La gestion des identités au centre des défis IT

80 % des interactions clients des entreprises sont aujourd'hui numériques quels que soient les secteurs d'activité, indique une étude récente du cabinet McKinsey. Autant dire que le digital est devenu la pierre angulaire de tous les processus ou presque. Un contexte où la dépendance et l'exposition accrue aux cyber-risques implique une gestion des identités et des authentifications qui prend toujours plus de place. Comment assurer le meilleur de la sécurité tout en profitant pleinement de l'agilité promise par les nouvelles technologies ? C'était l'une des questions phares des Assises de la cybersécurité qui se sont tenues du 12 au 15 octobre à Monaco.

L'enquête « European Security Strategies Survey » réalisé par IDC souligne qu'un utilisateur type doit en théorie se souvenir de 90 à 200 identifiants et mots de passe. Pour chaque salarié, plusieurs dizaines de certificats d'authentification sont nécessaires au sein d'une organisation, compte tenu du nombre de machines et d'applications utilisés.

Vers une gouvernance améliorée de l'identité

L'accès à une ressource dépend de l'identification de l'utilisateur, de l'équipement utilisé, du statut de l'actif ainsi que de facteurs contextuels tels que la date, l'heure ou la géolocalisation de la demande de connexion. Karim Toubba, PDG du fournisseur de solutions LastPass, qui animait l'un des ateliers de l'événement, souligne l'évolution rapide de la demande sur ce plan : « on nous demande de nouvelles solutions pour être efficace. Les organisations veulent pouvoir exploiter l'information afin de rendre les travailleurs de l'IT plus efficaces. Et il faut que la gestion des mots soit aussi simple que possible pour les utilisateurs. »

Les gestionnaires de mots de passe se présentent comme une aubaine pour décomplexifier la gestion des authentifications sans compromis au niveau de la sécurité. Ils proposent des coffres-forts dans le cloud afin de stocker les mots de passe, et d'autres données confidentielles comme l'adresse, des coordonnées de paiement. Les identifiants de chaque salarié se retrouvent tous en un même endroit, protégés par un mot de passe global permettant de déverrouiller le coffre-fort. La solution renseigne automatiquement les identifiants, de sorte que l'utilisateur n'ait plus la nécessité de mémoriser les mots de passe correspondants à chaque site ou application.

Manon Riffe, responsable de la cybersécurité au sein du groupe L'Occitane et également intervenante de l'événement, se réjouit de l'évolution depuis que son organisation a adopté cette solution proposée par LastPass : « nous étions confrontés à plusieurs problèmes. Nos employés utilisaient des mots de passe avec faible fiabilité. Parallèlement, nous avions de plus en plus de demandes pour partager des mots de passe avec des collaborateurs externes. Il fallait une réponse à travers une nouvelle approche. Nous voulions une solution de gestion en mode SaaS, avec accès aux mots de passe sécurisés, disponible aussi sur mobile, et intégrant une solution de partage de mots de passe en interne et en externe. »

Au-delà de la pertinence, l'adoption est au coeur des préoccupations par rapport à ce type d'innovation. Une approche progressive est généralement recommandée pour conduire le changement. « Dans une telle démarche, on commence le plus souvent les équipes de la DSI. On étend ensuite la pratique aux ingénieurs, puis à d'autres collaborateurs », constate Karim Toubba.

Pour Manon Riffe, « il faut des règles qui ne soient pas trop restrictives pour les utilisateurs. Nous avons commencé le déploiement sur un petit groupe de salariés. Pour favoriser l'adoption, nous avons travaillé la communication aux côtés d'un employé de LastPass dans le but d'impliquer les utilisateurs. Aucune friction n'a été constatée. Le changement a été rapide. »