La gestion des accès à privilèges en tant que service : une question de confiance

Spread the love
La gestion des accès à privilèges en tant que service : une question de confiance

Aujourd’hui, alors que les cybercriminels ciblent les organisations qui investissent dans de nouveaux outils et technologies pour favoriser le travail à distance, de nombreux responsables de la sécurité se demandent comment prioriser les nouveaux investissements et comment tirer le meilleur parti de leurs budgets existants. La solution réside dans l’utilisation et la gestion des accès à privilèges en tant que service (as-a-Service). 

Le déploiement du PAM-as-a-Service peut contribuer à réduire les risques en verrouillant l’accès aux données, systèmes et applications sensibles d’une entreprise tout en optimisant les ressources. En outre, elle ne nécessite pas de ressources IT supplémentaires pour gérer l’infrastructure sur site, effectuer les mises à jour ou encore de réaliser les correctifs. 

Avant de poursuivre, il est important de savoir quelles sont les qualités essentielles d’une solution PAM-as-a-Service en laquelle vous pouvez avoir confiance. 

De manière générale, les solutions SaaS permettent aux entreprises de mieux contrôler leurs données, en les aidant à comprendre la quantité de données dont elles disposent et où elles se trouvent exactement. S’il appartient à l’organisation de gérer en interne ses propres politiques et utilisateurs, toute entreprise cherchant à sécuriser des données, des systèmes et des applications sensibles dans le cloud doit faire confiance aux fournisseurs de SaaS à qui elle remet les clés.

Comprendre la sécurité du service

Souvent, les entreprises ne cherchent pas à savoir comment les fournisseurs de sécurité gèrent et protègent exactement les données des clients. Elles partent simplement du principe que tout est parfaitement sécurisé. L’American Institute of Certified Public Accountants (AICPA) fournit des évaluations indépendantes – connues sous le nom de SOC 2 – pour aider les organisations à comprendre exactement comment les entreprises protègent les données de leurs clients et la manière dont fonctionnent ces contrôles. Ces rapports couvrent les principes de sécurité, de disponibilité, de confidentialité et de respect de la vie privée.

La plupart des fournisseurs qui proposent des offres de cloud hébergées comme AWS, Azure ou GCP se targuent d’être conformes SOC 2 de type 2, mais le fait de vérifier que le service en question est soumis à ce contrôle de conformité témoigne d’un engagement supplémentaire en matière de sécurité pour les clients. Il est important de procéder à cette vérification avant de faire appel à un fournisseur SaaS pour assurer la sécurité et la confidentialité de vos données et garantir que le service fonctionnera selon les besoins et au moment adéquat.

Savoir comment les données sont stockées et sécurisées

Il s’agit d’un élément clé du SaaS lui-même et celui-ci devrait constituer une préoccupation majeure. Les communications du cloud vers les ressources de l’entreprise doivent être chiffrées, tant lors de leur stockage que pendant leur transit. Des tunnels SSH sécurisés, allant du fournisseur de cloud aux systèmes exploités par les clients comme les serveurs Active Directory, les serveurs SIEM et autres, protègent les actifs contre les attaques d’individus malveillants.

Protéger les informations de ses comptes à privilèges

Si des informations de comptes à privilèges doivent être transmises entre le cloud et les actifs sur site, vérifier si le fournisseur du cloud veille à ce que le trafic sur le réseau soit chiffré permettra d’empêcher l’exfiltration illicite d’informations. Le principe du moindre privilège doit être mis en œuvre lorsque l’accès est nécessaire pour mettre à niveau les systèmes back-end et intégrer de nouvelles fonctionnalités. Cet accès est refusé par défaut et n’est autorisé que lorsqu’il est essentiel.

Choisir un partenaire cloud de confiance

Enfin, la viabilité commerciale du fournisseur lui-même indiquera si le partenaire de sécurité sera présent sur le long terme et capable de faire face à l’évolution rapide des exigences du secteur informatique actuel.  C’est particulièrement pertinent dans le cas du SaaS car les organisations qui optent pour le « cloud-first » se transforment rapidement et ont besoin de solutions aussi sûres et souples que possible.

Gartner vient de confirmer que le SaaS reste le segment de marché le plus important et devrait atteindre 104,7 milliards de dollars cette année. Avec la généralisation du recours au cloud et le basculement global vers le format de travail à distance ces derniers mois, les équipes IT doivent redoubler de vigilance en ce qui concerne les contrôles d’accès et la protection des données. 

Ainsi, compte tenu de l’incertitude générée par la pandémie, mettre l’accent sur la stratégie de sécurité et la gestion des accès à privilèges, ne peut plus être une option. Ne pas connaître, ou gérer ces accès reviendrait à tendre la main aux cybercriminels pour leur permettre de s’emparer des données.

Leave a Reply