Dans un monde où la transformation numérique est omniprésente, la gestion des identités des salariés et des partenaires devient un enjeu majeur pour les entreprises. Un défi pour certaines organisations qui doivent composer avec leur dette technique. Des solutions techniques et organisationnelles doivent être déployées et actualisées régulièrement pour optimiser le contrôle des accès.
Les opérateurs télécoms sont dans l’œil du viseur des cybercriminels. Fin 2024, SFR puis Free ont été victimes d’une cyberattaque. Dans le cas de Free, elle a entraîné « l’accès non autorisé » aux données personnelles (dont l’IBAN) d’environ 5 millions de clients. Orange et la Poste Mobile avaient subi le même sort en 2022. D’autres entreprises privées ont également été victimes de fuites de données sensibles dont les identifiants et mots de passe.
Selon son dernier rapport publié en juillet 2024, IBM estime le coût moyen par violation de données à 4,88 M$ contre 4,45 M$ il y a un an. En France la hausse se limite à 3 % avec un coût moyen de 3,85 M€ (il atteint 5,19 M€ dans le secteur pharmaceutique).
Un casse-tête pour les RSSI, DSI et les équipes de sécurité, car la surface d’attaque ne cesse d’augmenter. C’est encore plus le cas pour les entreprises ayant acquis d’autres sociétés. Elles peuvent manquer de visibilité sur l’accès des identités supplémentaires, ce qui peut entraîner un nombre d’accès trop élevé, des retards et autres difficultés lors des transferts ou processus de départs.
La situation est complexe, car les entreprises doivent gérer de plus en plus d’identités et de données sensibles. « Pour avoir une activité, les entreprises sont obligées d’avoir des flux, d’avoir un CRM, des comptes Microsoft 365… Tous ces services utilisent des identités. Si une seule est compromise, tout le monde tombe. Cette problématique est souvent gérée sous l’angle technique. En réalité, si nous ne prenons pas le facteur identité en compte, nous ratons plus de la moitié du problème. Les entreprises fédèrent des identités parce qu’il est plus facile de gérer un compte que 800. Or, il faut gérer chaque identité comme nous le faisons pour les services », insiste Julien Courtemanche, Avant-vente chez WithSecure.
Gregory Chevalier, DSI du CNPP (Centre national de prévention et de protection) rappelle également que « l’identité n’est pas que la personne. On va pouvoir identifier les device qui se connectent. La gestion des identités va se faire aussi bien sur la personne physique que sur l’ordinateur professionnel, voire le bring your own device qui est plus ou moins accepté suivant les structures et suivant l’endroit où l’on voudra se connecter. Il s’agit de spécifier et de valider la connexion de ce device à son SI ».
Une mesure indispensable, car la compromission des identités est la clé qui donne accès à d’autres ressources. « Or, car les entreprises oublient de les gérer, de les rendre un peu plus tenaces, de faire du nettoyage, d’auditer régulièrement…. S’il y a une faille dans le système, cela va donner une opportunité à d’autres de pouvoir l’exploiter », complète Jérôme Etienne, CISO du Groupe Rocher.
Le piratage de comptes de messagerie, de comptes Microsoft 365 ou Google Workspace notamment représente en effet une menace sérieuse pour les entreprises. Les cybercriminels utilisent diverses techniques, telles que le phishing, les attaques par force brute ou l’exploitation de vulnérabilités logicielles, pour accéder à ces comptes.
Une fois infiltrés, ils peuvent :
- Voler des données sensibles.
- Les informations confidentielles, telles que les données clients, les secrets commerciaux ou les informations financières, peuvent être exfiltrées et revendue sur le dark web ou à des concurrents peu scrupuleux.
- Usurper l’Identité.
- Les attaquants peuvent envoyer des emails frauduleux en se faisant passer pour des employés légitimes, compromettant ainsi la réputation de l’entreprise. Le piratage de compte de messagerie a été exploité par des cybercriminels pour envoyer aux clients d’entreprises infiltrées des courriers notifiant un changement d’IBAN. Résultat, certains d’entre eux ont effectué des virements sur un compte illégitime…
- Perturber les opérations
- L’accès non autorisé peut entraîner la modification ou la suppression de données critiques, perturbant les opérations quotidiennes.
- Propager des Malwares.
- Les comptes piratés peuvent être utilisés pour diffuser des logiciels malveillants au sein de l’entreprise et vers ses partenaires.
Pour contrer ces menaces, les entreprises doivent déployer des solutions logicielles et des processus organisationnels :
- Mettre en place la double authentification (MFA).
