identity access management machine non-human

Les entreprises ne parviennent toujours pas à maîtriser l’IAM

Lucas Morel

Un grand nombre d’employés travaillent encore autour des contrôles d’identité, et l’IA agentique ne fait qu’exacerber le problème, selon CyberArk.

Malgré tous les avertissements et les nouvelles constantes de cyberattaques dévastatrices, les utilisateurs en entreprise continuent de prendre des raccourcis en matière de gestion des identités et des accès (IAM).

Près des deux tiers (63 %) des responsables de la cybersécurité admettent que leurs employés continuent de contourner les contrôles de sécurité afin de pouvoir travailler plus rapidement, selon une nouvelle étude de la société de sécurité CyberArk. En outre, les entreprises ont du mal à établir des politiques d’accès pour les agents d’IA émergents et d’autres outils agentiques.

Cela semble impliquer fortement le contrôle des identités et des privilèges comme étant au cœur du risque opérationnel.

« Les données mettent en évidence un modèle culturel dans lequel les gains de productivité immédiats l’emportent souvent sur la sécurité à long terme », a déclaré Charles Chu, directeur général des solutions informatiques et de développement chez CyberArk. « Il est clair que la sécurité est encore perçue comme un frein. »

Gestion des accès privilégiés inadéquate

CyberArk a interrogé 500 dirigeants impliqués dans la gestion des accès privilégiés (PAM) dans des rôles d’identité et d’infrastructure, notamment des ingénieurs DevOps, des responsables de la sécurité, des architectes de sécurité cloud, des gestionnaires de bases de données, des ingénieurs en fiabilité et logiciels de sites et des spécialistes du support informatique.

Ils rapportent que dans leurs organisations :

  • Seulement 1 % ont entièrement mis en œuvre un modèle moderne d’accès privilégié juste à temps (JIT) ;
  • 91 % déclarent qu’au moins la moitié de leur accès privilégié est permanent (privilège standard), offrant un accès illimité et persistant aux systèmes sensibles ;
  • 45 % appliquent les mêmes contrôles d’accès privilégiés aux identités humaines et IA ;
  • 33 % ne disposent pas de politiques claires d’accès à l’IA.

L’étude a également révélé un problème croissant lié aux « privilèges fantômes », c’est-à-dire des comptes et des secrets non gérés, inutiles et inconnus des responsables de la cybersécurité. CyberArk a constaté que 54 % des organisations découvrent ce type de comptes et de secrets chaque semaine.

Cela suggère que la propriété de l’accès est « diffuse », a noté Chu.  » Si personne ne se sent responsable d’élaguer et de gouverner continuellement les accès privilégiés, ceux-ci s’accumulent naturellement. À cela s’ajoute le fait que la majorité des organisations (88 %) gèrent plusieurs outils d’identité, ce qui  » crée une confusion sur qui a l’autorité et quel système est la source de la vérité. « 

Les comportements humains les plus risqués

CyberArk a identifié plusieurs des comportements humains les plus risqués en matière de gestion des accès, notamment :

  • Copier les informations d’identification dans des gestionnaires de mots de passe personnels, des applications de chat ou des e-mails, car le processus « officiel » est plus lent.
  • Faites tourner des ressources cloud ou des environnements de test avec un accès privilégié en dehors des contrôles centraux.
  • Utiliser des comptes d’administrateur partagés ou recycler des mots de passe/jetons similaires sur tous les systèmes et environnements.
  • Laisser un accès permanent en place « juste au cas où », même lorsque ces privilèges élevés ne sont requis qu’occasionnellement.

« Les employés contournent les contrôles pour des raisons très humaines », a reconnu Chu. « Ils sont contraints d’agir rapidement, et les outils de sécurité qu’ils sont tenus d’utiliser ne sont souvent pas conviviaux et entrent en conflit avec la manière dont ils effectuent réellement leur travail. »

Cela conduit à la création d’administrateurs locaux ad hoc, ainsi qu’à des rôles IAM et des clés API de longue durée que « personne ne revisite ».

L’IA ne fait qu’exacerber les problèmes. Les utilisateurs collent des clés, des journaux ou des fichiers de configuration dans des outils d’IA, exposant ainsi involontairement des secrets, a noté Chu. L’IA peut également déployer des applications et modifier les systèmes plus rapidement que les contrôles existants ne peuvent suivre, de sorte que les ingénieurs ont tendance à contourner les contrôles. De plus, les systèmes et agents d’IA agissent de plus en plus au nom des utilisateurs d’une manière qui n’est pas encore entièrement visible pour les équipes de sécurité. Cela rend les raccourcis risqués encore plus difficiles à détecter.

