L'identité, le "parent pauvre" de la cybersécurité doit être pris au sérieux

Dans une stratégie complète de protection, l'identité devrait être considérée comme un "premier pilier" essentiel, car il s'agit de la porte la plus utilisée à protéger.

Les enjeux et les défis de la cybersécurité ne cessent de croître et de se complexifier, ce n'est pas un scoop. Aussi, il est intéressant de noter à quel point le sujet s'est cloisonné au fil des années. Toute l’attention (et les investissements) sont aujourd’hui concentrés autour des attaques et de la restauration des données, avant même de penser aux barrières qui pourraient les faire échouer. Dans une stratégie complète de protection, l'identité devrait être considérée comme un « premier pilier » essentiel, car il s'agit de la porte la plus utilisée à protéger, avant même que le système ne puisse se défendre. A l’inverse de ces pré-requis, les politiques d'identité actuelles sont souvent déployées sur la base d'hypothèses et non de technologies ou d'une réelle expertise en la matière.

Un manque de moyens pour bien comprendre le sujet

Selon une récente étude menée par IPSOS auprès des entreprises françaises, seules 28% d'entre elles se considèrent matures sur le sujet de la gestion des identités et des accès (IAM), et une grande partie des répondants travaillent pour de grandes entreprises (environ 60%). Classée à la sixième position en termes de priorités d'investissement, après les blocs défensifs massifs tels que les firewalls et les sauvegardes, l'IAM n'est pas du tout prioritaire, témoignant d'un cruel manque de cybermaturité. L'éducation et l'information sur le sujet aujourd’hui encore trop peu démocratisées, notamment dans les discussions médiatiques, en comparaison par exemple des investissements réalisés en matière de détection et de défense contre les attaques (les pare-feu sont la première catégorie d'investissement (plus de 24% des répondants), suivis par les systèmes de sauvegarde à la seconde place).

La pénurie de professionnels chevronnés dans le domaine de l'identité est l'une des principales raisons pour lesquelles l'IAM ou la gestion de l'identité et de l'accès des clients n'est pas pleinement considérée comme une priorité par les entreprises. Mais il s'agit également d'un défi pour l'ensemble de la cybercommunauté, car nous continuons tous à nous battre pour trouver et conserver des talents. Bien que le facteur humain soit clairement un facteur aggravant, il ne devrait pas être la réponse choisie, car ce discours contribue largement à ne pas en faire une priorité. Et cela est principalement dû à un manque de sensibilisation et de visibilité de l'importance de l'identité dans la cyberprotection.

Un manque de visibilité et d'éducation

L'éducation et la sensibilisation sont essentielles pour comprendre les cyber-risques, ce qui a été largement démontré au cours des deux dernières années - de même que pour la sensibilisation générale aux différents types de menaces ciblant les consommateurs et les entreprises, la protection et la gestion de l'identité devraient être davantage mises en évidence en tant que première barrière pour prévenir les violations et les cyber-attaques. Mais si l'on considère les politiques de sensibilisation à la cybersécurité, la première étape est l'identification des courriels d'hameçonnage. La protection des mots de passe et les politiques en la matière ne viennent que bien plus tard, malgré le nombre de classements annuels qui révèlent que le grand public utilise encore des informations de connexion obsolètes ou responsables.

Ce travail d'éducation se développe, avec l'aide d'entreprises privées et d'entités publiques comme l'ANSSI, d'abord en expliquant quels types de failles se produisent et combien elles sont nombreuses, ainsi qu'en fournissant des orientations et des conseils sur la manière de se protéger. Mais la sensibilisation générale ne suffit pas et un décryptage plus régulier, des normes industrielles et une collaboration, ainsi qu'un appel à la protection des informations de connexion semblent essentiels pour mettre fin aux stratégies de mots de passe bricolés et faibles.

Vers plus de maturité...

La maturité viendra avec la croissance du marché - selon des études de marché récentes, on s'attend à ce qu'il augmente de 9% d'ici 2028, ce qui semble être un ralentissement dans l'évolution de la croissance mais ne reflète pas du tout la réalité du marché, en particulier en France où le “fait-maison” est encore particulièrement courant. Pour la plupart des entreprises en France, l'identité est aujourd’hui souvent embarquée dans des parcours de transformation cyber plus importants ou dans le déploiement d'une nouvelle infrastructure informatique, comme une brique supplémentaire. Certains secteurs clés tels que le e-commerce ou le streaming vidéo, où la protection des identifiants est au cœur de la réussite de l'entreprise, commencent seulement à revoir leurs pratiques en matière d'accès et d'identité. Cela met réellement en évidence le niveau de maturité actuel des entreprises françaises.

Le dernier élément clé pour faire de l'identité un sujet essentiel est bien sûr la réglementation, et en particulier le très attendu cadre NIS2, dans lequel la gestion des identités joue un rôle important dans la conformité à la cyberprotection. Bien que la mise en conformité réglementaire NIS2 ne soit pas encore complètement requise, seules 24 % des entreprises françaises déclarent être en conformité selon l'enquête IPSOS. Cette enquête illustre la réalité décrite dans cet article : les entreprises françaises manquent de connaissances (malgré les nombreuses discussions dans les médias), de ressources et de temps. 

Verrons-nous le jour où l’identité sera un pan compris et protégé par tous ? C’est un oui, mais le délai reste indéterminé. La sensibilisation et la réglementation doivent être massives pour mieux l’appréhender.