La sécurité basée sur les identités est désormais une des priorités des services informatiques. Marie-Benoîte Chesnais décrit en 5 points les principales tendances concernant l’évolution de cette approche. CA Technologies développera plus précisément ces enjeux lors de sa participation à la RSA Conference 2017 (13 au 17 février à San Francisco).
1. Le DevSecOps s’imposera au sein du guide de référence en matière de cyberdéfense
Le DevSecOps est une combinaison du développement, de la sécurité et de la mise en production. Vouloir mettre rapidement en production de nouveaux produits, services ou applications, est un objectif louable, mais seulement si ce n’est pas fait au détriment de la sécurité. Ici, l’essentiel n’est pas d’aller vite, mais de s’assurer que les niveaux de qualité, de fonctionnalité et de sécurité soient satisfaisants. Un nouveau changement doit se produire au niveau des cultures des entreprises pour que la sécurité soit pensée en amont grâce au DevOps (Security by Design). Le code applicatif n’est pas complet s’il n’est pas suffisamment sécurisé et déployé au sein d’une architecture robuste.
Pour concrétiser la vision du DevSecOps, l’ensemble des applications et services devront proposer au minimum des fonctionnalités d’authentification et d’autorisation. Celles-ci (ainsi que d’autres fonctions essentielles permettant notamment la gestion des accès à forts privilèges et l’application d’une séparation des privilèges) devront être pleinement disponibles et simples à utiliser.
En outre, avec l’évolution des microservices et des SDK (Software Development Kit), il sera de plus en plus facile pour les développeurs d’intégrer des capacités de sécurité dès le début du développement, sans compromis pour la qualité d’expérience des utilisateurs.
2. L’apparition de nouvelles réglementations de cybersécurité
La gouvernance (y compris des utilisateurs à forts privilèges, dont les comptes auraient été impliqués dans 80% des fuites les plus importantes récentes) restera le meilleur moyen de déterminer et de fournir des accès appropriés, tout en respectant les réglementations (actuelles comme nouvelles). Cette approche est en effet la solution la plus efficace pour les organisations souhaitant attester de la mise en place des stratégies de contrôle des accès adaptées
3. Les solutions IAM destinées au grand public amélioreront l’expérience client et étendront la portée des outils de sécurité
Aujourd’hui, l’une des priorités des entreprises est de mieux s’investir auprès de leurs clients. La gestion des identités et des accès grand public occupera une place essentielle dans la poursuite de cet objectif en les aidant à gérer et comprendre leurs relations. Pour optimiser leurs expériences utilisateurs, elles devront s’intéresser aux parcours de leurs clients et passer d’une offre composée d’applications isolées à un ensemble complet de produits et services liés les uns aux autres.
En s’appuyant sur de meilleures technologies d’orchestration et d’agrégation des identités, elles pourront alors générer des profils clients complets à partir d’informations parfois issues d’une multitude d’applications et d’environnements.
4. La gestion des identités et des accès contribuera à l’avènement de l’IoT (internet des objets)
Les individus, applications, services et autres objets connectés ont tous une identité. L’Internet des Objets implique donc de prendre également en compte la notion d’une « Identité des Objets ». Ces identités définissent les relations entre chaque entité, et l’IAM peut jouer un rôle important dans ce contexte. La gestion des données circulant entre ces identités nécessite en effet une solution IAM capable de gérer, superviser et sécuriser l’ensemble des relations entre ces entités dans l’environnement. Cela devrait même devenir une condition sine qua non pour les entreprises cherchant à exploiter le potentiel de l’IdO.
5. La Blockchain au cœur d’un engouement croissant
Un certain nombre d’innovations importantes ont récemment vu le jour autour des technologies Blockchain et Hashgraph. Ces dernières offriront de nouvelles solutions de contrôle sans autorité distribuée, facilitant ainsi la coordination et l’orchestration à distance des relations et des données au cœur de ces relations.
Cependant, les modèles actuels doivent encore régler des problèmes majeurs, notamment le fait qu’il soit possible pour un seul groupe d’entités de manipuler la chaîne, et donc de définir sa propre version unique de référence, aux dépens de la majorité des parties impliquées. Une telle manœuvre dissimulée pourrait s’avérer problématique en termes d’équité.
Des mesures et des systèmes de protection devront donc être mis en place afin de sécuriser les intérêts de l’ensemble des parties. La sécurité des données reste donc un critère essentiel pour profiter pleinement de ces technologies, et le niveau de confiance vis-à-vis du réseau d’entités définira la réussite des projets mis en place.
Guide du RSSI de demain, la rédaction d’Alliancy, le mag a mené l’enquête !
|