Pourquoi l’authentification reste le plus gros casse-tête du RSSI

L’authentification reste l’un des défis les plus difficiles auxquels sont confrontés les RSSI dans les grandes et petites entreprises. Cet élément de sécurité fondamental et de longue date continue de causer des maux de tête aux responsables de la sécurité qui cherchent à identifier et à autoriser les utilisateurs et les appareils souvent répartis dans différents États, frontières et fuseaux horaires. Pendant ce temps, les risques persistants associés à des stratégies et des processus d’authentification inefficaces menacent les entreprises à mesure qu’elles deviennent plus agiles et distantes, obligeant les équipes de sécurité à repenser les approches de l’authentification dans le paysage moderne.

L’authentification, un obstacle important pour les RSSI modernes

L’authentification continue de tester les CISO pour plusieurs raisons, sa définition moderne étant la première à aborder, explique le CISO de Netskope Lamont Orange au CSO. « Nous utilisons beaucoup de terminologie pour décrire ce qui est censé traiter les méthodes d’authentification et d’autorisation requises pour les appareils, les applications et les systèmes, en plus de prendre en charge les politiques de sécurité qui régissent cette interaction. Dans le passé, nous avons implémenté l’authentification dans une construction très basique : si j’ai besoin d’un accès, je dois réussir des tests d’identification (identifiant/mot de passe) pour chaque demande d’utilisateur/service sans utiliser MFA dans la plupart des cas », dit-il.

L’authentification moderne, cependant, doit prendre en compte l’API et l’authentification basée sur les jetons ainsi que les capacités MFA, qui introduisent des complications, ajoute Orange.

L’authentification est également une cible d’attaque mouvante, avec de nouvelles menaces et vulnérabilités nécessitant une réévaluation constante pour authentifier en toute sécurité les utilisateurs et les appareils, déclare Chris Hickman, CSO chez Keyfactor. L’expansion continue au-delà du réseau traditionnel et le passage à la transformation du cloud jouent également un rôle clé. « Les RSSI connaissent soit un manque de visibilité et de capacité à s’adapter à ces environnements, soit le besoin continu de configurer et de reconfigurer les passerelles d’authentification et les fournisseurs d’identité pour suivre l’évolution des demandes », déclare-t-il.

La friction liée aux niveaux croissants de rigueur dans la vérification d’une identité est également un problème important, déclare Sammy Migues, scientifique principal du Synopsys Software Integrity Group. “À un moment donné, les plus hauts niveaux de rigueur en matière d’authentification deviennent trop de travail pour nos organisations et nos employés pour le retour de l’assurance.”

Les défis de l’authentification incluent l’interopérabilité, la convivialité et les vulnérabilités

Les défis posés aux RSSI et à leurs organisations par l’authentification moderne sont nombreux, couvrant l’interopérabilité, la convivialité, les limitations techniques et les vulnérabilités. “De nombreuses entreprises ont encore du mal à résoudre l’identité de l’utilisateur, et maintenant les complexités de l’authentification moderne introduisent des opportunités de gestion de la machine, du système et des secrets à résoudre”, déclare Orange. “Cependant, toutes les technologies ne sont pas suffisamment matures pour s’adapter, vous avez donc des modèles de gouvernance disparates et parfois une prise en charge implicite des protocoles hérités qui introduisent des failles de sécurité, tandis que l’utilisation des API et la gestion des méthodes d’accès peuvent être disparates compte tenu de la maturité/des capacités des API. ”

Pour Greg Day, CISO mondial sur le terrain chez Cybereason, l’expérience utilisateur représente le plus grand défi. « Personne n’aime essayer de se souvenir de mots de passe longs et complexes, ou être invité à les saisir toutes les cinq minutes, ou devoir se souvenir de 100 mots de passe différents pour tous les processus qu’ils utilisent. Demander aux utilisateurs d’entrer leur propre code PIN unique pour chaque transaction améliore la sécurité, mais cela ajoute du temps pour effectuer les transactions. »

L’évolution des paradigmes d’authentification oblige les équipes de sécurité et de technologie à repenser les approches avec des modèles tels que la confiance zéro, déclare Hickman. « Les nouvelles stratégies telles que la confiance zéro nécessitent une authentification forte de la machine ou de l’appareil pour accorder l’autorisation. La plupart des organisations ne font que commencer à mettre en place une stratégie d’identité machine et une gestion des informations d’identification machine et, tout comme les identités/authentifications humaines, les identités/authentification machine se présentent sous de nombreuses formes et facteurs. Il peut être difficile de gérer efficacement toutes les authentifications basées sur la machine. »

