Les mesures clés pour protéger le SI et sécuriser l'accès aux applications SaaS : entretien avec Jean-Yves Dareau, Crayon
Recours intensif à la messagerie professionnelle, utilisation de terminaux mobiles personnels en télétravail, généralisation des applications SaaS... La recherche de solutions digitales toujours plus agiles et performantes a également élargi la surface d'attaque pour les cybercriminels. On ne compte plus le nombre d'arrêts forcés de la production, de dépôts de bilan et autres redressements judiciaires suite à des cyberattaques touchant des entreprises de toute taille. Quelles mesures prendre en priorité et sur quels outils s'appuyer pour éviter une intrusion ?
Pour Jean-Yves Dareau, architecte cloud chez Crayon, une chose est claire : « les mécanismes d'authentification traditionnels (basés sur de simples mots de passe) ne suffisent plus à assurer un niveau de sécurité suffisant ».
Des chercheurs de l’Université Carnegie Mellon ont réalisé une étude sur le comportement des collaborateurs après une compromission de leurs mots de passe dans la cadre d’une violation de données. Résultat : seulement un tiers des victimes de violation de données changent de mot de passe après l’incident et près de 70% de ces changements aboutissent à des mots de passe faibles. Compte tenu des enjeux d’une brèche informatique, il est essentiel de moderniser son approche de la sécurité informatique en s’attaquant notamment à ce problème de gestion des mots de passe.
De l’authentification multi-facteur au Passwordless
« Les risques autour des identités représentant une part importante des attaques rencontrées par les entreprises, la première mesure à envisager est la mise en place de l’authentification multi-facteurs » conseille Jean-Yves Dareau. Un outil tel qu’Azure Multi-Factor Authentification fournit une couche supplémentaire de sécurité à l’aide d’une deuxième forme d’authentification. Ainsi, quand un collaborateur se connecte à ses services Microsoft depuis un nouveau réseau, l’outil lui demande un second élément de vérification, en plus du mot de passe. C'est la meilleure technique d'atténuation à utiliser pour protéger les utilisateurs d'Office 365 contre le vol d’identifiants.
Autre technologie intéressante le SSPR (Self Service Password Reset), présent dans Azure active directory, ce système permet aux utilisateurs de déverrouiller leur compte ou de réinitialiser des mots de passe grâce à une procédure intuitive depuis un navigateur ou depuis leur poste de travail. Ils peuvent ainsi réinitialiser de façon sécurisée leur mot de passe Windows sans avoir à contacter le service technique – aspect particulièrement intéressant lorsque l’on sait qu’un seul appel aux équipes techniques pour une réinitialisation de mot de passe coûte environ 15 euros et prend environ 20 minutes, selon Gartner.
Pour aller encore plus loin dans l’amélioration de l’expérience de connexion, le passwordless apparaît comme la méthode d’authentification la plus performante et sécurisée. Reposant sur une paire de clés cryptographiques, la méthode permet de profiter d’une connexion simple et rapide tout en ayant un accès unifié aux applications et aux services. Cela dit, la sécurisation des identités implique aussi la mise en place de technologies de détection et de réponses automatisées s’appuyant sur des signaux pour lutter contre les menaces » précise Jean-Yves Darreau.
Microsoft Defender for Endpoint fournit aussi une protection préventive et permet de détecter les vulnérabilités en temps réel. « Après avoir détecté une menace sur un appareil, nous sommes désormais capables de le mettre en quarantaine de façon automatisée et de couper toute connexion avec le reste du système d’information afin d’éviter la contamination de l’ensemble du SI » ajoute l’architecte cloud.
Assurer une bonne gestion des identités
Quel groupe d’utilisateur a accès à telle ou telle application ? Comment gérer les arrivées et départs des collaborateurs ? Quels sont les droits des utilisateurs au sein des applications et comment sont-ils authentifiés ? Toute entreprise souhaitant sécuriser correctement ses accès aux applications SaaS doit pouvoir apporter des réponses claires à ces questions. Pour Jean-Yves Dareau, la façon la plus simple d’y répondre est de mettre en place une gestion des identités commune et unifiée. En utilisant Azure Active Directory (Azure AD) avec une licence Azure AD Premium, il est possible d’utiliser les groupes pour attribuer l’accès à une application SaaS intégrée à Azure AD et d’appliquer des conditions d’accès.
Concevoir une politique de sécurité
Toutes les technologies liées à la gestion des identités et des accès doivent être orchestrées au sein d’un programme qui assure l’exécution des règles de gestion. A ce niveau, « tout est une question d’équilibre » souligne Jean-Yves Dareau. Le principal enjeu consiste à authentifier de façon certaine l’identité des usagers pour leur appliquer des politiques restrictives adaptées, sans pour autant nuire à la productivité ni frustrer l’utilisateur. « Chez Crayon, notre rôle premier est de faire comprendre la criticité de ces enjeux. Lorsque la prise de conscience est réelle et partagée au sein de l’organisation, le projet avance généralement très bien ». On peut alors commencer par le management des devices, qui amène à se poser des questions essentielles : qui doit être autorisé à accéder à la messagerie ? Doit-on bloquer l’accès de certains utilisateurs aux applications legacy ? « Avec la mise en place de stratégies d’accès conditionnel, le management des devices constitue la pierre angulaire de la sécurisation du SI » conclut Jean-Yves Dareau.