Vidéo: Play | Alexander Ekman & Ballet de l'Opéra de Paris | Palais Garnier 2017 (DVD/Blu-ray trailer) (Novembre 2024)
Le vol d'identité est un problème majeur pour tout le monde, mais particulièrement pour ceux qui travaillent dans le domaine de la sécurité informatique. Pour lutter contre ce problème, les entreprises ont besoin d'une approche forte mais soigneusement gérée et contrôlée de la gouvernance de l'identité. Cela est particulièrement difficile, car cela implique de gérer avec soin qui a accès aux applications et aux services, et de veiller à ce que les informations soient correctement enregistrées et facilement accessibles à ceux qui en ont besoin. Si une personne non autorisée compromet la passerelle de réseau privé virtuel (VPN) utilisée par votre société pour l'accès à distance, vous devez commencer votre correction en sachant exactement qui a accès à la passerelle et quels droits chacun de ces utilisateurs contrôle.
La gouvernance des identités implique également de rester en conformité avec les réglementations qui régissent la confidentialité des données, notamment la loi HIPAA (loi sur la portabilité et la responsabilité en matière d’assurance maladie) et le règlement général de protection des données (RGP) de l’UE. Le RGPD exige que les identités soient vérifiées et qu'une authentification multifactorielle (MFA) soit instituée pour toute personne accédant à des informations personnellement identifiables (PII). Une gouvernance des identités forte signifie également adopter une approche hybride de la gestion des identités (IDM) dans le cloud et sur site. Cette approche hybride de la gouvernance nécessite l’utilisation d’un processus unifié, selon Darren Mar-Elia, chef de produit chez Semperis, fournisseur d’IDM d’entreprise. Lors de la récente conférence sur la protection de l'identité hybride à New York, PCMag a contacté Mar-Elia pour obtenir son point de vue sur les meilleures pratiques en matière de gouvernance de l'identité.
PCMag (PCM): qu'implique l' IDM hybride?
Darren Mar-Elia (DME): Un système IDM hybride est simplement un système d’identité qui a été étendu du local au nuage et sert généralement à donner accès à des applications basées sur le nuage.
DME: De nombreuses entreprises utilisent AD et le font depuis des années. C'est là que sont conservés vos noms d'utilisateur et mots de passe, ainsi que les membres de votre groupe. Tous ces éléments peuvent accéder au cloud ou vous pouvez créer des comptes à partir de rien dans le cloud tout en conservant une AD sur site. Vous disposez maintenant d'un système d'identité basé sur le cloud qui accorde l'accès aux applications cloud, et c'est simplement un moyen de fournir une identité. En d’autres termes, qui suis-je et à quoi puis-je avoir accès dans un environnement cloud, qu’il s’agisse de Microsoft Azure ou Amazon, ou de quelque chose de ce genre.
PCM: Où le tableau de bord logiciel actuel est-il utilisé pour gérer ce type de gouvernance?
DME: Microsoft fournit bien sûr un portail de gestion pour la gestion des identités dans le cloud. Il existe également une partie sur site qui vous permet d'effectuer cette synchronisation jusqu'à Microsoft Azure Active Directory; donc vous contrôlez cette pièce. C'est un logiciel que vous utiliseriez et que vous gériez, assurez-vous qu'il fonctionne et tout le reste. En fonction du degré de flexibilité dont vous avez besoin, vous pouvez tirer le meilleur parti de leur portail. Il fonctionne évidemment dans le nuage de Microsoft et vous donne une vue de votre locataire. Vous avez donc un locataire qui définit tous vos utilisateurs et tout votre accès aux applications.
PCM: À quels types d'applications avez-vous besoin pour gérer l'accès?
DME: dans le cas de Microsoft, vous pouvez gérer l'accès aux applications Office telles que Exchange, SharePoint et OneDrive. Ce sont les applications que vous gérez généralement dans cet environnement. Et gérer, c’est donner l’accès, par exemple, à la boîte aux lettres d’une personne pour pouvoir l’envoyer pour le compte d’un autre utilisateur ou pouvoir créer des rapports. Par exemple, vous pouvez voir combien de messages ont été envoyés via mon système et où ils ont été envoyés. Dans le cas de SharePoint, il peut s'agir de configurer des sites via lesquels des personnes peuvent collaborer ou de spécifier qui peut accorder l'accès à ces informations.
PCM: Quels sont les principaux défis à relever pour traiter la GID dans le cloud par rapport aux solutions sur site?
DME: Je pense que le principal défi est de pouvoir le faire de manière cohérente, à la fois dans le cloud et sur site. Alors, ai-je le bon accès sur site et dans le cloud? Ai-je trop d'accès dans le cloud par rapport à ce que j'ai sur site? Il est donc important de garder une trace de cette disparité entre ce que je peux faire sur site et ce que je peux faire dans le cloud.
PCM: Quel est le meilleur moyen de concilier IDM sur site et ce que je fais dans le cloud?
