Tendance Consciente de l’importance des enjeux, les entreprises se déclarent pourtant mal équipées sur ce plan de la cybersécurité.
« Comment équilibrer la transformation numérique et la sécurité des utilisateurs », se demandait une étude Capgemini/RSA parue fin février. Au vu du détail des résultats de ce sondage effectué aux Etats-Unis, au Royaume-Uni, en Allemagne, au Bénélux et en France, les entreprises ont bien conscience des enjeux mais se sentent démunies : seulement 26 % estiment être équipées avec les bons outils, qui leur permettent de gérer l’accès de chaque type d’utilisateurs aux systèmes informatiques, et ainsi se protéger du risque que l’un d’eux s’attaque aux données de l’entreprise.
Les autorisations, de l’« admin » aux clients
Dans le même temps, 62 % des cadres-dirigeants interrogés savent bien que la numérisation de l’économie rend « très prioritaire » le fait de devenir capable de fournir aux clients, partenaires et salarié un accès au système d’information de l’entreprise. Pour sortir de ce paradoxe, les projets d’Identity Access Management (IAM) se multiplient. L’idée est de garder le contrôle sur ce que peut modifier ou consulter une personne au sein du système informatique de l’entreprise, tout en lui permettant de faire affaire en ligne. En fonction de son statut, de l’administrateur réseau au simple client, l’utilisateur possède plus ou moins d’autorisation. Mais, « 50 % de ces projets d’IAM sont des échecs à cause de l’intégration entre les différents produits du marché », constate Franck Gréverie, le directeur des offres cloud et cybersécurité de Capgemini.
Identity Access Management en trois fonctions principales
En effet, les systèmes d’Identity Access Management répondent à trois fonctions principales mais chacune est traitée par un logiciel spécialisé. Il s’agit d’authentifier l’utilisateur, de lui accorder ou lui refuser des droits d’accès informatique selon son profil et de renforcer la demande d’authentification en cas de contexte de connexion inhabituel (par exemple, envoyer un SMS de confirmation quand un salarié demande l’accès à une base de données depuis un lieu où il n’est pas censé travailler). En pré-intégrant dans son propre service « Identity as a service » trois logiciels en ligne (ceux édités par RSA, CyberArc et Forgeroc), Capgemini entend faciliter l’adoption de ce type de systèmes, jugés plus sûrs. « En cas de cyber-attaque, le système de gestion des accès des identités numériques doit tenir car c’est lui qui garantit l’accès de l’entreprise à ses propres données », souligne Franck Gréverie.
Avec leseco