Les concepts émergents d’authentification biométrique présentent également des obstacles notables, ajoute Migues. « La biométrie humaine est plus sûre, mais elle est beaucoup plus difficile à déployer à grande échelle et même ces systèmes peuvent être usurpés. Quelqu’un doit se présenter quelque part et avoir, par exemple, une photo détaillée de son œil, donner des copies de ses empreintes digitales, obtenir un scan thermique, etc. Ces détails seront verrouillés pour cette personne. Même sans les scénarios hollywoodiens, disons que la bonne personne se présente. Qu’apportent-ils comme authentification pour pouvoir obtenir leur authentification ? Le permis de conduire? Certificat de naissance? Passeport? Comment ceux-ci seront-ils vérifiés ? Et s’ils ne conduisent pas et n’ont pas de passeport ? Il est facile de dire que vous allez aussi loin que nécessaire, mais cela coûte vite cher. Évidemment, nous ferons cela pour les personnes qui accèdent au silo de missiles nucléaires, mais où s’arrête-t-on pour accéder au réseau local de l’entreprise – et j’espère que nous sommes loin d’avoir à faire de la biométrie sur les robots !

Accès non autorisé, divulgation de données parmi les risques d’authentification inefficace

Une autorisation inefficace présente des risques importants pour les organisations avec des résultats qui peuvent se manifester par des utilisateurs, des systèmes/machines, des services et des appareils surprivilégiés qui peuvent conduire à un accès non autorisé et à la divulgation de données, déclare Orange. “Dans l’écosystème DevOps, les composants d’API peuvent s’exposer à plusieurs vulnérabilités et exploitations telles que des autorisations au niveau de l’objet cassées. Des autorisations inefficaces introduiront également des API qui fuient qui peuvent constituer une menace d’amendes pour les violations de la vie privée, la sensibilité émergente aux attaques et l’exploitation réussie des ransomwares via l’expansion de la surface d’attaque.

En effet, les données sont l’un des actifs les plus précieux que chaque entreprise détient et si vous ne pouvez pas contrôler qui y a accès, vous mettez votre entreprise en danger, déclare Day à CSO. « Nous en voyons fréquemment les implications dans le monde réel à travers les ransomwares et les demandes toujours croissantes de paiements qui accompagnent ces attaques. Contrôler qui a accès aux données et avec qui ces données sont partagées est fondamental pour le succès de toute entreprise. »

Cela a été mis en évidence à la suite de nombreux rapports faisant état d’une violation de données des systèmes internes du fournisseur de logiciels d’authentification basé sur le cloud Okta par le groupe de rançongiciels LAPSUS$. Selon Twitter messages, LAPSUS $ ne ciblait pas les bases de données d’Okta, mais se concentrait sur les clients d’Okta pour obtenir un accès superutilisateur aux systèmes. Le PDG de Cloudflare, Matthew Prince, a tweeté que l’entreprise “réinitialiserait les informations d’identification Okta de tous les employés qui ont changé leurs mots de passe au cours des quatre derniers mois, par prudence”. et qu’il « évaluerait des alternatives » au logiciel d’authentification.

Meilleures pratiques pour une authentification moderne efficace

Les meilleures pratiques d’authentification sont faciles à énumérer mais pas nécessairement aussi faciles à mettre en œuvre, en particulier dans les grandes organisations, explique Migues. « N’essayez pas d’inventer votre propre système de jetons, de cryptage, de protocoles, etc. Vous ne pouvez pas. Pensez simplement au nombre d’avis de sécurité que vous recevez d’entreprises qui font littéralement cela pour gagner leur vie, et c’est pour des produits matures de qualité entreprise avec des milliers d’utilisateurs, et encore plus d’attaquants, donnant leur avis chaque jour.

Migues préconise de travailler vers une authentification sans mot de passe et de veiller à ce que l’authentification API à API reçoive la même attention que les employés accédant aux fichiers sensibles. Il suggère d’utiliser NIST 800-63B et des conseils similaires lors de la planification de votre stratégie d’authentification. “De plus, comprenez que des attaques contre les services d’authentification se produiront, alors mettez des contrôleurs de vitesse partout pour ralentir les attaques automatisées”, ajoute-t-il.

Pour Orange, impliquer les équipes de gouvernance, de risque et de conformité (GRC) pour aider à fournir des exigences pour les authentifications modernes, tester en permanence pour identifier les faiblesses, retrouver la visibilité et l’analyse contextuelle grâce aux solutions déployées, et éduquer et former agressivement le personnel sur les menaces associées sont des bonnes pratiques importantes pour mettre en œuvre aussi.

Day exhorte les RSSI à ne pas négliger l’importance de l’expérience utilisateur, avertissant que si les processus d’authentification sont trop difficiles ou trop complexes, les employés trouveront un moyen de contourner les outils d’authentification en place. “L’objectif à long terme doit être de trouver un moyen d’avoir une gestion des accès consolidée basée sur les risques dans tous les systèmes d’information.”

Copyright © 2022 IDG Communications, Inc.

Leave a Comment