Comment l’entreprise va-t-elle évoluer ?
Tout d’abord, le DevSecOps s’imposera au sein du guide de référence en matière de cyberdéfense. Cette combinaison du développement, de la sécurité et de la mise en production consiste à vouloir mettre rapidement en production de nouveaux produits, services ou applications. L’objectif est louable mais seulement si ce n’est pas fait au détriment de la sécurité. Ici, l’essentiel n’est pas d’aller vite mais de s’assurer que les niveaux de qualité, de fonctionnalité et de sécurité soient satisfaisants. Un nouveau changement doit se produire au niveau de la culture des entreprises pour que la sécurité soit pensée en amont grâce au DevOps (Security by Design). Le code applicatif n’est pas complet s’il n’est pas suffisamment sécurisé et déployé au sein d’une architecture robuste.
Quelles solutions de sécurité devront aller de pair ?
Pour concrétiser la vision du DevSecOps, l’ensemble des applications et services devront proposer au minimum des fonctionnalités d’authentification et d’autorisation. Celles-ci (ainsi que d’autres fonctions essentielles permettant notamment la gestion des accès à forts privilèges et l’application d’une séparation des privilèges) devront être pleinement disponibles et simples à utiliser. En outre, avec l’évolution des microservices et des SDK (Software Development Kit), il sera de plus en plus facile pour les développeurs d’intégrer des capacités de sécurité dès le début du développement. Sans compromis pour la qualité d’expérience des utilisateurs.
Côté réglementation, vers quoi se dirige-t-on et quel sera l’impact sur la gestion des IAM ?
Pour 2017, les entreprises se préparent à une réglementation plus fournie en matière de cybersécurité. Les instances gouvernementales du monde entier proposent régulièrement de nouvelles règles permettant aux organisations afin de protéger la vie privée de nos concitoyens. Citons, par exemple, le règlement général sur la protection des données (GDPR) et leurs environnements informatiques (ISO 27000, PCI-DSS, etc.). L’augmentation de la fréquence et de la portée des fuites de données a un impact plus important et pousse tous les secteurs, les administrations publiques et les entreprises, à collaborer plus étroitement à la mise en place de contrôles plus efficaces et au respect de meilleures pratiques de sécurité. La gouvernance (y compris des utilisateurs à forts privilèges, dont les comptes auraient été impliqués dans 80% des fuites les plus importantes récentes) restera le meilleur moyen de déterminer et de fournir des accès appropriés, tout en respectant les réglementations (actuelles comme nouvelles). Cette approche est en effet la solution la plus efficace pour les organisations souhaitant attester de la mise en place des stratégies de contrôle des accès adaptées.
Comment les entreprises pourront-elles concilier gestion des IAM et expérience utilisateurs ?
Aujourd’hui, l’une des priorités des entreprises est de mieux s’investir auprès de leurs clients. La gestion des identités et des accès grand public occupera une place essentielle dans la poursuite de cet objectif en les aidant à gérer et comprendre leurs relations. Pour optimiser leurs expériences utilisateurs, elles devront s’intéresser aux parcours de leurs clients et passer d’une offre composée d’applications isolées à un ensemble complet de produits et services liés les uns aux autres. En s’appuyant sur de meilleures technologies d’orchestration et d’agrégation des identités, elles pourront alors générer des profils clients complets à partir d’informations parfois issues d’une multitude d’applications et d’environnements.
Du côté de l’IoT (internet des objets), quel rôle la gestion des accès aura-t-elle à jouer ?
Les individus, applications, services et autres objets connectés ont tous une identité. L’Internet des objets implique donc de prendre également en compte la notion d’une « identité des objets ». Ces différentes identités définissent les relations entre chaque entité. Dans ce contexte, la gestion des identités et des accès peut jouer un rôle important. Notamment pour superviser et sécuriser l’ensemble des relations entre ces entités dans l’environnement. Cela devrait même devenir une condition sine qua non pour les entreprises cherchant à exploiter le potentiel de l’Internet des objets.
Quid de la Blockchain ?
Un certain nombre d’innovations importantes ont récemment vu le jour autour des technologies Blockchain et Hashgraph. Ces dernières offriront de nouvelles solutions de contrôle sans autorité distribuée, facilitant ainsi la coordination et l’orchestration à distance des relations et des données au cœur de ces relations. Cependant, les modèles actuels doivent encore régler des problèmes majeurs. En particulier, le fait qu’il soit possible pour un seul groupe d’entités de manipuler la chaîne et donc de définir sa propre version unique de référence, aux dépens de la majorité des parties impliquées. Une telle manœuvre dissimulée pourrait s’avérer problématique en termes d’équité. Des mesures et des systèmes de protection devront donc être mis en place afin de sécuriser les intérêts de l’ensemble des parties. La sécurité des données reste donc un critère essentiel pour profiter pleinement des technologies, et le niveau de confiance vis-à-vis du réseau d’entités définira la réussite des projets mis en place.
Propos recueillis par Ségolène Kahn
Commentez