Quand on parle d’identité et d’accès, c’est l’authentification qui vient en premier à l’esprit de la plupart des administrateurs informatiques. Cette piste conduit ensuite à l’approvisionnement des comptes utilisateurs puis, inévitablement, à un léviathan incontournable : les mots de passe.
Ce workflow simple a longtemps été la pierre angulaire de la sécurité, en empêchant les utilisateurs non autorisés d’accéder aux ressources. Une combinaison de huit à douze caractères et chiffres, voire un peu plus dans les organisations plus exigeantes : voilà tout ce qui sépare un acteur malveillant des données critiques de l’entreprise ou des informations personnelles de l’utilisateur.
Mais... est-ce suffisant ? Avant de répondre à cette question, réfléchissez à la statistique suivante et poursuivez votre lecture afin de mieux comprendre l’importance de la IAM pour la création des workflows d’identité et d’accès au sein de votre organisation.
« Un tiers (29 %) des entreprises ont eu au moins une victime de phishing parmi leurs rangs en 2021. » – Jamf Threat Labs
L’importance de l’IAM
Pour protéger efficacement les ressources contre les menaces d’aujourd’hui, il ne suffit pas d’un mot de passe fort. Certes, cela reste un facteur important. Mais comme le rappelle le chiffre ci-dessus, près d’un tiers des organisations comptent au moins une victime de phishing parmi leurs rangs. Autrement dit, quelles que soient la force du mot de passe de l’utilisateur et les règles mises en œuvre pour éviter les mots de passe faibles, rien n’empêchera un accès non autorisé si l’utilisateur fournit simplement ses identifiants.
Pour résoudre ce problème, qui s’ajoute à bien d’autres défis de sécurité entourant l’authentification des utilisateurs, les solutions de gestion des identités et des accès doivent s’articuler avec la sécurité. Les workflows de gestion et de sécurité poursuivent le même objectif : assurer la sécurité des ressources de l’organisation. Il est donc logique qu’ils s’appuient sur la même infrastructure.
Jamf Connect est un exemple parfait de la puissance de cette alliance entre IAM et sécurité. Non seulement elle sécurise l’authentification, mais elle garantit aussi la continuité de l’accès aux ressources en assurant la cohérence et l’alignement des workflows dans toutes les activités de l’utilisateur, quel que soit l’appareil.
L'authentification moderne
L’identité est un élément central pour tout sécuriser, des appareils aux comptes utilisateur en passant par les ressources de l’entreprise. Les organisations investissent dans l’identité et s’appuient dessus pour améliorer l’expérience des employés. En faisant appel à des fournisseurs d’identité cloud tels que Google, Microsoft et Okta, le service informatique peut mettre en place le déploiement zero-touch. Cette approche simplifie l’approvisionnement des comptes en utilisant les attributs de l’identité cloud de l’utilisateur et des fonctions de gestion qui s’étendent bien au-delà des murs du bureau.
Le résultat : une solution IAM conviviale qui authentifie les utilisateurs auprès des applications d’entreprise sur tous les appareils (fixes et mobiles, professionnels ou BYOD), et qui englobe toutes les ressources de l’organisation (sur site et dans le cloud), où que l’utilisateur se trouve.
Application des règles
Les règles d’accès intégrées aux solutions IAM renforcent la sécurité à plusieurs titres. Elles procèdent notamment à des évaluations des risques liés aux appareils en fonction de règles pour permettre aux équipes informatiques et de sécurité de prendre en compte la posture de risque de l’appareil. Reprenons l’exemple ci-dessus : l’utilisateur a remis son mot de passe à un pirate suite à une attaque de phishing. Avec une règle liée à l’accès conditionnel via l’intégration de Microsoft ou Google, un workflow couperait automatiquement les autorisations d’accès de l’utilisateur associé aux identifiants compromis pour protéger les ressources de l’organisation.
Voyons un autre exemple, cette fois avec l’accès réseau zero-trust ou ZTNA, que nous aborderons un peu plus tard. Avec le ZTNA, composant central de Jamf Private Access, seul un utilisateur autorisé peut accéder aux applications professionnelles critiques. Du côté du matériel, une deuxième règle réserve l’accès aux seuls appareils de votre flotte qui ont été autorisés par les équipes informatiques et de sécurité.
Le paysage moderne des menaces
Avec l’adoption des appareils mobiles et des pratiques de télétravail, le paysage informatique moderne a considérablement modifié les environnements de travail. Mais le paysage des menaces a évolué, lui aussi, et les pirates élaborent sans cesse des techniques intelligentes et innovantes pour cibler vos appareils et vos utilisateurs dans leur quête de données confidentielles.
