Identité numérique

Pourquoi se concentrer sur l’identité numérique

Pourquoi se concentrer sur l’identité numérique
  • Blog
  • 10 minute read
  • 19/02/24
Nesrine Azzouz

Nesrine Azzouz

Manager, Cybersecurity and Privacy, PwC Switzerland

Les initiatives liées aux transformations numériques ont accéléré le passage aux services en ligne et ont également souligné la nécessité de permettre aux utilisateurs internes d’accéder à distance aux systèmes des organisations. Ces solutions technologiques offrent souvent aux pirates des portes dérobées qui leur permettent d’accéder à des ressources et des données sensibles. Des risques supplémentaires sont posés par les comptes d’administrateurs non gérés disposant de privilèges plus importants sur le réseau informatique. Ces problèmes de sécurité et d’autres peuvent être atténués par la mise en œuvre des capacités liées à l’identité numérique.

L’identité numérique associe la gouvernance, le personnel, les processus et la technologie pour garantir des cycles de vie d’identité et d’accès conformes, efficaces et automatisés pour toutes les entités qui existent dans les systèmes d’une organisation. L’identité numérique concerne tous les types d’entités, c’est-à-dire une personne – physique ou morale – ou une machine. Pour ces entités, elle fournit des mécanismes d’authentification sécurisés dans les systèmes informatiques d’une organisation.

94 %

Plus de 94 % des organisations ont été victimes d’une violation découlant d’une mauvaise sécurité dans la gestion de l’identité.

Source Egress (2021): Insider Breach Data Survey

Qu’est-ce qu’une identité numérique ?

Le terme « identité numérique » décrit à la fois

  1. La combinaison de différentes disciplines telles que la gouvernance et l’administration des identités (IGA – Identity Governance and Administration), la gestion des identités et des accès (IAM – Identity and Access Management)1 et la gestion des accès privilégiés (PAM – Privileged Access Management) ;
  2. La représentation numérique d’une entité dans le contexte numérique, avec un ensemble d’attributs assignés et un identifiant unique, et permettant l’authentification de cette entité dans les systèmes, services et applications informatiques.

Les disciplines de l’identité numérique jouent un rôle fondamental dans la protection de toute organisation contre les menaces externes et internes.

En d’autres termes, l’objectif de l’IAM est de veiller à ce que les bonnes personnes aient accès aux bonnes ressources, au bon moment et pour la bonne raison, afin d’obtenir le bon résultat (commercial).

L’IGA se concentre sur le cadre politique, les outils et les processus permettant de gérer automatiquement les droits d’accès des individus au sein d’une organisation. L’IGA et l’IAM travaillent en étroite collaboration pour garantir un accès sécurisé aux données, aux systèmes et aux applications.

Plus précisément, la gestion des accès privilégiés est la pratique qui consiste à gérer en toute sécurité l’accès des humains et des non humains à des informations ou à des fonctionnalités sensibles au moyen de comptes hautement privilégiés (« Highly Privileged Accounts », HPA). Elle traite de la création, de la modification et de la suppression des HPA, ainsi que de la journalisation, de la surveillance, de l’audit et de la certification des accès privilégiés et de la notification des violations.

La pratique de l’identité numérique commence au niveau stratégique et traite des capacités entourant la stratégie et la planification globales, tout en tenant compte de la culture organisationnelle et du personnel. Les exigences fixées et les connaissances acquises au niveau stratégique doivent être précisées au niveau tactique. Il s’agit ici de décrire les politiques, les normes et les capacités d’audit et de les mettre en œuvre au sein de l’organisation. Toutes ces actions et tous ces résultats de travail préalablement définis aux niveaux stratégique et tactique soutiennent la définition de spécifications au niveau opérationnel pour des aspects tels que le cycle de vie de l’identité ou la gestion de l’accès, ainsi que la mise en œuvre opérationnelle.

65 %

des dirigeants suisses considèrent l’atténuation des cyber-risques comme une priorité absolue pour les 12 prochains mois.

