Blog

Identifier les cycles de vie des identités pour la sécurité des applications cloud

par Vivian Au 4 août 2014 | 4 minutes de lecture

Le mois dernier, nous avons évoqué les tactiques employées par Twitter pour protéger les données des utilisateurs. Stephen Lee, directeur des solutions de plateforme chez Okta, s'est également exprimé lors de la récente réunion sur la sécurité de PagerDuty sur les applications SaaS, les considérations que les entreprises doivent prendre en compte lors de leur adoption et de la protection des données qu'elles contiennent.

Fournir les bonnes applications

Le grand avantage des produits SaaS est qu'ils sont accessibles à tous les utilisateurs via le Web. Cependant, la simplicité d'utilisation des applications cloud pose également le problème du contrôle d'accès : qui a accès à quelles applications et à quel niveau ?

Chez Okta, l’automatisation permet de résoudre l’un des principaux problèmes de contrôle d’accès : le provisionnement. Lorsqu’un nouvel employé arrive à bord, qu’il travaille dans les opérations, l’ingénierie, les ventes ou un autre service, il doit se voir accorder l’accès à certaines applications, et l’automatisation peut grandement simplifier ce processus.

L'automatisation du contrôle d'accès réduit également le risque qu'un employé doive demander manuellement l'accès à une application par la suite, ce qui contribue à réduire la charge de travail du service informatique et à améliorer la productivité.

Planifiez l'utilisation des appareils mobiles

L’une des tendances majeures que le SaaS contribue à alimenter est la convivialité croissante des lieux de travail en matière de mobilité. La mobilité est un atout pour les employés, qui peuvent travailler où et comme ils le souhaitent, ce qui aurait été impossible il y a seulement 10 ans. Pourtant, elle représente un véritable casse-tête pour les équipes de sécurité informatique.

Non seulement les données d'entreprise sont stockées sur un nombre toujours croissant d'appareils mobiles, qui peuvent facilement être perdus ou volés, mais bon nombre de ces appareils sont des appareils personnels. Que se passe-t-il lorsqu'un employé démissionne ou est licencié ? Son ancien employeur peut-il être sûr que les données de l'entreprise ne partiront pas avec lui ?

Ces considérations exigent un système robuste de gestion du contrôle d’accès, qui facilite l’octroi ou la révocation de l’accès pour chaque personne.

Anticiper le cloud pour tout

Le SaaS ne se résume pas à favoriser la mobilité. L'adoption de la technologie cloud dans l'entreprise présente d'autres avantages, notamment des économies de coûts, l'accès à de nouvelles fonctionnalités et la convivialité. Pourtant, le passage massif au cloud – l'une des deux principales tendances du marché technologique d'entreprise soulignées par Stephen, l'autre étant l'adoption des appareils mobiles – n'est pas sans poser des problèmes de sécurité.

Par exemple, il est assez difficile de gérer l’authentification et l’autorisation lorsque les utilisateurs accèdent aux applications depuis plusieurs emplacements sur plusieurs appareils différents. Il faut également tenir compte de l’interaction entre l’utilisateur final et les applications elles-mêmes : comment garantir des connexions sécurisées sur des réseaux que vous ne contrôlez pas ? Il y a ensuite la question des audits de sécurité, auxquels toutes les entreprises publiques sont soumises. Si vous êtes audité, vous devrez prouver que vous pouvez générer des données sur « qui a accès à quoi ».

Stephen a suggéré de réfléchir à la sécurité dans le contexte des « cycles de vie des identités ». La première étape de l’élaboration d’un plan de sécurité complet consiste à cartographier ces cycles de vie pour les utilisateurs internes et externes, en pensant en termes de contrôle d’accès. L’approche du cycle de vie est particulièrement judicieuse lorsqu’elle est utilisée de concert avec une philosophie de « sécurité par défaut », où les contrôles de sécurité sont intégrés au processus de développement du produit.

Pensez à vos utilisateurs

Un autre avantage des cycles de vie des identités : ils obligent les entreprises à identifier précisément les personnes dont elles contrôlent l'accès. Qu'il s'agisse des utilisateurs réels, dans le cas de Twitter, ou des ingénieurs et des responsables opérationnels en interne, le « cycle de vie » nécessite une approche holistique de la sécurité.

Chez Okta, la question est celle de la précision : les utilisateurs peuvent-ils accéder à ce dont ils ont besoin de manière fiable ? Steven a présenté l'utilisateur final d'Okta comme le « client » de l'équipe de sécurité d'Okta.

« Ils doivent pouvoir accéder à ce dont ils ont besoin, mais ils ne devraient pas pouvoir accéder à ce dont ils n'ont pas besoin. » Stephen Lee, Okta

Penser en termes de besoins des autres est une chose rare dans le monde des affaires, surtout dans le domaine informatique, qui passe la majeure partie de son temps à s'occuper de l'approvisionnement des appareils, des corrections de bugs, de l'architecture système, etc. Pourtant, Stephen montre la voie vers une version améliorée et plus « client » de l'informatique d'entreprise.

Regardez la présentation complète de Stephen ici :