes pour gérer efficacement la cyberdéfense, souvent composée d’un vaste patchwork de solutions ponctuelles, la responsabilité incombe beaucoup à l’utilisateur aujourd’hui. La réduction des risques et la résilience sont pourtant considérées essentiels compte tenu de la recrudescence et sophistication des cyberattaques. Il faudrait cependant que les entreprises cherchent davantage à travailler avec un ensemble plus restreint de fournisseurs et de partenaires en matière de cybersécurité, à même de résoudre efficacement les vulnérabilités à l'aide de technologies et d'expertises intégrées.
Il est également essentiel que les projets de sécurité s'appuient sur des considérations de gestion des risques. Seulement, à peine deux organisations françaises sur cinq (43 %) ont adopté une telle approche pour sécuriser les données et les actifs critiques. Les entreprises devraient donc identifier ces derniers, c’est-à-dire ceux qui seraient problématiques s'ils étaient compromis, afin d’élaborer une stratégie de sécurité pérenne en conséquence. Sans cela, il est certain que les organisations font face à des dépenses excessives dans des outils de cybersécurité finalement peu efficaces, tout en favorisant les vulnérabilités ; les brèches, le cas échéant, sont alors importantes et aux répercussions significatives. C’est pourquoi les entreprises doivent se forcer à "penser comme un cybercriminel" et anticiper les activités malveillantes les visant.
De plus, la plupart des entreprises n’ont pas pleinement embrassé la stratégie Zero Trust, c’est-à-dire en appliquant la règle de "ne rien croire, tout vérifier". Or, elle permet notamment de réduire massivement l'exposition liée aux identités, en commençant par la gestion des identités et la sécurité des points d'accès pour réduire les risques.
Enfin, alors que la plupart des experts de la cybersécurité ont essayé de protéger les organisations de manière invisible pour éviter d'impacter négativement l'expérience des utilisateurs, les personnes et leurs identités constituent actuellement une part si importante de la surface d’attaque que ce n'est plus un objectif réaliste. A l’inverse, il est désormais indispensable d’inclure ouvertement les clients, les partenaires et les employés dans les stratégies en place pour contrer les cybermenaces et de partager régulièrement les bonnes pratiques liées. Dans certains cas, cela implique de leur retirer des capacités auxquelles ils se sont habitués, mais qui ne sont foncièrement pas nécessaires à l'accomplissement de leur fonction.