Qu'est-ce que la prolifération des identités ?

• Glossaire IAM
• Qu'est-ce que la prolifération des identités ?

La prolifération des identités est la croissance incontrôlée des identités et des comptes numériques au sein d'une organisation, ce qui réduit la visibilité et augmente les risques de sécurité. Au fur et à mesure que les entreprises développent leurs environnements cloud et adoptent de nouvelles applications, le nombre d'identités numériques augmente plus rapidement qu'il n'est possible de les gérer et de les sécuriser correctement. La prolifération des identités concerne à la fois les identités humaines et les identités non humaines (NHI), y compris les comptes de service et les agents d'IA. Bien que l'utilisation des NHI soit en augmentation, de nombreuses NHI ne sont pas examinées et gérées aussi régulièrement que les comptes des employés. Au fil du temps, ce manque de visibilité augmente le risque de cyberattaques basées sur l'identité. La prolifération des identités s'accompagne souvent d'une prolifération des secrets, où les identifiants tels que les clés API et les jetons prolifèrent sans contrôle centralisé.

Comment se produit la prolifération des identités ?

La prolifération des identités se développe progressivement au fur et à mesure que les organisations se développent, adoptent des services cloud et introduisent de nouvelles technologies sans mettre en œuvre des contrôles centralisés de gestion des identités et des accès (IAM).

Expansion rapide

L'adoption du cloud a changé la façon dont les organisations gèrent l'accès, permettant le déploiement de nouvelles applications en quelques minutes. Cependant, lorsque les entreprises adoptent des outils SaaS sans contrôle centralisé IAM, les comptes sont créés en dehors de la visibilité des équipes de sécurité. Cette décentralisation entraîne des comptes en double, des contrôles d'accès incohérents et des données fragmentées sur les différentes plateformes. Le shadow IT, ou l'informatique fantôme, accélère encore la prolifération des identités ; lorsque les employés utilisent des outils sans autorisation officielle, les comptes d'utilisateurs et les identités non gérés élargissent la surface d'attaque d'une organisation.

Gestion inadéquate du cycle de vie des identités

La gestion du cycle de vie des identités (ILM) garantit que les utilisateurs bénéficient d'un accès approprié lorsqu'ils rejoignent, changent de rôle ou quittent leur organisation. Lorsque les processus d'intégration et de désintoxication sont incohérents, la prolifération des identités est plus probable. Plusieurs problèmes courants liés à la gestion du cycle de vie des employés (ILM) consistent à accorder un accès excessif lors de l'intégration, à ne pas révoquer cet accès lorsque les employés changent de rôle et à retarder la sortie de l'entreprise. En l'absence d'une application cohérente des politiques et d'un provisionnement automatisé, les utilisateurs peuvent conserver leur accès longtemps après avoir quitté l'organisation, créant ainsi un risque inutile parmi les identités actives.

Accumulation des comptes privilégiés

Les comptes privilégiés sont souvent créés pour soutenir des projets temporaires, des fournisseurs ou des besoins opérationnels. Au fur et à mesure que les organisations se développent, ces comptes peuvent conduire à un trop grand nombre d'identifiants privilégiés partagés, à un accès permanent aux systèmes critiques ou à des examens peu fréquents des accès privilégiés. Lorsque les comptes privilégiés ne sont pas gérés régulièrement, ils deviennent des atouts précieux pour les cybercriminels. La prolifération des identités dans les environnements privilégiés augmente considérablement l'impact potentiel d'une violation de données.

Croissance des comptes de service et des NHI

Dans les environnements natifs de l'informatique cloud, les NHI sont souvent plus nombreux que les utilisateurs humains. Les pipelines DevOps et les outils d'automatisation créent en permanence de nouveaux comptes de service pour permettre la communication machine-à-machine. Cette croissance exponentielle présente des risques pour la sécurité si les comptes de service sont décentralisés, si des identifiants codés en dur sont intégrés dans des scripts ou si les jetons ne sont pas tournés. Lorsque les identifiants des NHI ne sont pas contrôlés, soumis à une rotation ou sécurisés dans un coffre-fort centralisé, ils deviennent des vecteurs d'attaque cruciaux pour les cybercriminels. Étant donné que les NHI fonctionnent souvent sans intervention humaine, leur état compromis peut passer inaperçu pendant de longues périodes.

Prolifération des identités vs prolifération des secrets vs dérive des privilèges

La prolifération des secrets et la dérive des privilèges sont liés à la sécurité des identités, mais ils représentent des risques de sécurité différents. L'expansion des identités se concentre sur l'expansion des identités à travers les systèmes. Elle résulte généralement de l'adoption décentralisée de SaaS, de la croissance de l'informatique dématérialisée sans contrôles IAM centralisés et de la création de comptes non gérés. Le principal problème lié à la prolifération des identités est le volume : trop d'identités existent dans les différents environnements, et elles peuvent être inactives ou mal contrôlées. Par exemple, si une organisation adopte des dizaines de plateformes, chacune nécessitant ses propres comptes, des milliers d'identités peuvent s'accumuler au fil du temps. Malgré leur inactivité, ces identités élargissent la surface d'attaque parce qu'elles se multiplient au-delà de ce qu'une surveillance adéquate peut couvrir.