Source Conclusions suisses de l’enquête Global Digital Trust Insights 2024

L’identité numérique présente plusieurs avantages

Le renforcement de la sécurité n’est qu’un des nombreux avantages de l’adoption de processus de gestion des identités numériques. Il va de pair avec la garantie de la conformité réglementaire – la gestion des identités et des accès aux ressources est exigée par diverses réglementations et normes en matière de sécurité de l’information (par exemple, la future loi ISG, FINMA, NIST CSF, ISO 27001, etc.). L’identité numérique est également l’un des moyens de garantir la sécurité des données, une exigence imposée par la nouvelle loi fédérale sur la protection des données et le RGPD.

L’identité numérique permet également d’améliorer l’expérience utilisateur grâce à des technologies d’authentification telles que l’authentification unique ou des solutions sans mot de passe. L’automatisation des processus IAM permet de réduire les coûts des services informatiques tout en apportant une meilleure transparence et en permettant un meilleur contrôle des utilisateurs et des données auxquelles ils peuvent accéder.

La voie vers une gestion efficace des identités numériques

Afin de mettre en œuvre une pratique efficace de l’identité numérique dans votre organisation, il est nécessaire de prendre en compte quatre domaines clés :

La gouvernance de l’identité numérique est un élément essentiel de la phase de mise en œuvre et, plus tard, de la phase opérationnelle. Lors de l’élaboration du programme de mise en œuvre, il est essentiel de prendre en compte les niveaux stratégique et tactique d’une organisation afin de s’assurer que la pratique répondra à ses besoins spécifiques. En tant que partie préparatoire de la phase de mise en œuvre, la gouvernance comprend :

  • La définition de la stratégie du programme
  • L’identification des principales parties prenantes
  • La définition des rôles et des responsabilités en matière d’identité numérique
  • La planification d’une feuille de route détaillée pour assurer le contrôle de l’avancement du programme
  • La création d’un cadre de documentation interne, qui sert de ligne directrice pour tous les processus et activités liés à l’identité numérique

L’évaluation des fournisseurs de technologie a également lieu avant la phase de mise en œuvre, ce qui permet de choisir la bonne solution.

Dans la phase d’exploitation, les processus de gouvernance décrits ci-dessus permettent aux parties prenantes et à la direction de garder une vue d’ensemble et de contrôler la pratique de l’identité numérique dans leur organisation lorsqu’elle est opérationnelle.

Les défis des clients qui seront abordés sont notamment les suivants :

  • L’absence de système IAM et/ou PAM pour contrôler les différents types d’identités et les droits d’accès aux informations sensibles et aux ressources informatiques.
  • Le manque de fondement de la gouvernance entraîne un manque de pouvoir d’exécution.
  • L’absence d’appropriation et de coordination claires des processus IAM et PAM pour garantir l’implication des bonnes parties prenantes et des bonnes fonctions.

Le personnel et la culture organisationnelle jouent un rôle essentiel aux trois niveaux de l’identité numérique – au niveau stratégique, tactique et opérationnel. En outre, l’aspect du personnel et de la culture organisationnelle est étroitement lié à l’aspect de la gouvernance, par exemple en ce qui concerne la gestion des parties prenantes ou les rôles et responsabilités. Axées sur le personnel et la culture organisationnelle, la disponibilité et les capacités des ressources influencent le plan de travail, l’affectation des ressources et le calendrier de la mise en place et de la mise en œuvre d’une pratique en matière d’identité numérique. Les changements dans les processus et les technologies doivent être clairement communiqués et les utilisateurs doivent être formés pour pouvoir utiliser les nouveaux processus, outils et capacités technologiques. L’inclusion systématique du personnel dans le programme augmentera l’acceptation des changements et la satisfaction des utilisateurs.

Les défis des clients qui seront abordés sont notamment les suivants :

  • Les ressources internes ne seront pas exclues de l’initiative, mais seront incluses dans des activités telles que la conception et la mise en œuvre.
  • Grâce à une politique globale de gestion du changement et de la communication, toutes les parties prenantes, les utilisateurs et les employés seront impliqués dans la pratique de l’identité numérique.
  • Les ressources et capacités internes manquantes peuvent être compensées par un soutien externe.
  • La gouvernance, les processus et la technologie s’adaptent aux personnes et à la culture organisationnelle.