Pour être efficaces, les solutions IAM doivent appliquer des contrôles de sécurité évolutifs et flexibles qui s’étendent bien au-delà du périmètre du réseau interne. L’une de ces pratiques consiste à évaluer en permanence la position de risque d’un appareil, pendant toute la durée de la session. En effet, c’est une chose de vérifier qu’un appareil n’est pas compromis avant de lui accorder un accès, mais que se passe-t-il si une anomalie se produit pendant la session ? Le résultat final est le même : un accès non autorisé.
Pour atténuer ce risque, le ZTNA et l’accès conditionnel évaluent les risques en continu à l’aide de règles contextuelles qui accordent ou refusent l’accès aux données, aux applications et ressources sensibles. De plus, une solution basée sur le cloud offre des protections de réseau efficaces et flexibles pour s’adapter aux besoins spécifiques de l’organisation. Et tout cela sans avoir à gérer du matériel de sécurité, des configurations logicielles complexes ou des contrats d’assistance coûteux.
Connecter les utilisateurs aux ressources, et bien plus encore
Nous insistons sur le mot « moderne », car il est important de faire la distinction entre un simple mécanisme d’authentification et la myriade de protections fournies par une véritable solution de gestion des identités et des accès.
Considérez l’IAM comme une pièce de puzzle. Certes, c’est une solution à part entière, capable de fonctionner de manière indépendante. Mais elle est bien plus efficace lorsqu’elle est associée à d’autres solutions dans le cadre d’une stratégie de défense en profondeur. De la même façon, chaque pièce de puzzle est une image en soi, mais l’image entière n’est révélée que lorsque toutes les pièces sont assemblées.
Certains avantages de sécurité sont inhérents, tandis que d’autres émergent avec l’intégration de solutions internes et tierces :
Un mot de passe pour les gouverner tous
Nous avons déjà abordé l’unification de la gestion des identités dans toutes les applications et ressources d’entreprise. L’authentification unique (SSO) permet d’harmoniser les protections sur l’ensemble de votre infrastructure, en incluant les divers appareils gérés et non gérés qui y accèdent. Cela ne simplifie pas seulement la tâche de l’équipe informatique : grâce à ce workflow plus simple, les utilisateurs n’ont qu’un seul mot de passe à retenir, sans avoir à jongler avec d’innombrables identifiants conformes (ou pas) aux règles de l’entreprise.
En outre, le SSO simplifie la gestion de plusieurs services en synchronisant les mots de passe entre les ressources de l’entreprise et vos terminaux Mac. De cette façon, votre IdP fonctionne pour tous les acteurs.
Deux valent mieux qu’un
Les mots de passe sont dans une zone grise de la sécurité. Ils sont reconnus comme un aspect clé de la sécurisation de l’accès aux ressources, mais posent tout de même plusieurs problèmes, tant du point de vue de l’administrateur que de celui de l’utilisateur. Rappelez-vous aussi ce que nous disions à propos de la sécurité des mots de passe et du fait qu’une attaque de phishing peut facilement contourner tous les contrôles en place ou presque. Dans ce contexte, on en vient à chercher une méthode plus performante et efficace pour protéger les ressources.
C’est exactement ce que permet l’authentification multifacteur (AMF) : elle demande aux utilisateurs d’attester qu’ils sont bien ceux qu’ils prétendent être à l’aide d’une combinaison de facteurs :
- Une information que vous connaissez
- Un objet que vous possédez
- Une caractéristique de ce que vous êtes
En activant cette fonctionnalité dans Jamf Connect et auprès de votre IdP, vous aurez l’assurance que le bon utilisateur, muni du bon appareil, demande l’accès aux ressources de l’organisation. Et vous minimiserez ainsi le risque que des données sensibles tombent entre de mauvaises mains.
Ne jamais faire confiance, vérifier systématiquement
Nous avons évoqué le ZTNA un peu plus haut ; voyons maintenant les avantages qu’il y a à étendre l’IAM avec cette technologie pour renforcer la sécurité des organisations.
Premièrement, les microtunnels. Le concept de tunnelage des données n’est pas nouveau dans le monde de la sécurité. Le VPN le fait depuis des décennies. Mais n’oubliez pas que nous parlons de solutions modernes ! Le VPN traditionnel présente indéniablement plusieurs défauts de sécurité que seul le ZTNA peut combler, en particulier face aux menaces modernes.
Les microtunnels font partie de ces améliorations : la connexion à chaque ressource protégée se fait via un microtunnel dédié, créé au moment où l’utilisateur demande l’accès. Au lieu d’autoriser l’accès à l’ensemble du réseau comme le font les VPN traditionnels, le ZTNA utilise des microtunnels indépendants pour sécuriser l’accès à chaque ressource. Cette segmentation du trafic prévient les attaques par déplacement latéral sur le réseau. Et si une application est compromise, il suffit d’interdire l’accès à l’application en question : les utilisateurs peuvent continuer de travailler avec les autres ressources intactes pendant que le service informatique résout le problème.