Malgré la similitude de nom, la prolifération des secrets fait référence à la propagation incontrôlée des secrets, y compris les mots de passe, les clés API et les jetons, à travers les systèmes. La prolifération des secrets se produit souvent lorsque les identifiants sont codés en dur dans le code source, que les clés API sont stockées dans des fichiers en clair ou que les secrets sont partagés par des méthodes non sécurisées telles que l'e-mail. Le principal problème de la prolifération des secrets n'est pas le nombre d'identités existantes, mais plutôt la dispersion incontrôlée des identifiants qui permettent l'accès. Chaque secret exposé ou non géré peut permettre aux cybercriminels d'accéder directement aux systèmes critiques. Imaginez qu'une clé API soit intégrée dans un référentiel de code et ne soit jamais renouvelée ; un cybercriminel peut utiliser ce secret pour accéder à des ressources cloud sans compromettre le moindre compte.

La prolifération des privilèges, en revanche, se concentre sur l'attribution d'un accès trop important à une identité spécifique. Cela se produit généralement lorsque l'accès est accordé mais jamais révoqué en raison de changements de rôle, de projets temporaires ou de révisions d'accès peu fréquentes. Dans le cas de la dérive des privilèges, le nombre d'identités peut être gérable, mais le véritable problème se pose lorsque des comptes individuels accumulent un accès plus large que nécessaire. Imaginez qu'un employé rejoigne l'équipe marketing d'une organisation en ayant accès aux outils de gestion de la relation client (CRM), mais qu'il soit ensuite transféré aux opérations et ait accès à des systèmes critiques. L'identité de l'employé ayant toujours un accès inutile aux outils de gestion de la relation client, le compte compromis peut exposer des informations sensibles au-delà de son champ d'application prévu.

Risques de sécurité liés à la prolifération des identités

Lorsque les identités se multiplient dans les différents environnements, les organisations perdent en visibilité et souffrent d'une gouvernance affaiblie. Voici les principaux risques de sécurité associés à la prolifération des identités :

Comment éviter la prolifération des identités

Pour prévenir la prolifération des identités, les organisations doivent se concentrer sur la visibilité, la gestion du cycle de vie et l'application de l'accès de moindre privilège pour les identités humaines et les identités machine.

Automatiser le provisionnement et le déprovisionnement

La centralisation de la gestion des identités par le biais d'une solution de gestion des identités et des accès (IAM) est essentielle pour contrôler la croissance des identités. Les organisations devraient automatiquement fournir un accès basé sur les rôles et les fonctions en utilisant les contrôles d'accès basé sur les rôles (RBAC) au lieu d'accorder un accès large manuellement. Le déprovisionnement automatisé est tout aussi important que le provisionnement, car l'accès doit être révoqué immédiatement lorsque les employés quittent l'organisation. En éliminant la gestion manuelle des comptes, les entreprises réduisent le nombre d'identités inutilisées ou surprivilégiées.

Mettre en œuvre l'administration et la gouvernance des identités (IGA)

L'administration et la gouvernance des identités (IGA) garantit que l'accès reste adapté aux besoins de l'organisation au fil du temps. L'examen régulier de l'accès permet de confirmer que les utilisateurs ne conservent que l'accès nécessaire à leurs tâches actuelles. L'IGA aide les organisations à identifier les comptes orphelins ou inactifs avant qu'ils ne deviennent des failles de sécurité. Sans une gouvernance permanente, les identités se développent au-delà des capacités de contrôle et contribuent rapidement à la prolifération des identités.

Appliquer le principe du moindre privilège

Les organisations doivent, dans la mesure du possible, supprimer l'accès permanent aux systèmes critiques en imposant l'accès de moindre privilège et en mettant en œuvre l'accès juste-à-temps (JIT). En s'assurant que les utilisateurs et les systèmes ne reçoivent que le minimum d'accès nécessaire, les organisations peuvent réduire le risque d'élévation des privilèges et minimiser l'impact d'un compte compromis.

Sécuriser les comptes privilégiés

La gestion des accès privilégiés (PAM) joue un rôle important dans la prévention de la prolifération des identités et de sa transformation en une violation majeure des données. Les comptes privilégiés doivent être sécurisés dans un coffre-fort chiffré, avec la MFA pour tous les accès administratifs. Les organisations doivent surveiller et enregistrer les sessions privilégiées pour maintenir la responsabilité et la visibilité totale. Ils doivent également mettre en œuvre la rotation automatisée des identifiants pour réduire l'exposition et empêcher le partage d'identifiants non sécurisés. En sécurisant les identités privilégiées, les entreprises empêchent les accès excessifs de contribuer aux risques de sécurité liés à la prolifération des identités.

Gérer les NHI et les secrets

Dans les environnements cloud, les NHI ont tendance à être plus nombreux que les utilisateurs humains, de sorte que pour éviter la prolifération des identités, il faut traiter les comptes humains et les comptes machine avec le même niveau de sécurité. Les organisations devraient inventorier les comptes de service, sécuriser les secrets plutôt que de les intégrer dans le code et procéder à une rotation automatique des secrets. Il est nécessaire d'appliquer l'accès de moindre privilège aux identités humaines et non humaines afin d'éliminer l'accès permanent et de s'assurer que l'authentification des machines ne s'étende pas au-delà des contrôles appropriés. Il s'agit notamment de gérer les identifiants des NHI, tels que les clés API, les jetons et les certificats, en tant que secrets liés à une identité, à l'aide de rotation, de la définition de la portée et de la surveillance.