Qu'est-ce qu'une identité dans le domaine de la cybersécurité ?
- Glossaire IAM
- Qu'est-ce qu'une identité dans le domaine de la cybersécurité ?
En cybersécurité, une identité est un ensemble unique d'attributs utilisés pour représenter une entité à des fins d'identification et d'authentification. Bien que l'identité soit généralement associée aux comptes d'utilisateurs, une entité peut également être une machine, une application, un service ou un agent d'IA. Chacune d'entre elles doit disposer de sa propre identité afin que les systèmes puissent la reconnaître et la vérifier, déterminer ce qu'elle est autorisée à faire, les ressources auxquelles elle peut accéder et les actions qu'elle peut effectuer. L'identité en cybersécurité constitue le fondement de deux fonctions de sécurité essentielles : l'authentification et l'autorisation. Sans moyen de vérifier l'identité d'une personne, ni l'authentification ni l'autorisation ne sont possibles, ce qui fait de la gestion des identités un élément essentiel d'une stratégie de sécurité.
Pourquoi les identités sont importantes en matière de cybersécurité
Chaque demande d'accès est associée à une identité. Qu'il s'agisse d'un utilisateur se connectant à un service, d'une application interrogeant une base de données ou d'un script exécutant un processus, chaque identité sert à déterminer si une requête peut être authentifiée et quels accès doivent être autorisés. Étant donné qu'une seule identité compromise peut permettre d'accéder à des informations sensibles et à des systèmes critiques, les identités constituent des cibles de grande valeur pour les cybercriminels.
Le principal défi réside dans la prolifération des identités, c'est-à-dire la multiplication d'identités non gérées dans les environnements sur site, hybrides et dans le cloud. À mesure que les organisations adoptent davantage de services cloud et d'intégrations tierces, le nombre d'identités augmente rapidement, ce qui rend leur suivi et leur gestion de plus en plus difficiles. L'IA accélère également la multiplication des identités au sein des organisations, alors que les équipes informatiques et de sécurité manquent souvent de visibilité sur le nombre d'identités ou sur leur portée.
Les comptes orphelins, les autorisations excessives et les comptes de service non surveillés élargissent la surface d'attaque. Le vol d'identifiants et le phishing figurent régulièrement parmi les vecteurs d'attaque les plus répandus — protéger les identifiants est essentiel pour sécuriser les identités.
Quels sont les éléments qui constituent une identité dans le domaine de la cybersécurité ?
Une identité se définit par un ensemble unique de caractéristiques qui permettent aux systèmes de reconnaître, de vérifier et de distinguer une entité d'une autre. Ces attributs varient en fonction du type d'entité, mais parmi les plus courants, on peut citer :
- Nom d'utilisateur
- Adresse e-mail
- Adresse IP
- Certificats
- Clés cryptographiques
- Signaux comportementaux
- Rôles et autorisations
- Adhésions à des groupes
- Métadonnées
- Informations sur la session
Aucun attribut ne suffit à lui seul à définir pleinement une identité. Considérés dans leur ensemble, ces attributs permettent aux systèmes de sécurité de prendre des décisions tenant compte du contexte, en signalant les anomalies comportementales, en appliquant des contrôles d'accès dynamiques et en réduisant la dépendance à l'égard d'un facteur unique susceptible d'être usurpé ou compromis.
Types d'identités dans le domaine de la cybersécurité
Dans le domaine de la cybersécurité, les identités ne se limitent pas aux comptes d'utilisateurs individuels, car toute entité interagissant avec un environnement numérique peut être dotée d'une identité. Ces entités se répartissent en quatre grandes catégories :
- Identités humaines
- Identités non humaines (NHI)
- Identités des machines et des applications
- Actions et ressources
Identités humaines
Les identités humaines désignent les personnes qui s'authentifient et interagissent directement avec les systèmes, notamment les employés, les clients, les administrateurs et les utilisateurs privilégiés. Ces identités sont généralement associées à des identifiants individuels, tels que les noms d'utilisateur et les mots de passe, et sont gérées par des fournisseurs d'identité (IdP). Les identités des personnes étant fréquemment la cible de cyberattaques, elles nécessitent des mesures d'authentification rigoureuses et une surveillance continue.
Identités non humaines (NHI)
Les NHI sont des identités numériques, notamment des comptes de service, des applications, des charges de travail, des API et des agents d'IA. Ces identités s'appuient généralement sur des identifiants tels que des clés API, des secrets, des jetons et des certificats pour l'authentification. Contrairement aux identités humaines, les NHI fonctionnent généralement en continu en arrière-plan, ce qui fait que les équipes de sécurité ont tendance à les négliger. C'est précisément ce qui les rend si dangereux : les NHI ont tendance à bénéficier de privilèges excessifs et à rester sans surveillance pendant de longues périodes. En l'absence d'une gouvernance adéquate, les NHI deviennent des points d'entrée permettant aux cybercriminels d'obtenir discrètement un accès non autorisé, de se déplacer latéralement et d'étendre leurs privilèges.
