Cybersecurity softwarePremium

La redécouverte de la sécurité de l'information

Séparer l'identité et l'accès

Le monde a changé, les processus d'exploitation ont changé et la fourniture d'informations a changé. Par conséquent, la sécurité doit également changer, selon André Koot
Le monde a changé, les processus d'exploitation ont changé et la fourniture d'informations a changé. Par conséquent, la sécurité doit également changer, selon André Koot

Il est frappant de voir le nombre de fois où nous entendons parler d'incidents de sécurité et de fuites de données, en particulier dans les systèmes d'information anciens (voire désuets). En ce qui me concerne, le problème n'est pas tant que ces systèmes sont défectueux, mais plutôt que le pouvoir de décision en matière d'accès est très souvent mal attribué. Bien sûr, cela remonte à très loin, lorsque les départements TIC ont développé les systèmes. Mais cela ne signifie pas que cela doit rester ainsi. Au contraire, il faut que le niveau de gestion (le 'business') ait à nouveau sont mot à dire. Et pour ça, il faudra peut-être emprunter d'autres voies.

pas évolutif

Dans le passé, un système était construit pour gérer des données: une personne recevait un compte pour utiliser ce système et un administrateur attribuait des droits à cet utilisateur. Cela a conduit à une énorme fragmentation des comptes dans différents systèmes pour pouvoir réaliser les processus. Aujourd'hui, nous faisons les choses différemment. Nous achetons de nouveaux services basés sur le cloud et donnons aux gens l'accès à tous ces services et données avec un seul compte Azure via une authentification unique.

Le 'qui' n'est pas évolutif

Et pourtant, tout va mal. Nous nous sommes peut-être débarrassés de la gestion des comptes et des mots de passe, mais la question de l'accès n'est toujours pas résolue. La raison en est que nous pensons encore en termes de personnes, de systèmes et de services. Nous achetons un système ou un service pour aider nos employés dans nos processus. Mais ce n'est plus extensible. Essayez d'accorder un accès à des partenaires commerciaux, des clients et des fournisseurs. La tentation est grande de procéder de manière traditionnelle, de sécuriser nos informations de manière traditionnelle. La gestion des accès du point de vue des comptes et des systèmes n'est pas évolutive.

SÉCURIté DE l'INFORMATION

Cela doit changer. Nous ne devons plus penser en termes de cadres traditionnels, mais en termes de processus et de données traitées. Nous ne devons plus penser à 'qui' peut avoir accès aux processus et aux données (le 'qui' n'est pas évolutif), mais au pourquoi ou aux conditions dans lesquelles quelqu'un doit avoir accès pour pouvoir utiliser les informations sécurisées. Cela nous amène au cœur de la sécurité de l'information: c'est l'information que nous devons sécuriser, pas les utilisateurs. Sur quelle base une personne est-elle autorisée à utiliser un processus ou un élément d'information?

Ça peut être n'importe quoi. Il suffit de penser aux compétences des utilisateurs (junior ou senior), au niveau de fiabilité de la personne (par exemple, provenant d'un partenaire fiable, avec une authentification multifactorielle), aux règles concernant les conflits d'intérêts (quelqu'un n'est pas autorisé à traiter ses propres données d'objet, par exemple sa propre déclaration) ou à un 'key control' tel que la séparation des fonctions (si quelqu'un a effectué la tâche 3, cette personne ne peut pas également traiter la tâche 4).

Mais il ne s'agit pas de savoir qui vous êtes, quel est votre rôle, quel est votre profil, ce que vous êtes autorisé à faire. Il s'agit de savoir pourquoi vous seriez autorisé à faire ça. C'est un questionnement inverse. Bien sûr, nous devons toujours savoir qui a fait quelque chose, mais il ne s'agit là que de journalisation et de surveillance standard. Nous connaissons déjà ça. 

POLITIQUE D'ACCÈS

Cependant, la plupart des systèmes traditionnels ne sont pas vraiment faits pour cela. Il y a plus de goulots d'étranglement que de fuites de données résultant de facilités d'accès maladroites. A terme, nous devrons revenir à la sécurité de l'information, précisément parce que nous ne connaissons peut-être pas nous-mêmes l'utilisateur. Et ce moment arrive plus tôt qu'on ne croit: il suffit de penser au déblocage d'API et à la communication entre machines. Pensez à une architecture Zero Trust. Dans ces environnements, il n'y a plus de comptes, il n'y a que des accès.

