Pourquoi conserver l’authentification des identités sur site ?

Pourquoi conserver l’authentification des identités sur site ?

Parmi les défis auxquels sont confrontés les services informatiques, l’un des plus récurrents consiste à renforcer la sécurité des comptes utilisateurs. Même si certaines technologies telles que l’authentification multifacteur (MFA) offrent une solution possible à ce problème, il reste une importante décision à prendre : le service d’annuaire qui sert de base à l’authentification des identités doit-il se trouver sur site, totalement dans le cloud, ou prendre une forme hybride ?

Les utilisateurs ont besoin d’un accès sécurisé aux ressources sur site et dans le cloud

Aujourd’hui, pratiquement toutes les entreprises panachent les ressources sur site et celles dans le cloud, et il est de plus en plus urgent de sécuriser les accès utilisateur. Malgré tout, il n’est pas toujours facile de savoir quelle option est la meilleure : un service d’annuaire sur site, ou dans le cloud ?

Si les entreprises décident de miser sur le cloud, elles doivent fermer les entrepôts d’identités sur site comme Active Directory (AD), souvent bien établis, pour mettre en œuvre les solutions proposées par les plateformes publiques. Pour beaucoup, cette étape constitue un saut dans l’inconnu.

L’essentiel, comme toujours, consiste à évaluer les avantages et les inconvénients de chaque approche. Même si le cloud peut présenter certains avantages, la solution la plus simple reste souvent la meilleure pour bien des entreprises, à savoir : étendre les fonctionnalités de leur système AD existant à l’aide d’un outil tiers comme UserLock.

Le rôle stratégique des comptes utilisateurs

 Les comptes utilisateurs sont des composants fondamentaux de l’architecture informatique. Ils englobent différents types d’accès utilisateur aux applications internes et cloud. Sécuriser ces comptes sur plusieurs sites, sans oublier les collaborateurs en télétravail ou en intervention à l’extérieur, représente une charge de travail considérable. N’oublions pas que le nombre d’utilisateurs nécessitant un accès à distance a explosé depuis la pandémie.

Les cybercriminels profitent de la complexité de la gestion des utilisateurs et des identités

Les cybercriminels n’ont pas tardé à s’apercevoir que la complexité liée à la gestion des utilisateurs et des identités constituait un point de fragilité pour les entreprises. Du moment que les attaquants parviennent à compromettre un seul compte utilisateur, ils sont en mesure d’établir une présence invisible à l’intérieur du réseau.

Ce changement de stratégie a eu pour effet de réduire le nombre d’étapes du cadre MITRE ATT@CK (en anglais), ce qui signifie que les attaques se produisent bien plus rapidement.

La gestion des identités au cœur du modèle Zero Trust

Récemment, le concept de Zero Trust connaît un regain de popularité pour atténuer la vulnérabilité des comptes utilisateurs. Globalement, ce modèle considère qu’il ne faut faire confiance à aucune connexion, quels que soient les utilisateurs concernés et quels que soient leur emplacement de connexion. Mais le Zero Trust présente également les identités comme la principale vulnérabilité de cybersécurité, bien plus que dans le modèle de sécurité traditionnel basé sur la notion de périmètre.

Le modèle Zero Trust ne spécifie aucune technologie à privilégier, mais il est clair que la MFA, la gestion des accès à privilèges (PAM) et les solutions de surveillance et de contrôle des comptes figurent tout en haut de la liste des priorités. Dans le cadre du Zero Trust, ces outils ne représentent plus un confort supplémentaire. Ils constituent les premières défenses de l’environnement et s’appliquent à tous les comptes, quel que soit leur statut.

AD sur site ou entrepôt d’identités dans le cloud : avantages et inconvénients

Nous savons à quel point il est vital pour les équipes informatiques de sécuriser les comptes utilisateurs. Reste à savoir quel système de gestion des identités utiliser pour l’authentification des utilisateurs. Dans la plupart des cas, les entreprises disposent déjà d’un environnement AD sur site. Cette technologie est aujourd’hui à maturité et fonctionne très bien. De même, on considère souvent qu’Active Directory freine globalement l’intégration des applications cloud dans les environnements hybrides.

Dans bien des cas, les avantages apparents des contrôles d’accès au cloud (déploiement plus rapide, migration sans frais) s’accompagnent de nombreux inconvénients :

  • Les systèmes cloud ne disposent souvent pas d’outils ni de fonctionnalités permettant de gérer l’infrastructure sur site des entreprises qui ont besoin de maintenir leurs systèmes traditionnels.
  • Les services cloud dépendent d’une connexion à Internet fonctionnelle, ce qui crée un point de vulnérabilité unique en cas de perturbation.
  • Le recours aux contrôles d’accès cloud impose d’abandonner les investissements effectués dans l’infrastructure AD sur site et de migrer l’environnement vers ces nouveaux outils, ce qui prend du temps et mobilise des ressources.

En outre, un environnement AD sur site présente des avantages non négligeables :

  • L’équipe informatique reste en mesure de superviser l’entrepôt d’authentification des identités, ce qui renforce la certitude des opérations et la conformité dans certains secteurs.
  • Même si l’on parle souvent des avantages financiers des plateformes cloud, les infrastructures AD sur site s’avèrent parfois plus économiques dans la durée, car il est plus facile de gérer un seul service d’annuaire.
  • La technologie AD sur site est aujourd’hui parfaitement mature ; elle permet de créer des environnements dotés de toutes les fonctionnalités importantes, qui ne poseront aucune difficulté de gestion imprévue.

L’entreprise moderne et hybride peut être sur site

Tout le monde s’accorde à dire que les comptes utilisateurs sont constamment menacés par les cybercriminels, qui les considèrent comme des raccourcis faciles à exploiter pour contourner les outils de sécurité. Le nombre d’attaques basées principalement sur ces techniques montre bien que les comptes utilisateurs constituent aujourd’hui un risque majeur. Dans ce contexte, la MFA et les systèmes de surveillance des comptes ne sont plus des fonctionnalités spéciales, mais des outils standard pour un nombre croissant d’entreprises.

Ces dernières ne peuvent pas se permettre de se laisser imposer un choix d’infrastructure (sur site ou dans le cloud) par les limites de leur pile technologique. Avec les bons outils, il est possible pour une entreprise hybride de conserver l’authentification des identités sur site, sans avoir à abandonner la sécurité et la familiarité rassurante d’AD.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.