« L’effet net est que l’écart entre ce que dit la politique et ce qui se passe réellement dans la production se creuse », a déclaré Chu.

Donnez aux agents IA des identités uniques

En fin de compte : les agents IA fonctionnent très différemment des utilisateurs humains. En plus d’être plus rapides, ils fonctionnent en continu et touchent plusieurs systèmes et ensembles de données dans un seul flux de travail. Ils présentent un risque unique car ils peuvent exécuter très rapidement un grand nombre d’actions privilégiées.

Dans cette optique, les équipes de sécurité devraient traiter les agents IA comme des identités distinctes avec leurs propres contrôles d’accès, a conseillé Chu. Chaque agent individuel doit se voir attribuer une identité et des informations d’identification dédiées, avec des autorisations étroitement limitées pour des systèmes et des ensembles de données spécifiques. Les jetons à courte durée de vie devraient remplacer les clés à longue durée de vie, et les droits élevés ne devraient être accordés que juste à temps et pour des tâches spécifiques. De plus, toutes les actions entreprises par les agents IA doivent être enregistrées et attribuables.

Tout comme pour les humains, un accès réduit, une meilleure visibilité et une gouvernance solide doivent être « appliqués de manière explicite et cohérente » à l’IA, a noté Chu.

JIT est difficile à mettre en œuvre

JIT est une technique qui accorde des autorisations sélectionnées uniquement lorsque cela est nécessaire, dans un but spécifique et pour une période de temps limitée. Lorsque des utilisateurs ou des systèmes demandent l’accès, ils reçoivent un ensemble de privilèges « limités dans le temps et à portée limitée », leur permettant d’effectuer la tâche requise, puis de « revenir automatiquement à une ligne de base inférieure ». Expliqua Chu.

« Chaque étape est enregistrée afin que les organisations puissent voir qui ou quoi dispose d’un accès puissant et pourquoi », a-t-il déclaré.

Mais le JIT reste difficile à mettre en pratique, a noté Chu, ce qui entraîne une forte dépendance aux privilèges permanents, même si les entreprises sont pleinement conscientes du risque que représente cette pratique.

Un certain nombre de facteurs sont à blâmer, a-t-il déclaré : les équipes informatiques peuvent hésiter à apporter des modifications aux systèmes existants par crainte de perturbations, et les environnements informatiques complexes comprenant une infrastructure sur site, plusieurs cloud et des applications SaaS peuvent compliquer la mise en œuvre. Certaines équipes craignent également que le JIT puisse ralentir la réponse aux incidents ou d’autres pratiques de routine.

Ajoutant aux défis, les outils de cybersécurité existants n’ont pas été conçus pour des environnements d’entreprise très complexes, a déclaré Chu. « Cette combinaison indique une fragmentation : il existe de nombreux outils, mais pas suffisamment de visibilité et de contrôle unifiés. » .

Comment les entreprises peuvent se protéger

Les entreprises d’aujourd’hui ont besoin d’une sécurité construite autour de l’identité centralisée, du moindre privilège et de l’automatisation, a souligné Chu. Cela signifie une authentification unique (SSO) forte avec une authentification multifacteur (MFA) et des politiques contextuelles ; une gestion moderne des secrets pour les mots de passe, les clés et les jetons pour les humains et les machines ; des capacités d’accès privilégié qui peuvent accorder un accès de courte durée à la demande avec une journalisation complète ; et des analyses qui regroupent les activités des comptes humains, des comptes de service et des agents IA.

D’un point de vue culturel, les organisations devraient établir une appropriation plus claire de la gestion des identités et des privilèges, des objectifs partagés et des messages descendants autour des pratiques de cybersécurité, a-t-il déclaré.

Il est également essentiel que les organisations adoptent des outils qui s’intègrent facilement aux processus et flux de travail existants, réduisant ainsi les frictions et les solutions de contournement des utilisateurs. « La clé d’une mise en œuvre efficace est de rendre la sécurité aussi invisible que possible pour l’utilisateur dans son travail quotidien », a affirmé Chu.

Gestion des identités et des accèsSécuritéIntelligence artificielle

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Display Showing Stages of Hacking in Progress: Exploiting Vulnerability, Executing and Granted Access.
Un bug DS modulaire offre aux pirates un accès instantané à l’administrateur WordPress
AppGuard Critiques AI Hyped Defenses; Expands its Insider Release for its Next-Generation Platform
AppGuard critique les défenses hyperactives de l’IA ; étend sa version Insider pour sa plateforme de nouvelle génération
Cisco building exterior with sign
Cisco corrige enfin une faille zero-day vieille de sept semaines dans les produits Secure Email Gateway