Le ZTNA résout également le problème de l’utilisation de la bande passante du réseau en exploitant chaque microtunnel sur l’appareil et dans le réseau, sans passer par du matériel VPN. Cette efficacité exceptionnelle a un autre avantage : l’utilisation du tunnelage fractionné, qui identifie automatiquement le trafic professionnel et le sécurise par un microtunnel. Le trafic personnel, quant à lui, est acheminé directement vers Internet. Cette technique respecte la vie privée des utilisateurs tout en sécurisant les données de l’organisation.
Rassembler tous les avantages
L’intérêt d’une IAM moderne est qu’elle peut étendre ses capacités pour s’appuyer sur les forces de solutions internes et tierces. Et c’est un puissant atout quand on sait que la sécurité, tout comme la technologie, évolue à un rythme effréné. Dans le passé, votre organisation pouvait peut-être se contenter d’un IdP et d’une solution MDM locale pour gérer sa flotte Apple. Mais aujourd’hui, les équipes travaillent souvent à distance, et il faut donc des solutions IdP, AMF et MDM basées sur le cloud pour prendre en charge la gestion des appareils et des identités au sein de votre infrastructure.
Dans un avenir proche, il vous faudra également penser à la défense contre les menaces mobiles et envisager des capacités plus puissantes de gestion des accès, par exemple avec le ZTNA. Une solution IAM flexible fait toute la différence au moment de répondre aux besoins actuels et futurs de votre organisation.
Revenons une dernière fois sur les mots de passe. Et si nous vous disions qu’il existe un moyen de mettre en œuvre l’AMF pour sécuriser les demandes d’accès tout en éliminant complètement les mots de passe ? L’authentification Mac sans mot de passe est-elle possible ? Et sûre ?
Oui, absolument ! Nous dirions même qu’elle serait encore plus sûre.
Découvrez Jamf Unlock, le workflow sans mot de passe résultant de l’intégration de Jamf Connect + Jamf Pro. Il fonctionne sur tout appareil basé iOS équipé de la version 14.0 ou plus. Les mots de passe eux-mêmes peuvent créer des failles de sécurité, notamment en cas d’exposition suite à une violation de données ou une attaque de phishing, ou simplement parce qu’ils sont trop faciles à deviner. Un workflow d’authentification sans mot de passe peut contourner entièrement ces problèmes de sécurité. Il assurera la sécurité de vos employés et de vos données tout en offrant une expérience simple et fluide aux utilisateurs finaux.
Principaux points à retenir :
- La gestion des identités et des accès est une étape essentielle pour répondre aux besoins de l’environnement de travail moderne, qui s’étend hors des murs de l’entreprise.
- C’est un élément essentiel dans une stratégie efficace de défense en profondeur, qui combine plusieurs couches de solutions de sécurité pour atténuer les menaces
- Mettez en place le déploiement zero-touch et simplifiez les workflows d’approvisionnement des comptes en optant pour un IdP cloud
- L’IAM basée sur des règles aligne la gestion des comptes sur les règles de l’organisation. Elle veille à ce qu’elles soient appliquées de façon cohérente à tous les appareils de l’infrastructure.
- Créez des workflows d’authentification simplifiés en misant sur l’authentification unique et l’authentification multifacteur pour améliorer et sécuriser l’expérience utilisateur
- Élargissez vos capacités en intégrant des solutions internes et tierces pour répondre à vos besoins actuels et vous préparer à ceux de demain.
- Contournez entièrement les problèmes de sécurité liés aux mots de passe en choisissant un workflow d’authentification sans mot de passe avec Jamf Unlock.
***
Cet article fait partie d’une série sur l’approche holistique de la sécurité. Découvrez la liste des articles de la série ou lisez-en un ci-dessous :
- Trusted Access protège les données de votre organisation
- Le déploiement zero-touch peut assurer la sécurité de vos appareils
- La gestion automatisée des applications renforce la sécurité de tous.
- Une protection des terminaux moderne pour relever les nouveaux défis de sécurité
- La gestion d’inventaire au service de la sécurité
Vous comptez toujours sur des mots de passe complexes – mais faciles à oublier – pour assurer la sécurité des ressources de l’organisation ?
Entrez dans le futur ! Découvrez l’avenir sans mot de passe en choisissant une solution moderne de gestion des identités et des accès.
S’abonner au blog de Jamf
Recevez les tendances du marché, les mises à jour d'Apple et les dernières nouvelles de Jamf directement dans votre boîte mails.
Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.