L’intégration des processus est la prochaine étape clé de la mise en œuvre des pratiques d’identité numérique dans votre organisation et de leur mise en application. Cela peut devenir un véritable défi, car l’identité numérique couvre de nombreux processus dans les deux domaines – IAM et PAM. Pour réussir, l’intégration des processus doit s’appuyer sur une feuille de route viable, avec des étapes définies et des capacités dédiées à la conduite des changements. Les nouvelles procédures sécurisées de traitement et de gestion des identités et des accès aux ressources importantes sont intégrées dans l’organisation, parallèlement à la mise en œuvre de la technologie et sur la base des processus et des règles définis dans les normes et les politiques.

Les défis des clients qui seront abordés sont notamment les suivants :

  • Insuffisance des processus et des règles en place pour faire face aux risques posés par les comptes et les accès non gérés aux ressources de l’organisation.
  • Pas d’intégration durable des processus IAM et/ou PAM en adéquation avec le contexte et les processus de l’entreprise.
  • Renforcement de la responsabilité des acteurs concernés en leur demandant d’agir en cas d’événements liés à la sécurité.
La technologie appropriée est la clé d’une gouvernance et d’une mise en œuvre efficaces des processus IAM et PAM. L’automatisation des tâches répétitives permet à vos spécialistes de gagner du temps et de se consacrer à d’autres tâches. La solution technologique la plus appropriée pour automatiser et sécuriser les processus IAM et PAM doit être choisie sur la base de l’évaluation des besoins et des spécifications de l’organisation et de l’évaluation des fournisseurs. En outre, le paysage technologique global de l’organisation doit être pris en compte pour assurer la compatibilité avec les autres solutions en place.
 
Les défis des clients qui seront abordés sont notamment les suivants :
 
  • Un niveau élevé d’efforts manuels dans la gestion des comptes et l’accès aux ressources.
  • L’absence d’intégration avec d’autres solutions techniques telles que l’administration des ressources humaines, les solutions de journalisation et de suivi, etc.
  • Des données insuffisantes entraînant un faible degré d’automatisation.

Nous aidons dans les trois domaines suivants de l’identité numérique

L’identité numérique englobe de nombreux processus complexes qui nécessitent une bonne connaissance de tous les éléments et une coordination étroite des ressources, des activités et des personnes. Chez PwC Suisse, nous disposons du savoir-faire et de l’expérience nécessaires pour vous soutenir dans toutes les étapes de votre démarche visant à mettre en place des systèmes IAM et PAM efficaces.

Notre approche repose sur trois piliers principaux :

Nous évaluons la situation actuelle, ainsi que les capacités, la culture, les spécifications et les besoins de votre organisation. Sur la base des résultats obtenus, nous développons un cadre de gestion de l’identité numérique conçu pour apporter le plus d’avantages à votre organisation.

  • Nous identifions le champ d’application en termes d’informations et de ressources informatiques, de processus, de réglementations applicables et de parties prenantes.
  • Nous évaluons les écarts entre l’état actuel et les exigences réglementaires, et nous classons les écarts par ordre de priorité en fonction de leur impact sur l’entreprise. Une vue d’ensemble de tous les risques liés à l’entreprise, à l’informatique et à la sécurité de l’information est essentielle pour mettre en place une pratique efficace en matière d’identité numérique.
  • Nous développons une feuille de route et préparons des estimations de coûts à communiquer à votre direction.

Nous vous conseillons dans la conception de l’architecture et des processus cibles et nous travaillons ensemble pour mettre en œuvre les capacités adéquates. Nous vous aidons à évaluer les bonnes solutions et à les intégrer dans votre environnement existant.

