Quelle place accorder à l’IAM ?
La gestion des identités et des accès (IAM) n’est plus considérée comme un sujet strictement technique, mais comme un levier crucial de gouvernance, de conformité et de réduction des risques. Ce constat a été mis en avant lors d’un débat au Forum Cybersécurité de Paris, qui s’est tenu début avril.
Table des matières
Pour les décideurs, l’enjeu ne se limite pas à sécuriser des comptes, mais à comprendre qui accède à quoi, quand et dans quelles conditions de traçabilité. Les intervenants ont souligné l’importance de consolider les données provenant de différents systèmes tels que le SIRH, la finance et d’autres référentiels pour établir une vision unifiée des droits et des règles d’accès.
Un impératif de conformité
Wadiha El Batti, Directrice des produits chez Wallix, a rappelé que les outils IAM conformes aux réglementations européennes sont essentiels pour réagir rapidement après une attaque. Si les grandes entreprises sont généralement bien équipées, les ETI et TPE-PME sont encore en phase de montée en puissance, souvent en réponse à des exigences de conformité.
Cette exigence de conformité ne concerne pas seulement l’interne, mais également les sous-traitants et prestataires externes. La chaîne d’accès doit être sécurisée au-delà des périmètres internes, car des failles peuvent rapidement apparaître dans les segments les plus vulnérables du système d’information.
Le poids des fraudes
Frédéric Baud, président de Patronymus, a illustré les vulnérabilités par des exemples concrets de fraudes à l’identité numérique, comme des scénarios de deepfake en visioconférence. Il a évoqué un cas où un compte e-mail de manager compromis a servi à demander un virement de 23 millions de dollars, exécuté par un collaborateur convaincu d’agir sur instruction légitime. Ces cas soulignent que l’identité ne doit plus être vue comme un simple identifiant, mais comme une donnée à prouver et à contextualiser.
Données RH et responsabilités
Vidya Jungleea, vice-trésorière du CEFCYS, a noté que la DRH est la porte d’entrée naturelle des salariés et une source de données essentielle pour les projets de gestion d’identités numériques. Elle a insisté sur la nécessité d’associer le DPO au projet pour déterminer quelles données doivent être visibles ou masquées.
Souveraineté et choix techniques
La question de la souveraineté numérique est également cruciale, notamment en ce qui concerne le choix des prestataires soumis à des lois extraterritoriales. Il existe une demande croissante pour des solutions européennes, même chez certains clients britanniques, ainsi qu’un retour vers des solutions hébergées sur site ou en mode hybride.
L’organisation des droits
Les intervenants ont également souligné l’importance de l’IAM pour fluidifier les activités. La gestion du cycle de vie des identités permet aux collaborateurs d’être opérationnels dès leurs premiers jours, alors que certaines entreprises mettent encore une à deux semaines à ouvrir tous les accès nécessaires.
Des agents IA à superviser
Un autre point de discussion a été la nécessité de tracer et contrôler les agents IA, qui accèdent à des données sensibles. Frédéric a souligné que la responsabilité doit être clairement définie, notamment en cas d’erreur.
Le projet IAM est donc devenu un enjeu majeur, visant à établir une infrastructure de confiance pour réduire les risques et les responsabilités, en particulier face aux fraudes. La gouvernance des données et le suivi des missions attribuées à chacun sont des éléments clés pour son succès.
Source : DCloud News