DME: qu'il s'agisse du provisionnement des utilisateurs, de la gestion des accès des utilisateurs ou de la certification des utilisateurs, tous ces éléments doivent prendre en compte le fait que vous pouvez vous trouver dans plusieurs identités de cloud en plus des locaux. Ainsi, si je procède à un examen de l'accès, il ne devrait pas s'agir uniquement des éléments auxquels j'ai accès sur site. Cela devrait également être, de quoi ai-je accès dans le cloud si je fais un événement de provisioning? Si je suis dans la fonction des ressources humaines (RH), j'aurai accès aux applications sur site ainsi que dans le cloud. Lorsque je serai affecté à cette fonction, tous les accès me seront accordés. Lorsque je change de fonction, tous les accès correspondants doivent être supprimés, que ce soit sur site ou dans le cloud. C'est le défi.
PCM: Quel rôle l’apprentissage machine (ML) joue-t-il dans l’identité IDM ou hybride?
DME: Les fournisseurs d'identité dans le cloud ont une visibilité sur l'identité des personnes se connectant, leur origine et leur fréquence de connexion. Ils utilisent ML sur ces grands ensembles de données pour pouvoir déduire des modèles entre ces différents locataires. Ainsi, par exemple, y a-t-il des connexions suspectes chez votre locataire; l'utilisateur se connecte-t-il depuis New York puis cinq minutes plus tard depuis Berlin? C'est un problème de ML essentiellement. Vous générez beaucoup de données d'audit chaque fois que quelqu'un se connecte et vous utilisez des modèles de machine pour mettre en corrélation des tendances pouvant être suspectes. À l'avenir, je pense que ML sera appliqué à des processus tels que les examens d'accès pour pouvoir déduire le contexte d'un examen d'accès au lieu de me donner simplement une liste des groupes dans lesquels je fais partie et de dire "oui, je devrais être dans ce groupe." "ou" non, je ne devrais pas être dans ce groupe. " Je pense que c'est un problème d'ordre supérieur qui sera probablement résolu à terme, mais c'est un domaine où je pense que ML aidera.
PCM: Est- ce que cela signifie que ML aide dans le domaine de la gestion intégrée hybride, à la fois sur site et dans le cloud?
DME: Dans une certaine mesure, c'est vrai. Il existe des produits technologiques particuliers qui collecteront, par exemple, des données d'audit ou d'interaction AD entre des données sur site AD et sur l'identité en nuage, et pourront y accéder avec le même type de liste de risques lorsque des connexions suspectes se trouvent sur site. AD ou dans le nuage. Je ne pense pas que ce soit parfait aujourd'hui. Vous voulez peindre une image qui montre un changement contextuel transparent. Si je suis un utilisateur dans une AD sur site, il y a de fortes chances que si je suis compromis, je pourrais l'être aussi bien sur site qu'Azure. Je ne sais pas si ce problème a été complètement résolu.
PCM: Vous avez parlé de "provisioning pour droits de naissance". Qu'est-ce que c'est et quel rôle cela joue-t-il dans l'IDM hybride?
DME: Le provisioning Birthright est simplement l'accès des nouveaux employés lorsqu'ils rejoignent une entreprise. Ils reçoivent un compte, quel accès ils obtiennent et où ils le sont. Pour revenir à mon exemple précédent, si je suis une personne des ressources humaines qui rejoint l’entreprise, une AD est créée. J'obtiendrai probablement un Azure AD, peut-être via la synchronisation mais peut-être pas, et j'aurai accès à un ensemble de choses pour faire mon travail. Il peut s'agir d'applications, de partages de fichiers, de sites SharePoint ou de boîtes aux lettres Exchange. Toute cette fourniture et cette attribution d’accès devraient se produire lors de mon adhésion. Il s’agit essentiellement du droit de naissance.
PCM: Vous avez également parlé d'un concept appelé "tamponnage en caoutchouc". Comment ça marche?
DME: la réglementation de nombreuses sociétés cotées en bourse stipule qu'elles doivent contrôler l'accès aux systèmes critiques contenant des informations telles que les informations personnelles, les données clients et les informations sensibles. Vous devez donc vérifier l’accès périodiquement. Habituellement, c'est trimestriel, mais cela dépend de la réglementation. En règle générale, une application génère les révisions d'accès, envoie la liste des utilisateurs d'un groupe particulier à un responsable responsable de ce groupe ou de cette application, qui doit ensuite certifier que tous ces utilisateurs appartenir à ce groupe. Si vous en générez beaucoup et qu'un gestionnaire est surchargé de travail, le processus est imparfait. Vous ne savez pas qu'ils l'examinent. Sont-ils en train de l'examiner aussi minutieusement que nécessaire? Est-ce vraiment que ces personnes ont toujours besoin d'un accès? Et c'est ce que l'estampage. Donc, si vous n'y prêtez pas vraiment attention, il s'agit généralement d'un chèque indiquant "Oui, j'ai fait l'examen, c'est fait, je l'ai tiré de mes cheveux", au lieu de vraiment savoir si l'accès est possible. toujours nécessaire.
PCM: Les critiques d'accès par tampons en caoutchouc posent-elles un problème ou s'agit-il simplement d'une question d'efficacité?