  • Nous définissons une architecture cible et un modèle d’exploitation cible (Target Operating Model) en termes de gouvernance, de personnel, de processus et de technologie. Toutes les décisions et tous les processus établis sont documentés dans des politiques et des normes internes, y compris le manuel opérationnel.
  • Nous mettons à profit notre vaste expérience des différentes solutions technologiques pour vous aider à évaluer la solution la mieux adaptée à votre organisation.
  • Nous convenons avec vous d’un plan de comblement des lacunes ainsi que des options d’approvisionnement.
  • Nous travaillons avec votre équipe IAM pour mettre en œuvre les processus définis et intégrer la solution choisie. Des contrôles d’accès techniques et non techniques sont mis en place en fonction des exigences et de la tolérance au risque définie.
  • Nous remettons le cadre de contrôle établi aux entreprises et aux services informatiques, y compris la documentation nécessaire.

La mise en œuvre de l’identité numérique implique la restructuration et l’optimisation de l’ensemble de l’approche d’une organisation en matière de processus d’authentification et d’accès et de gestion globale des identités. Il s’agit d’une initiative de transformation qui ne se contente pas de renforcer les mesures de sécurité, mais qui modifie également la manière dont les utilisateurs interagissent avec les ressources numériques. Ainsi, un projet d’identité numérique doit être géré en gardant à l’esprit les aspects liés à la transformation.

En savoir plus sur la transformation de la sécurité et sur la façon dont notre approche basée sur la gestion de projet peut être la bonne solution pour votre entreprise – Pourquoi tant de projets de transformation de la sécurité échouent.

Nous proposons de gérer pour vous l’ensemble du cycle de vie de l’identité numérique afin de garantir que l’accès aux ressources de votre organisation est sécurisé et que les identités au sein de vos systèmes d’information sont protégées et gérées de manière efficace.

  • Nous assurons l’intégration réussie de la solution choisie et des processus définis dans le paysage technologique de l’organisation, en particulier l’intégration avec l’outil de surveillance de la sécurité et la gestion des journaux.
  • Nous proposons une formation de sensibilisation efficace pour vos utilisateurs.
  • Nous procédons à un examen des processus et des outils mis en œuvre, y compris une évaluation de l’efficacité et de la performance, et proposons une stratégie d’optimisation et des recommandations pour une amélioration continue.
  • Nous vous aidons à vous préparer à un audit externe/service d’assurance tiers indépendant pour vérifier la conformité.
  • Nous proposons des solutions IAM et PAM en tant que service géré, c’est-à-dire la gestion et le provisionnement des identités, la gouvernance des identités et des accès, la gestion des accès et des risques, y compris l’exploitation de la technologie qui sous-tend les processus, ainsi qu’un examen et un rapport réguliers.

Résumé

L’accélération de la numérisation, l’augmentation du commerce en ligne et du travail à distance, ainsi que d’autres aspects de l’entreprise moderne, rendent la gestion des processus encore plus difficile tout en élargissant la surface d’attaque. Une gestion sûre et efficace des identités, des comptes et des accès est l’une des exigences fondamentales de toute norme ou réglementation relative à la sécurité de l’information et des technologies de l’information, et doit donc être traitée avec soin.

Cependant, vous n’avez pas à relever ce défi seul. Nous avons les spécialistes pour vous aider à mettre en œuvre des solutions IAM et PAM efficaces qui garantiront que votre organisation protège à la fois vos propres données et celles de vos clients. De cette manière, vous évitez les sanctions financières, vous atténuez les dommages causés par une éventuelle violation de données et, surtout, vous renforcez la confiance dans votre entreprise.

1 l’IGA et l’IAM sont souvent utilisées de manière similaire. Par souci de simplification, l’IGA et l’IAM sont utilisées comme synonymes dans cet article.

#social#

Nous contacter

Avez-vous des questions ? N'hésitez pas à nous contacter si vous souhaitez en savoir plus sur notre soutien à la mise en œuvre de solutions IAM et PAM efficaces.

https://pages.pwc.ch/core-contact-page?form_id=7014L000000IIbfQAG&embed=true&lang=fr

Nous contacter

Fabian Faistauer

Director, Cybersecurity Technology & Transformation, PwC Switzerland

+41 58 792 13 33

Email

Nesrine Azzouz

Manager, Cybersecurity and Privacy, PwC Switzerland

+41 58 792 81 88

Email

Caroline Kayser

Senior Consultant, Cybersecurity and Privacy, PwC Switzerland

+41 58 792 49 09

Email