Zero Standing Access : limiter les accès selon le contexte et l’usage en temps réel
Avec l’arrivée du cloud computing et de ses services par milliers, gérer les rôles et les habilitations des utilisateurs peut devenir un vrai casse-tête pour les entreprises. Grâce au Zero Standing Access (ZSA), il est possible d’ouvrir des accès au bon moment à la bonne personne et à la bonne ressource, le tout de façon automatique et en temps réel ! Explications.
Télétravail, nomadisme, applications en Saas, les collaborateurs des temps modernes entrent et sortent du système d’information de leur entreprise comme bon leur semble et à longueur de journée. Impossible de surveiller ces allées et venues manuellement pour les responsables informatiques ! D’autant plus que la sphère de contrôle s’étend au-delà des murs de l’entreprise. Gros consommateurs de services cloud, les métiers utilisent de nombreuses applications que les administrateurs doivent contrôler. Un problème majeur ! On sait que 81% des fuites de données informatiques viennent de connexions frauduleuses via des usurpations d’identité. Il fallait réagir vite.
Qu’est-ce que le Zero Standing Access (ZSA) ?
Pour le marché du logiciel, le défi était de trouver une solution non seulement en mesure de suivre le même rythme mais également d’apporter des réponses élaborées. Notamment via le recours au machine learning et à la mise en place d’accès dits conditionnels. On parle aussi parfois d’approche de moindre privilège ou plus communément de Zero Standing Access (ZSA). « Avec la solution identity as a service inclus dans Azur Active Directory, on peut appliquer un contrôle très fin en utilisant l’identité comme clé de voûte », explique Yann Duchenne, expert cybersécurité et ingénieur avant-vente chez Microsoft.
Lire aussi Cybersécurité, 7 termes à connaître pour épater votre DSI
La gestion des identités au cœur de l’action
L’approche de moindre privilège permet de réduire au maximum les chances de voir un utilisateur accéder à des ressources inappropriées en utilisant la gestion des identités. Qu’il se trouve hors des locaux, dans un cybercafé, à son domicile ou dans une chambre d’hôtel, le collaborateur n’aura accès qu’à certaines ressources de l’entreprise et pendant une durée déterminée. Le même principe s’applique aux administrateurs réseaux dotés, eux, de droits étendus aux systèmes d’information. L’idée, cette fois, est de s’assurer que leurs privilèges sont affectés en fonction des opérations qu’ils doivent mener. Prenons l’exemple d’un technicien devant intervenir sur un incident et obligé d’accéder aux données d’un utilisateur. Par défaut, il ne peut pas. Il devra demander une élévation de ses privilèges et n’aura accès au contexte du client que pour une période limitée et, dans certains cas, après avoir reçu l’approbation de son supérieur hiérarchique.
Lire aussi Cybersécurité, où en est la menace ?
L’IA pour définir les niveaux de risques
Par défaut, lorsqu’un utilisateur démarre un service cloud, il peut accéder à tout et depuis où il veut. Une fois activé, le module de sécurité évalue toutes les demandes d’accès en temps réel. Dans quel contexte sommes-nous ? De quel appareil et de qui s’agit-il ? Pour décider ensuite d’y donner ou non l’accès et le cas échéant d’appliquer des mesures de renforcement de connexion (par exemple, une authentification multifacteur). « Il est même possible de monitorer ou restreinde ce qu’on autorise l’utilisateur à faire », ajoute Yann Duchenne.
Pour plus d’efficacité, Microsoft Intelligent Security Graph agrège les signaux de l’ensemble des services cloud et recourt au machine learning pour délivrer un scoring de risque (low, medium ou high) à partir d’une vue unique de ce qui se passe sur internet en termes de menaces. Ouverture d’un mail considéré comme potentiellement dangereux ; connexion depuis un réseau Tor ; accès à partir d’une adresse appartenant potentiellement à un réseau d’attaquants ; demande de connexion qui vient d’un PC infecté ; etc. « Prenons le cas d’un utilisateur qui se connecte à son réseau d’entreprise depuis son domicile en France et qui, dans l’heure qui suit, se connecte depuis la Chine. On parle alors de voyage impossible », illustre Yann Duchenne. Face à cette improbabilité, le module s’ajuste dynamiquement et restreint automatiquement la demande d’accès chinoise.
Lire aussi Sécurité : cloud et IA, vos meilleurs alliés
Un service à mettre entre toutes les mains
Ces services font partie de la plateforme Azure et un grand groupe du CAC40 comme une TPE peuvent l’utiliser. Faciles à configurer, ils ne sont plus réservés aux seules entreprises dotées de compétences informatiques robustes. C’est avant tout une question organisationnelle. Il suffit de faire l’inventaire des services et accès nécessaires au bon fonctionnement de l’entreprise, de définir des règles d’usage et d’y associer des rôles. Vient enfin la détermination des habilitations et de leur cycle de vie en vue d’être gérés dynamiquement par la suite. Les autorisations peuvent être délivrées par le service informatique ou par des responsables d’équipe. Une façon de décentraliser la sécurité et de rendre l’entreprise plus agile. Le bon accès, à la bonne ressource, sur la bonne durée et pour la bonne raison. De façon dynamique, en temps réel et sans l’intervention d’un humain obligé de valider les accès à chaque besoin. Dans des petites boutiques par exemple, c’est tout simplement le responsable qui gère les habilitations.
Lire aussi Quels sont les nouveaux défis de la cyberécurité ?