DME: Je pense que c'est les deux. Les gens sont surmenés. On leur jette beaucoup de choses sur eux, et je suppose que c'est un processus difficile à maîtriser en plus de ce que l'on fait d'autre. Donc, je pense que c'est fait pour des raisons réglementaires, avec lesquelles je suis tout à fait d'accord et que je comprends. Mais je ne sais pas si c'est nécessairement la meilleure approche ou la meilleure méthode mécanique pour effectuer les examens d'accès.
PCM: Comment les entreprises abordent-elles la découverte de rôle?
DME: La gestion de l'accès basé sur les rôles est l'idée que vous attribuez l'accès en fonction du rôle de l'utilisateur dans l'organisation. Peut-être que c'est la fonction commerciale de l'individu ou son travail. Cela pourrait être basé sur le titre de l'individu. La découverte de rôles consiste à essayer de découvrir quels rôles pourraient exister naturellement dans l'organisation en fonction de la manière dont l'accès aux identités est accordé aujourd'hui. Par exemple, je pourrais dire que cette personne des ressources humaines est membre de ces groupes; par conséquent, le rôle de personne RH doit avoir accès à ces groupes. Il existe des outils qui peuvent vous aider avec ceci, essentiellement la création de rôles basés sur l'accès existant octroyé dans l'environnement. Et c'est le processus de découverte de rôle que nous suivons lorsque vous essayez de créer un système de gestion de l'accès basé sur des rôles.
PCM: Avez-vous des conseils à donner aux petites et moyennes entreprises (PME) sur la manière d’aborder la technologie IDM hybride?
DME: Si vous êtes une PME, je pense que l'objectif est de ne pas vivre dans un monde d'identité hybride. L’objectif est d’obtenir une identité basée uniquement sur le cloud et d’essayer d’y arriver le plus rapidement possible. Pour une PME, la complexité de la gestion de l'identité hybride n'est pas une entreprise dans laquelle elle veut être. C'est un sport pour les très grandes entreprises qui doivent le faire parce qu'elles ont beaucoup de choses sur place. Dans un monde de PME, je pense que l'objectif devrait être "Comment puis-je accéder à un système d'identité dans le cloud le plus tôt possible? Comment puis-je quitter le commerce sur site le plus tôt possible?" C'est probablement l'approche la plus pratique.
PCM: Quand les entreprises utiliseraient-elles l'hybridation plutôt que sur site ou le cloud?
DME: Je pense que la principale raison de l'existence de l'hybride réside dans le fait que nous avons de grandes organisations dotées de nombreuses technologies héritées dans des systèmes d'identité locaux. Si une entreprise part de zéro aujourd’hui, elle ne déploiera pas AD en tant que nouvelle entreprise; ils font tourner Google AD avec Google G Suite et vivent désormais entièrement dans le cloud. Ils n'ont aucune infrastructure sur place. Pour de nombreuses grandes organisations dont la technologie existe depuis des années, ce n'est tout simplement pas pratique. Ils doivent donc vivre dans ce monde hybride. Qu'ils aient un jour accès uniquement au cloud, cela dépend probablement de leur modèle d'entreprise, de la priorité qui leur est accordée et des problèmes qu'ils tentent de résoudre. Tout ce qui y va Mais je pense que pour ces organisations, elles resteront longtemps dans un monde hybride.
PCM: Quelles seraient les exigences commerciales qui les pousseraient dans le cloud?
DME: une application typique ressemble à une application professionnelle en nuage, une application SaaS telle que Salesforce, Workday ou Concur. Et ces applications s'attendent à doter une identité de nuage pour pouvoir y accéder. Vous devez avoir cette identité cloud quelque part, et c'est donc généralement ce qui se passe. Microsoft est un exemple parfait. Si vous souhaitez utiliser Office 365, vous devez configurer des identités dans Azure AD. Il n'y a pas de choix à ce sujet. Cela pousse donc les gens à obtenir leur Azure AD puis, une fois qu'ils sont là, peut-être décident-ils de se connecter de manière unique à d'autres applications Web, à d'autres applications SaaS dans le cloud et maintenant, ils le sont.
- 10 étapes essentielles pour protéger votre identité en ligne 10 étapes essentielles pour protéger votre identité en ligne
- Les meilleures solutions de gestion des identités pour 2019 Les meilleures solutions de gestion des identités pour 2019
- 7 étapes pour minimiser l'usurpation d'identité et la fraude du chef de la direction 7 étapes pour minimiser l'usurpation d'identité et la fraude du chef de la direction
PCM: De grandes prévisions pour l'avenir de la gestion intégrée ou de la gestion intégrée?
DME: Les gens ne pensent pas encore à la gouvernance hybride des identités ou à l'IDM hybride comme une simple chose. Je pense que cela doit se produire, qu’ils soient poussés par la réglementation ou que les fournisseurs s’engagent à fournir cette solution de gouvernance de l’identité de bout en bout pour ces mondes hybrides. Je pense que l'un ou l'autre devra inévitablement se produire, et les gens devront résoudre des problèmes tels que la séparation des tâches entre la gestion hybride de l'identité et de l'accès. Je pense que c'est probablement le résultat le plus inévitable qui se produira le plus tôt possible.
