Pour les experts, la sécurité des identités est un élément clé de la cyberrésilience
Publiée sous le titre The Holistic Identity Security Maturity Model : Raising the Bar for Cyber Resilience[1], cette étude a été menée par CyberArk et le cabinet Enterprise Strategy Group (ESG) auprès de 1 500 professionnels de la cybersécurité. À partir des réponses obtenues, le modèle basé sur des données a identifié 9 % des entreprises comme ayant déployé les stratégies de sécurité des identités les plus matures et les plus holistiques. Ces entreprises innovantes se concentrent pleinement sur la mise en œuvre d’outils de sécurité des identités, font preuve d’une agilité intrinsèque et se caractérisent par une approche fondée sur la capacité à se relever rapidement de leurs échecs, même après avoir été victimes d’une cyberattaque.

Toutefois, 42 % des programmes de sécurité des identités mis en place par les entreprises interrogées sont loin d’être matures, et ne disposent pas des outils et des intégrations indispensables pour neutraliser rapidement les risques qui pèsent sur les identités. L’élargissement de la surface d’attaque, la complexité croissante des environnements informatiques et la multiplication des obstacles organisationnels contribuent à cette généralisation des lacunes affichées par les entreprises en matière de sécurité des identités.

Les principaux enseignements de cette étude sont les suivants :
• Écart entre la stratégie déployée et les résultats obtenus : 69 % des hauts dirigeants (CEO, CFO, CTO, etc.) estiment prendre les bonnes décisions en matière de sécurité des identités, contre 52 % de l’ensemble des effectifs (décideurs techniques et praticiens). Cet écart souligne la perception selon laquelle la sécurité dans son ensemble peut être atteinte en effectuant les bons investissements technologiques. Ce n’est toutefois qu’une partie de l’équation. En effet, il est tout aussi important de maximiser ces investissements sur un plan stratégique en incluant l’implémentation et l’intégration aux environnements existants, ainsi que de supprimer les silos et d’améliorer la formation.

• Des données hétérogènes sur les terminaux : pour 92 % des personnes interrogées, la sécurité des terminaux, la confiance accordée aux appareils ou la gestion des identités sont des paramètres primordiaux dans le déploiement d’une stratégie Zero Trust robuste, tandis que 65 % estiment que la capacité à corréler les données est essentielle pour assurer avec efficacité la sécurité des terminaux.

• Des efforts fragmentés : 58 % des entreprises interrogées disposent de deux équipes en charge de la sécurité des identités — sur site et dans le cloud — et utilisent plusieurs solutions indépendantes, ce qui complique la compréhension de leur posture de sécurité en temps réel.

« Cette étude met en lumière la relation entre une solide stratégie de sécurité des identités et l’amélioration des résultats métier, explique Jack Poller, senior analyst chez Enterprise Strategy Group (ESG). Des évaluations de maturité menées à intervalles plus fréquents et plus réguliers permettent aux bonnes personnes d’accéder aux bonnes données, et aider les entreprises à agir avec une vélocité suffisante pour éviter que des menaces n’interrompent leurs activités. »

Un cadre basé sur l’expérience des pairs pour soutenir une stratégie holistique de sécurité des identités

Conçu sur la base des informations fournies par les 1 500 professionnels interrogés, le modèle Holistic Identity Security Maturity permet aux entreprises d’évaluer leur niveau de maturité dans les quatre piliers de la sécurité des identités :
• L’achat d’outils couvrant la gestion, le contrôle des privilèges, la gouvernance, l’authentification et l’autorisation pour l’ensemble des identités et les différents types d’identité ;
• Les intégrations à d’autres solutions informatiques et de sécurité au sein de la pile technologique de l’entreprise en vue de sécuriser l’accès à tous ses actifs et environnements ;
• L’automatisation pour assurer une conformité ininterrompue aux règles, règlementations et standards industriels, ainsi que pour réagir rapidement face aux évènements ordinaires et anormaux de grande ampleur ;
• Des moyens de détection et de réponse aux menaces en continu basés sur une solide maîtrise du comportement des identités et des règles organisationnelles.

« Si 63 % des entreprises reconnaissent avoir été victimes d’une attaque ciblant les identités, il est probable que ce pourcentage soit nettement plus élevé. En effet, les cybercriminels continuent de viser et d’infecter les identités avec succès sur une grande échelle, ajoute Amita Potnis, Director, Thought Leadership Marketing chez CyberArk. Les entreprises qui souhaitent adopter une stratégie de sécurité des identités holistique doivent se concentrer sur la sécurité de l’accès à l’ensemble des identités — humaines et machines — en éliminant les cloisons et en adoptant une approche automatique et consolidée de la sécurité des identités. Comme l’indique notre étude, de nombreuses entreprises ont d’ores et déjà commencé à investir en ce sens, 24 % d’entre elles s’étant engagées à consacrer cette année plus de 10 % de leur budget cybersécurité à un programme de sécurité des identités. »

Les entreprises « transformatives », qui représentent 9 % de l’ensemble des personnes interrogées, ont atteint le niveau de maturité maximum en adoptant une approche unifiée de la sécurité des identités. La plateforme de sécurité des identités de CyberArk incarne cette approche en appliquant des contrôles intelligents des privilèges à toutes les identités — humaines et machines — grâce à des capacités continues de détection et de prévention des menaces, d’un bout à l’autre du cycle de vie des identités. Avec CyberArk, les entreprises peuvent mettre en œuvre une approche Zero Trust basée sur le principe du moindre privilège en bénéficiant d’une visibilité complète pour faire en sorte que chaque identité puisse accéder en toute sécurité à n’importe quelle ressource, indépendamment de sa localisation, à tout moment et en tous lieux.