Accorder l'accès sur base d'autres caractéristiques que les noms d'utilisateur et les rôles

Cela signifie que nous devons séparer l'identité et l'accès. Et cela signifie que nous devons accorder l'accès sur la base de politiques d'accès. En utilisant d'autres caractéristiques que les noms d'utilisateur et les rôles. L'idée est donc la suivante: Attribute-Based Access Control et Policy-Based Access Control au lieu de Role-Based Access Control.

Nouveaux points de départ

Ce ne sera pas une transition facile. Cela exige une nouvelle vision et une nouvelle stratégie, non seulement pour l'utilisation des systèmes, mais aussi pour le développement et l'achat de nouveaux systèmes. Il faut appliquer de nouveaux principes. La nouvelle exigence la plus importante est qu'à l'avenir, l'accès aux informations sera garanti par des politiques d'accès et non plus par les comptes et rôles traditionnels.

A propos de l'auteur
André KootAndré Koot est consultant principal IAM et cofondateur de SonicBee.

Il a 25 ans d'expérience dans le domaine de la cybersécurité, avec un accent particulier sur la gestion des identités et des accès (IAM) au cours des 20 dernières années. C'est un expert de premier plan reconnu internationalement dans ce domaine.

Koot contribue activement au domaine de l'IAM, notamment en tant que membre du conseil d'administration de la Cloud Security Alliance NL Chapter, membre du comité IDpro et membre du conseil consultatif Identity.Next.

Faites un essai gratuit!Devenez un partenaire premium gratuit pendant un mois
et découvrez tous les avantages uniques que nous avons à vous offrir.
  • checknewsletter hebdomadaire avec des nouvelles de votre secteur
  • checkl'accès numérique à 35 revues spécialisées et à des aperçus du secteur financier
  • checkVos messages sur une sélection de sites web spécialisés
  • checkune visibilité maximale pour votre entreprise
Vous êtes déjà abonné? Cliquez ici pour vous connecter
S'inscrire gratuitement

Déjà enregistré ou abonné?Cliquez ici pour vous connecter

Inscrivez-vous à notre newsletter et conservez la possibilité de vous désinscrire à tout moment. Nous garantissons la confidentialité et utilisons vos données uniquement à des fins de newsletter.
Écrit par André Koot

En savoir plus sur

cybersecurity software
ALUMINIUM 2024Réservez votre date et achetez un ticket pour ALUMINIUM – la plateforme de la branche!Plus d'infoschevron_right

Articles connexes

Entretien avec despina spanou

La cybersécurité est un sujet brûlant. plusieurs incidents nous indiquent constamment les conséquences drastiques que peut avoir une attaque. nous nous sommes entretenus avec le spécialiste despina spanou, la pointe du combat auprès de la ce.

La commande numérique devient cybersécurisée

Aujourd'hui, les machines cnc sont souvent connectées au web, en permanence ou non. cela offre de nombreuses opportunités, mais entraîne également des menaces. il n'est donc pas étonnant que les fabricants de commandes numériques ajoutent une nouvelle fonctionnalité importante: la cybersécurité.

La cybersécurité en 6 étapes

La cybercriminalité a dépassé le stade du ciblage des grandes entreprises et des banques. n'importe qui peut être pris pour cible. grâce à cette feuille de route pour la cybersécurité, vous pouvez mieux protéger votre entreprise.

Comment choisir les bonnes chaussures de sécurité?

Le lieu de travail peut être le théâtre de situations dangereuses, qu'il s'agisse de trébucher sur un câble ou d'avoir un accident avec une machine lourde. heureusement, il existe des chaussures de sécurité qui agissent comme des gardes du corps..

Magazine imprimé

Édition Récente

Lire la suite

Découvrez la dernière édition de notre magazine, qui regorge d'articles inspirants, d'analyses approfondies et de visuels époustouflants. Laissez-vous entraîner dans un voyage à travers les sujets les plus brûlants et les histoires que vous ne voudrez pas manquer.

Dans ce magazine