Discussion autour des enjeux, bonnes pratiques et perspectives de la gestion des identités avec Patrick Brennan, Channel Sales Lead chez LastPass et Alexandre Marguerite, co-fondateur de Devensys Cybersecurity.
En termes de cybersécurité, quels sont les enjeux liés à la gestion des identités ?
Alexandre Marguerite : Il existe un certain nombre de règles de sécurité, d’hygiène et de bonnes pratiques que les services informatiques des entreprises essaient de mettre en place auprès des différents salariés. Idéalement, il faudrait avoir un long mot de passe unique sur chaque site et chaque système. En réalité, les utilisateurs sont incapables de retenir des centaines de mots de passe et identifiants qui respectent toutes les bonnes pratiques. Il nous faut donc des solutions techniques pour accompagner la politique de sécurité de l'entreprise qui soient réalistes, faciles à mettre en œuvre et qui apportent de la simplicité à l‘utilisateur et de la sécurité à l’entreprise.
Patrick Brennan : D’après une étude que nous avons réalisée avec IDC, 83% des brèches sont liées à des problèmes d’identité. Cela passe par des vols de mots de passe et d’identifiants utilisateur : il est donc essentiel de protéger les identités. En France, nous avons des sociétés assez prudentes sur la cybersécurité et qui n’attendent pas un incident pour avancer mais on trouve également des entreprises moins matures. L’écart est assez flagrant et peut s‘expliquer par une prise de conscience du risque par la direction et une appétence de la gestion du risque. Parfois, même les gens techniques de l’informatique ne se rendent pas compte du problème. Enfin, être conscient des risques ne veut pas nécessairement dire avoir la solution.
Comment la menace évolue-t-elle ?
A. M. : Les pirates sont de plus en plus nombreux du fait de la facilité d’accès aux informations concernant la cybersécurité et ils attaquent de plus en plus massivement les sociétés dont le niveau de sécurité n’est pas adapté. Le hacking est trop facile et il n’y a pas assez de résistance chez les clients.
P. B. : Auparavant, les attaques étaient essentiellement focalisées sur les grandes entreprises. Ce n’est plus vrai : les hackers sont de plus en plus nombreux et préfèrent désormais s’attaquer à des ETI et PME avec des cryptolockers ou des ransomwares car leur niveau de sécurité n’est pas assez bon. De plus, le contexte global leur est propice : avec le télétravail, les gens utilisent leur propre PC pour travailler, ou utilisent leur PC professionnel pour leur usage personnel, sur des réseaux non protégés. On a vu depuis deux, trois ans une augmentation vertigineuse du phishing.
Quelles bonnes pratiques recommandez-vous alors ?
P. B. : Une gestion d’identité efficace comprend plusieurs solutions : le SSO, le MFA, la gestion de mot de passe et le PAM (Privileged Access Management). Souvent, les grands comptes optent pour du SSO et le MFA mais pas pour le gestionnaire de mots de passe, ce qui les expose à plusieurs niveaux car cela entraîne des pratiques à risque, comme le shadow IT ou le partage de mots de passe. Adopter une solution comme LastPass permet de combler ces failles de manière très efficace sans renoncer à la productivité. En effet, notre solution augmente la sécurité et l’expérience utilisateur en permettant de retrouver facilement ses mots de passe, les sites sur lesquels ils sont inscrits, de les partager avec ses collègues, ils peuvent également être préremplis sur les sites que la société utilise... C’est un aspect fondamental puisque ça garantit l’adoption.
A. M. : Garantir l’adoption de la solution est l’un des points fondamentaux d’une politique de cybersécurité efficace. En tant que partenaire et revendeur, nous aidons les équipes à déployer et configurer la solution LastPass, en accord avec la politique de l’entreprise. Nous en étions des utilisateurs avant d’en être des revendeurs, et en cela nous la proposons avec conviction à nos clients. Nous avons deux offres : une offre infogérance donc MSP, principalement pour les PME qui n’ont pas d’équipe sécurité en interne et une activité de revente de solutions pour les plus grands comptes.
Comment voyez-vous évoluer la cybersécurité à terme ?
P. B. : Le futur de la gestion de la menace doit mieux prendre en compte le contexte dans lequel nous évoluons. Nous évoquions le télétravail : la question est justement de savoir distinguer un utilisateur en télétravail d’un attaquant qui se connecte au système d'info de l'entreprise à travers un compte utilisateur. Plusieurs éléments permettent de repérer ce type de cas : le contexte de connexion, de connaissance du PC, d’utilisation des outils … On peut affiner les critères de connexion pour que les outils info via le machine learning soient capables d’amener du contexte aux accès, connexions, usages, pour déterminer si l’on est face à un usager standard ou face à un attaquant qui lance des scripts d’exfiltration de données. C’était quelque chose de très difficile à faire avant mais cela devient de plus en plus faisable grâce au machine learning, qui devrait continuer à évoluer. Il faut en revanche déjà implémenter les bases de la cybersécurité, avoir un premier pied dans la gestion de l’identité.
A. M. : Le cloud continuera de représenter une avancée majeure. Aujourd’hui, c’est ce qui permet de déployer une solution comme LastPass même en télétravail. Grâce aux méthodes de données cryptées, c’est une solution très sécurisée et pratique pour les entreprises, qui les aident à gagner en sérénité à tout point de vue.
Suivez-nous