91 % des organisations françaises ont été la cible d’au moins une cyberattaque dans le courant de l’année 2020. De 400 000 à 500 000 malwares seraient détectés tous les jours contre seulement quelques-uns il y a une vingtaine d’années. Comment les entreprises peuvent-elles mieux s’en protéger ? Les réponses d’Hervé Liotaud, vice-président Europe du Sud de SailPoint, société spécialisée dans la gestion des identités.
Avant la technologie, la sécurité de l’entreprise, même numérique, n’est-elle pas d’abord un sujet de sensibilisation des équipes à l’importance du sujet ?
Hervé Liotaud : Du début des années 2 000 jusqu’il y a 5 ans, le paradigme dans le domaine était le suivant : les organisations devaient s’équiper en sécurité périmétrique (firewall, IPS…), ajoutant au fil des ans couches sur couches. Depuis 2017, la réflexion s’est recentrée sur le facteur humain qui joue un rôle essentiel en matière de sécurité, d’autant plus que les hackers se perfectionnent constamment et parviennent presque toujours, après un temps d’adaptation, à contourner les solutions techniques mises en place. Aujourd’hui, on parle donc moins de sécurité périmétrique, pour placer l’accent sur l’humain et la gestion des identités au sein des entreprises. Sensibiliser les collaborateurs aux enjeux de sécurité fait, bien entendu, partie de ce nouveau paradigme. Mais il faut, de plus, avoir une vision claire de qui à accès à quoi au sein de la structure. C’est une question primordiale.
C’est cela qui forme la base de la philosophie « Zero Trust », qui tend à devenir le nouveau standard de la sécurité et que vous adoptez dans vos solutions ?
Hervé Liotaud : Absolument. Comme son nom l’indique, la philosophie du « Zero Trust » consiste à ne placer sa confiance en personne, pour n’ouvrir l’accès aux différentes parties de l’entreprise que petit à petit, via de la granularité. C’est l’exact opposé de ce qui était mis en place auparavant où les employés, sans guère de contrôles, avaient accès à quasiment tout, facilitant grandement la tâche d’éventuels attaquants. Dans sa dernière note, qui date d’avril 2021, l’ANSSI fait un focus sur le « Zero Trust » en insistant sur l’impératif que représente la gestion des identités au sein des organisations. Celle-ci concerne les entrées, les sorties, mais également les migrations internes.
Qu’entendez-vous par granularité ?
Hervé Liotaud : Contrairement au SSO (Single Sign-On – technologie d’authentification unique), la granularité ne se limite pas à ouvrir ou fermer la porte. Il s’agit de la mise en place d’une véritable gouvernance des identités afin de s’assurer que le collaborateur (ou le partenaire de l’entreprise) n’ait accès qu’aux applications qui le concernent dans le cadre de ses fonctions. Par exemple, le salarié d’un service RH chargé du recrutement n’a pas vocation à avoir accès au sous-serveur RH qui contient les fiches de paie. La granularité permet de s’en assurer.
Le travail à distance et la multiplication des points d’entrée (PC, tablettes, smartphones) ne tendent-ils pas à compliquer cette tâche ?
Hervé Liotaud : Effectivement. Il s’agit d’une gestion d’ensemble. Quand une personne quitte une entreprise, il faut être certain de pouvoir déconnecter les accès sur la totalité de ses appareils. Autre exemple qui concerne les migrations internes. Un collaborateur qui quitte un département pour en intégrer un autre doit voir les accès liés à son département initial supprimés. C’est, malheureusement, loin d’être toujours le cas.
Le fait qu’aujourd’hui les solutions de gestion de sécurité disponibles sont souvent nativement « full cloud » change-t-il la donne ?
Hervé Liotaud : Oui. Cela permet de faire entrer l’entreprise, quel que soit son secteur d’activité, dans un cercle vertueux de « best practices » puisque les solutions sont désormais déployées en quelques mois. Chez SailPoint, nous avons des clients qui ont 1 000 utilisateurs, d’autres qui en ont 200 000. C’est dire si les échelles peuvent être différentes d’un cas à l’autre. Pour autant, nous avons des exemples où nous avons déployé nos systèmes en 3, 4 ou 5 mois, quand auparavant cela aurait pris deux ans. L’utilisation du cloud représente donc un gain de temps considérable.
Que permet l’arrivée de l’intelligence artificielle ?
Hervé Liotaud : Le machine learning est d’une précieuse aide. En période de recertification, le manager, à la tête d’une équipe de 50 personnes par exemple, va vérifier l’état en matière de sécurité (autorisation des accès…). C’est une tâche qui, par essence, est extrêmement chronophage et qui, du coup, n’est pas toujours menée sérieusement. L’utilisation du machine learning va permettre d’automatiser ces tâches fastidieuses. Les salariés peuvent ainsi se recentrer sur des missions à forte valeur ajoutée.