- La MFA ajoute une couche supplémentaire de sécurité en exigeant une seconde forme d’identification, comme un code envoyé par SMS ou une application d’authentification. Cela rend beaucoup plus difficile pour les pirates d’accéder aux comptes.
- Gérer les Identités et les Accès.
- L’Identity and Access Management (IAM) permet de centraliser et de gérer les identités des utilisateurs, en assurant que seuls les employés autorisés ont accès aux ressources nécessaires. Elles incluent des fonctionnalités comme le provisionnement automatique des comptes et la gestion des rôles.
- En attribuant aux collaborateurs des rôles spécifiques et en veillant à ce qu’ils aient le bon niveau d’accès aux ressources et aux réseaux de l’entreprise, l’IAM améliore la sécurité et l’expérience des utilisateurs, permet d’obtenir de meilleurs résultats commerciaux et accroît la viabilité du travail mobile et à distance ainsi que l’adoption de l’informatique dématérialisée
- Contrôler sa chaîne de sous-traitance.
- Une récente étude de SailPoint Technologies constate que près de 80 % des organisations sont préoccupées par les vulnérabilités résultant de l’attribution d’accès excessifs à des identités de tiers ou de personnes non-employées dans les entreprises. L’infiltration du SI de certaines entreprises peut être due à l’accès d’un prestataire laissé ouvert alors qu’il ne travaille plus pour cette organisation.
- La segmentation des accès doit donc intégrer les partenaires et prestataires.
« J’ai vécu une compromission sur un compte d’administrateur sur de la téléphonie. Nous pouvons toujours parler de VPN, d’EDR… Le tri n’est pas toujours fait et certains accès restant en permanence ouverts constituent de potentielles failles. Si nous ne sécurisons pas toute la supply chain, nous risquons gros », rappelle David Patrzynski, DSI du groupe Nollet. - Gérer sa dette technique.
« Le couple login/mot de passe tend à disparaître, mais cette transition va prendre quelques années. Il faut aussi tenir compte de la dette technique. Des entreprises décident de garder un système obsolète qui n’a plus de capacité d’évolution. Elles travaillent avec cet équipement qui est figé dans le temps… mais qui se trouve dans un écosystème qui n’arrête pas de changer. Il faut adapter les systèmes techniques, être sûr qu’ils sont à jour », note Jérôme Etienne, CISO du Groupe Rocher.
La solution ? Isoler ce dispositif ? Oui… mais pour l’isoler il faut y accéder pour y intégrer des systèmes de sécurité dans lesquels il y aura aussi des identités à gérer. Les entreprises sont confrontées en permanence avec ce genre de dilemme. « Cela implique de faire de la gestion de risques pour trouver le bon équilibre entre un choix d’investissement ou la conservation en l’état : combien cela va coûter, quels risques sont engendrés, quelle adaptation dois je mettre en place, combien de temps dois je le garder… Sauf que la décision prise correspond au jour où elle a été prise. Demain, peut-être que le serveur présentera une vulnérabilité qui fragilisera mon entreprise. Cette analyse bénéfices/risques doit toujours être actualisée », souligne Julien Courtemanche, Avant-vente chez WithSecure.
- Sensibiliser ses salariés
- Les solutions logicielles ne sont qu’une partie de la solution. Les salariés, y compris la direction, doivent être formés régulièrement à l’hygiène numérique. Cela inclut la reconnaissance des tentatives de phishing, l’utilisation de mots de passe forts et la vigilance face aux comportements suspects.
Comme pour d’autres problématiques liées aux menaces cyber, l’humain est un maillon essentiel. D’où la nécessité de promouvoir une culture de la sécurité au sein de l’entreprise afin que chaque employé comprenne l’importance de la protection des données et des comptes. Les entreprises doivent aussi améliorer leur politique de sécurité afin qu’elle soit claire et connue de tous les collaborateurs.
En conclusion, la gestion des identités des salariés et la sécurisation des comptes sont des défis majeurs pour les entreprises. Les risques associés au piratage de ces comptes sont nombreux et potentiellement dévastateurs.
Pour se protéger, les entreprises doivent donc adopter une approche holistique, combinant des solutions logicielles avancées avec des pratiques humaines rigoureuses et régulièrement actualisées.
En investissant dans des technologies comme l’authentification multi-facteurs, la gestion des identités et des accès, et en cultivant une culture de la sécurité, les entreprises peuvent renforcer leur résilience face aux cybermenaces et protéger leurs actifs les plus précieux.
