Les défis du contrôle d’accès en mode Cloud

Mieux vaut ne pas stocker dans le Cloud de données d’identité et d’accès sans avoir pris des mesures rigoureuses. L’expert Rob Shapland détaille ce qu’il convient d’examiner.

La gestion des identités et des accès aux services cloud est l'une des principales préoccupations de sécurité pour les équipes de sécurité informatique.

Les applications en mode service (SaaS), les plateformes en mode service (PaaS), et les services d’infrastructure à la demande (IaaS) sont de plus en plus utilisées dans les grandes organisations. Et sans gestion centralisée des informations d'identification des utilisateurs et des droits d'accès, il devient presque impossible de suivre qui a accès à quels services, et dans quelle mesure ils sont configurés de manière sûre. Qui plus est, tous les services SaaS n’ont pas les mêmes politiques relatives aux mots de passe et à leur expiration. Et la gestion des droits peut être incohérente en services – dans le meilleur des cas.

Le défi avec le contrôle d'accès au cloud est d'intégrer les ouvertures de session dans les stratégies de sécurité internes existantes par le biais de mécanismes d’ouverture de session unique (SSO). Il existe deux façons principales de le faire : utiliser un fournisseur d'identité en mode service (IDaaS) ou une passerelle d’accès Cloud sécurisé (CASB). La plupart des CASB intègrent l’IDaaS à leur offre, soit au travers de partenariats, soit de manière intégrée. Et la convergence, au-delà, avec l’EMM, apparaît déjà engagée.

Sommairement, l’IDaaS gère centralement l'accès aux services Cloud en s’appuyant sur la fédération d'identité, ce qui signifie qu'elle utilise des technologies telles que Security Assertion Markup Language (SAML) pour transmettre les informations d'identification aux services cloud. Ces informations d'identification peuvent être extraites d'une source existante, comme Active Directory. Cela rend relativement simple la gestion de l'identité et des accès (IAM) pour un grand nombre de services cloud.

Un CASB va plus loin en fournissant un contrôle d'accès Cloud granulaire, idéalement en étendant vos politiques Active Directory dans le cloud.

Considérations relatives au contrôle d'accès au Cloud

Cependant, une certaine prudence est recommandée avant de se lancer dans l’IDaaS. Comme pour tous les services en mode Cloud, il est tentant de se reposer sur la sécurité apportée par le fournisseur. Mais toute entreprise qui stocke des mots de passe pour un grand nombre de client est une cible de choix pour les cyber-délinquants. Le récent piratage de OneLogin, un fournisseur d'IDaaS, montre que les informations d'identification peuvent ne pas être autant en sûreté que l’on le pense.

Mais la sécurité de l'identité des utilisateurs de son organisation revêt une importance primordiale pour la protection de l'entreprise. Un ensemble de références volé ou divulgué pourrait être utilisé pour accéder aux données internes, tant dans le cloud que sur site.

En somme, passer à l’IDaaS revient à externaliser les clés de son système d’information entier auprès d’un fournisseur tiers. Dès lors, avant de le faire, il est judicieux de s’assurer que sa posture de sécurité est au moins aussi bonne que la sienne, et dans l’idéal, bien meilleure.

De préférence, pour le contrôle de l'accès aux services cloud, il convient de restreindre l'utilisation des services au strict minimum requis, voire de limiter le nombre de personnes ayant accès à ces services pour éviter d’avoir besoin de recourir à un CASB ou l’IDaaS. Cependant, lorsque cela n'est pas viable, il est possible, pour des raisons opérationnelles, d’avoir besoin d'utiliser un service externalisé pour gérer les informations d'identification.

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)

Close