Les systèmes d’information des entreprises sont de plus en plus ouverts, complexes et mouvants. Du coup, les droits et accès réclament une gestion agile et rapide des autorisations. Objectif : faciliter l’expérience utilisateur sans déroger à la sécurité. Interview de Patrick Sena, directeur technique pour l’Europe du sud chez SailPoint Technologies, un éditeur texan de solutions gestion des identités et des accès [Identity & Access Management (IAM)] qui recourt à l’IA générative.
Patrick Sena, directeur technique chez SailPoint Technologies. © SailPoint Technologies
Pourquoi la gestion des identités et des accès a-t-elle besoin de recourir à l’IA ?
Dans la gestion des identités et des accès [Identity & Access Management (IAM)], plusieurs intelligences artificielles (IA) sont susceptibles d’être mises en œuvre. Tout d’abord pour détecter les anomalies, notamment les utilisateurs hors norme. Sur ce terrain, les algorithmes d’apprentissage machine (Machine Learning) aident les responsables de la sécurité des systèmes d’information (RSSI) à automatiser la comparaison des utilisateurs entre eux – ainsi que leurs accès entre eux – afin d’identifier ceux qui ne ressemblent pas aux autres ou ceux qui ressemblent à de trop nombreux groupes. Dans cette perspective, nous utilisons l’algorithme Jaccard qui détecte les similarités en se basant sur l’analyse statistique et l’algorithme Louvain qui détecte les communautés. Quant aux résultats de prédiction, ils sont analysés par des utilisateurs experts ou référents (responsables applicatifs, RSSI…) qui, à leur tour, vont statuer que les utilisateurs identifiés parmi les anomalies sont légitimes ou pas. Quitte à supprimer certains accès accès à certaines personnes.
Mais s’il faut à nouveau en passer par un travail manuel, à quoi servent les IA ?
Lorsqu’il y a une décision à prendre, par exemple une demande d’accès à une application, le moteur d’IA compare l’accès demandé par le nouvel utilisateur aux autres utilisateurs de l’application pour donner une indication ou un conseil à la personne chargée de l’approbation.
Pourquoi faut-il automatiser le conseil à apporter au décisionnaire ?
La question est : « L’utilisateur a-t-il ou pas légitimité à accéder à telle application ou tel espace de stockage de données ? » Si, grâce à l’IA, l’on cherche à automatiser la préconisation des décisions d’autorisation, c’est pour fluidifier les usages numériques, apporter une expérience utilisateur simplifiée et trouver le juste compromis entre le confort utilisateur et la sécurité. Ce compromis exige néanmoins une autorisation manuelle.
A quel stade les entreprises se trouvent-elles confrontées à cette question ?
Dès qu’on a à gérer plus de 500 identités connectées au système d’information de l’entreprise en comptant non seulement les salariés, les prestataires, les partenaires, les fournisseurs et les clients mais aussi les comptes utilisés par des machines, les objets connectés (IoT), les équipements de sécurité électronique et les comptes de services [Interfaces de programmation d’application (API)]. Bien sûr, une précaution élémentaire consiste à réduire au maximum les permissions de chaque compte afin de rétrécir la surface d’exposition au risque. Ajoutons qu’avec, par exemple, 5 % de turnover annuel et 15 % de mobilités internes, il y aurait un grand nombre d’accès à modifier. Sans compter les nouvelles applications qui ne manquent pas d’être implémentées tous les deux ou trois mois…
La traduction par l’IA donne un sens intelligible à des données techniques. CC Fly:D
Dans ce contexte qu’apportent les IA génératives (GenAI) ?
Elles servent à générer une description intelligible de la description des accès aux personnes qui donnent les autorisations. En clair, lorsque le RSSI est sollicité pour décider si oui ou non Mme Martin peut accéder à la suite bureautique Microsoft 365, la description de l’éditeur est : « Office 365 ENTERPRISEPACK : POWER_VIRTUAL_AGENTS_O365_P2 ». Pour mieux comprendre ce dont il s’agit, la GenAI va traduire : « Accès aux fonctionnalités Microsoft Power Virtual Agents avec Office 365 Plan 2 pour l’automatisation et la création de chatbots ». La traduction donne un sens intelligible à des données techniques.
Quels sont les risques de la GenAI ?
Les GenAI sont intéressantes mais le résultat n’est pas garanti à 100 %. Elles peuvent générer des erreurs, des incohérences. Par conséquent, elles ne doivent être utilisées que pour automatiser les recommandations et les descriptions. Pas pour prendre des décisions – sauf si le niveau de confiance est suffisant. Mais ces outils ne doivent pas échapper aux normes de sécurité. Rappelons-nous l’exemple de ce célèbre trader de la Société générale à l’origine d’un grand scandale financier en 2008. Avant d’être trader, il était intégré à la direction des systèmes d’information (DSI) et développait des applications pour trader. Il accédait à tout. Puis il a effectué des formations et il est devenu trader… tout en gardant ses privilèges d’administrateur du système d’information alors qu’il n’était plus à la DSI. Il a ainsi pu contourner les niveaux d’autorisation qui auraient dû être mis en place. Dans ce cas, les outils d’IA auraient identifié que ce trader était un utilisateur hors norme avec des accès aberrants. Il en va de même pour les équipements de sécurité électronique connectés. Le compte d’une caméra de vidéosurveillance doit avoir les bons mots de passe et n’accéder qu’à ce dont elle a besoin pour exercer sa mission.
Propos recueillis par Erick Haehnsen
Commentez