Identités des machines et des applications
Les identités des machines font partie de l'infrastructure physique et virtuelle qui constitue les environnements numériques. Les serveurs, les terminaux et les appareils de l'Internet des objets (IoT) doivent être authentifiés avant de pouvoir communiquer sur un réseau. Les identités d'application couvrent la couche logicielle, notamment les bases de données, les services cloud et les plateformes SaaS qui s'authentifient régulièrement les unes auprès des autres pour fonctionner. Cette communication entre services constitue un élément clé de l'infrastructure cloud moderne, et c'est l'identité qui en garantit la sécurité. Sans identités authentifiées des machines et des applications, les organisations ne disposent d'aucun moyen fiable de s'assurer que seuls des systèmes de confiance échangent des données.
Les actions et les ressources en tant que contexte identitaire
Les actions et les ressources ne disposent pas d'identités au même titre que les utilisateurs et les machines, mais elles sont associées à des identités et à des politiques d'accès. Les actions telles que les requêtes, les exécutions et les connexions réseau s'effectuent toujours dans le contexte d'une identité, d'un contexte comportemental et d'entrées, qui sont essentiels à la détection des menaces et à la conformité. Les ressources telles que les fichiers, les entrées de base de données et les lecteurs partagés sont généralement régies par des politiques d'accès qui définissent quelles entités peuvent interagir avec elles et quelles actions ces entités sont autorisées à effectuer. Ensemble, ces mesures et ces ressources fournissent les niveaux contextuels et comportementaux nécessaires qui permettent aux systèmes d'évaluer les risques, de détecter les activités suspectes et de mettre en œuvre des contrôles plus stricts lorsque l'activité s'écarte de la norme.
Identité, authentification et autorisation
Bien qu'étroitement liés, l'identité, l'authentification et l'autorisation sont trois concepts distincts qui s'enchaînent pour régir l'accès aux systèmes sécurisés. L'identité désigne ce qu'est une entité, ainsi que l'ensemble des attributs qui la définissent. L'authentification consiste à vérifier cette identité, c'est-à-dire à confirmer que l'entité est bien celle qu'elle prétend être, à l'aide d'un mot de passe, d'un certificat ou de données biométriques.
L'authentification multifacteur (MFA) renforce cette sécurité en exigeant au moins deux de ces facteurs. En revanche, l'autorisation désigne ce que l'identité vérifiée est autorisée à faire, par exemple lire un fichier sans pouvoir le modifier, ou effectuer une action spécifique. Ensemble, ces trois concepts constituent la base du contrôle d'accès, et une défaillance à n'importe quel niveau peut compromettre la sécurité de l'ensemble du système.
Comment les organisations gèrent et sécurisent les identités
La gestion des identités constitue un élément central des modèles de sécurité zero-trust. Au lieu d'accorder un accès étendu en fonction de l'emplacement du réseau ou d'une connexion unique, le modèle zero trust part du principe qu'aucune identité ne doit être considérée comme fiable par défaut et exige une vérification continue des identités et des demandes d'accès. La sécurité fondée sur l'identité rend indispensables des pratiques rigoureuses en matière de gestion des identités. Voici plusieurs moyens permettant aux organisations de gérer et de sécuriser les identités :
- Appliquer le principe du moindre privilège : Chaque identité ne devrait se voir accorder que les autorisations strictement nécessaires. Le principe du moindre privilège doit être appliqué à chaque niveau et faire l'objet d'un réexamen régulier afin de supprimer les autorisations qui ne sont plus nécessaires et de réduire le risque d'exploitation.
- Utiliser l'authentification multifacteur (MFA) partout : L'authentification multifacteur (MFA) exige qu'une entité vérifie son identité à l'aide d'au moins deux facteurs. Cette mesure doit être appliquée de manière générale, en particulier aux comptes privilégiés et aux utilisateurs disposant d'un accès à distance aux systèmes critiques.
- Mettre en œuvre la gestion des accès privilégiés (PAM) : Les solutions PAM permettent un contrôle centralisé des comptes privilégiés. Elles permettent aux organisations de mettre en place des contrôles d'accès granulaires, d'imposer des vérifications supplémentaires pour les opérations critiques et de conserver une piste d'audit détaillée.
- Renouveler automatiquement les identifiants et les secrets : Les identifiants qui changent rarement, voire jamais, constituent des vulnérabilités persistantes. La rotation automatisée garantit la mise à jour régulière des identifiants et des secrets pour toutes les identités, ce qui réduit les possibilités d'action des cybercriminels.
- Surveiller et enregistrer l'activité de la session : La surveillance et l'enregistrement continus des sessions génèrent un journal en temps réel des actions effectuées par les identités grâce à leurs accès. Associée à l'analyse comportementale, la surveillance des sessions permet aux organisations d'identifier les menaces qui contournent l'authentification en exploitant des identifiants légitimes mais compromis.
- Identités de machines sécurisées et flux de travail automatisés : Les machines possèdent des identités qui doivent être gérées selon les mêmes normes que celles applicables aux utilisateurs humains. Les organisations doivent tenir à jour un inventaire complet des identités des machines et veiller à ce que les flux de travail automatisés fonctionnent dans le cadre d'autorisations régulièrement contrôlées.
- Gérer les agents d'IA : Les agents d'IA interrogent de plus en plus souvent les systèmes et interagissent de manière autonome avec l'infrastructure ; ils doivent donc être considérés comme des entités distinctes, soumises aux mêmes règles de gouvernance que les autres entités. Sans une gouvernance adéquate des identités pour les agents d'IA, les organisations risquent de voir des identités très puissantes échapper à tout contrôle, ce qui mettrait en péril leurs environnements.