C’est un fait populaire que les êtres humains sont le maillon le plus faible de toute stratégie de sécurité. Le dernier rapport annuel de Verizon sur les violations de données a révélé que plus de 80 % des violations du modèle d’occurrence « Standard Web Application Attacks » étaient dues à des qualifications volées. Sans surprise, l’origine de la majorité des failles est l’ingénierie sociale, les mots de passe par défaut ou le partage de mots de passe, qui peuvent tous battre même les options de sécurité les plus avancées.
Bien sûr, la défense en profondeur contribue à réduire ces faiblesses. Et passer des mots de passe aux solutions sans mot de passe est un moyen efficace de rendre plus difficile l’obtention de qualifications. Une identité forte et maintenable est également utile, car comprendre qui sont vos utilisateurs est la moitié du combat.
Il est également important de comprendre les schémas comportementaux et de réagir aux anomalies. Ces trois composants sont importants pour une méthode de défense en profondeur efficace dans un monde hybride multi-cloud où une entreprise commune exécutera de nombreux systèmes d’identité.
Il existe une variété d’obstacles liés au passage à l’authentification sans mot de passe. Le plus important est que les individus n’aiment pas le changement. Les utilisateurs finaux repoussent lorsque vous leur demandez d’abandonner la page de connexion familière basée sur un mot de passe et passent par le rigamarole de l’inscription d’un facteur ou d’un gadget nécessaire pour les flux sans mot de passe courants. De plus, les propriétaires d’applications résistent généralement à les modifier pour prendre en charge les flux sans mot de passe.
Surmonter ces obstacles peut être difficile et coûteux. Il peut également être exacerbé par la nécessité de prendre en charge l’option sans mot de passe de plusieurs fournisseurs. Par exemple, la majorité des services sans mot de passe présentent des obstacles à l’intégration au niveau de l’application qui nécessitent la mise en œuvre de SDK pour prendre en charge même les circulations de base. Que se passe-t-il si vous souhaitez prendre en charge plusieurs solutions ? Ou utilisez-vous votre solution sans mot de passe à la fois comme société principale d’identité et d’authentification et comme fournisseur de services d’authentification de niveau supérieur ? Ou vous voulez ajouter une couche d’analyse comportementale ?
Il existe un moyen de relever ces défis humains et techniques qui empêchent l’adoption sans mot de passe en utilisant l’orchestration. Commune dans les piles informatiques virtualisées, l’orchestration est un tout nouveau principe dans les architectures d’identité. Une couche d’orchestration d’identité permet de moderniser les anciennes applications sans les reformuler afin qu’elles puissent fonctionner avec de nouveaux protocoles d’identité et faciliter l’authentification sans mot de passe.
Pour les propriétaires d’applications, l’orchestration des identités offre un certain nombre d’avantages tangibles, notamment la possibilité pour une application d’utiliser n’importe quel service d’identité, d’être protégée par une authentification sans mot de passe et d’être éliminée de la liste des exceptions de conformité – tous sans apporter de modifications au code. D’autre part, les groupes d’identité et de sécurité seront ravis du fait que leurs coûts de travail seront inférieurs et les délais plus courts.
Meilleures pratiques pour l’exécution d’une structure d’orchestration d’identité
Commencez avec un petit groupe de test qui exécute une fonction isolée et utilise une application traditionnelle spéciale à cette fonction, par exemple, le service financier et son application comptable.
Ensuite, établissez une stratégie de déploiement, y compris les interactions et les commentaires, afin de pouvoir l’améliorer avant d’étendre le déploiement. Garantissez que le groupe initial d’utilisateurs comprend clairement à quoi s’attendre et comment ils gagnent à utiliser les nouveaux services sans mot de passe. Appliquez ce que vous avez appris de votre groupe pilote pour rendre l’interaction encore plus proactive et plus claire. Votre groupe de sécurité vous remerciera.
La partie la plus chronophage de presque tous les travaux d’identité consiste à travailler avec les propriétaires d’applications pour les intégrer à leurs applications, donc les tenir au courant de la façon dont cela simplifie leur vie et leur montrer des gains rapides les rendra plus heureux de se conformer à vous alors qu’ils gèrent d’autres priorités axées sur l’entreprise.
L’orchestration des identités peut rendre le déploiement de l’authentification sans mot de passe plus acceptable pour les utilisateurs finaux et les propriétaires d’applications en réduisant les perturbations de l’expérience utilisateur et en supprimant les modifications apportées aux applications. Dans le processus, il infuse une meilleure sécurité dans les applications et les services. Donc, peut-être que dans le DBIR de Verizon de l’année prochaine, le nombre d’attaques de qualification prises sera plus proche de 50% que de 80%.
Toute l’actualité en temps réel, est sur L’Entrepreneur
