Zero Standing Access : limiter les accès selon le contexte et l’usage en temps réel

Cybersécurité Administrateur IT/Réseau
Cybersécurité Administrateur IT/Réseau

Temps de lecture : 4 minutes

Publié le 5 mai 2020

Avec l’arrivée du cloud computing et de ses services par milliers, gérer les rôles et les habilitations des utilisateurs peut devenir un vrai casse-tête pour les entreprises. Grâce au Zero Standing Access (ZSA), il est possible d’ouvrir des accès au bon moment à la bonne personne et à la bonne ressource, le tout de façon automatique et en temps réel ! Explications.

Télétravail, nomadisme, applications en Saas, les collaborateurs des temps modernes entrent et sortent du système d’information de leur entreprise comme bon leur semble et à longueur de journée. Impossible de surveiller ces allées et venues manuellement pour les responsables informatiques ! D’autant plus que la sphère de contrôle s’étend au-delà des murs de l’entreprise. Gros consommateurs de services cloud, les métiers utilisent de nombreuses applications que les administrateurs doivent contrôler. Un problème majeur ! On sait que 81% des fuites de données informatiques viennent de connexions frauduleuses via des usurpations d’identité. Il fallait réagir vite.

Livre Blanc

Transformation numérique : la défense et le renseignement

Les opérations militaires et de renseignement adoptent facilement la transformation numérique pour améliorer leur préparation, moderniser leur environnement de travail et renforcer la collaboration.

Télécharger le livre blanc

Qu’est-ce que le Zero Standing Access (ZSA) ?

Pour le marché du logiciel, le défi était de trouver une solution non seulement en mesure de suivre le même rythme mais également d’apporter des réponses élaborées. Notamment via le recours au machine learning et à la mise en place d’accès dits conditionnels. On parle aussi parfois d’approche de moindre privilège ou plus communément de Zero Standing Access (ZSA). « Avec la solution identity as a service inclus dans Azur Active Directory, on peut appliquer un contrôle très fin en utilisant l’identité comme clé de voûte », explique Yann Duchenne, expert cybersécurité et ingénieur avant-vente chez Microsoft.

Lire aussi Cybersécurité, 7 termes à connaître pour épater votre DSI

La gestion des identités au cœur de l’action

L’approche de moindre privilège permet de réduire au maximum les chances de voir un utilisateur accéder à des ressources inappropriées en utilisant la gestion des identités. Qu’il se trouve hors des locaux, dans un cybercafé, à son domicile ou dans une chambre d’hôtel, le collaborateur n’aura accès qu’à certaines ressources de l’entreprise et pendant une durée déterminée. Le même principe s’applique aux administrateurs réseaux dotés, eux, de droits étendus aux systèmes d’information. L’idée, cette fois, est de s’assurer que leurs privilèges sont affectés en fonction des opérations qu’ils doivent mener. Prenons l’exemple d’un technicien devant intervenir sur un incident et obligé d’accéder aux données d’un utilisateur. Par défaut, il ne peut pas. Il devra demander une élévation de ses privilèges et n’aura accès au contexte du client que pour une période limitée et, dans certains cas, après avoir reçu l’approbation de son supérieur hiérarchique.

Lire aussi Cybersécurité, où en est la menace ?

L’IA pour définir les niveaux de risques

Par défaut, lorsqu’un utilisateur démarre un service cloud, il peut accéder à tout et depuis où il veut. Une fois activé, le module de sécurité évalue toutes les demandes d’accès en temps réel. Dans quel contexte sommes-nous ? De quel appareil et de qui s’agit-il ? Pour décider ensuite d’y donner ou non l’accès et le cas échéant d’appliquer des mesures de renforcement de connexion (par exemple, une authentification multifacteur). « Il est même possible de monitorer ou restreinde ce qu’on autorise l’utilisateur à faire », ajoute Yann Duchenne.

Pour plus d’efficacité, Microsoft Intelligent Security Graph agrège les signaux de l’ensemble des services cloud et recourt au machine learning pour délivrer un scoring de risque (low, medium ou high) à partir d’une vue unique de ce qui se passe sur internet en termes de menaces. Ouverture d’un mail considéré comme potentiellement dangereux ; connexion depuis un réseau Tor ; accès à partir d’une adresse appartenant potentiellement à un réseau d’attaquants ; demande de connexion qui vient d’un PC infecté ; etc.  « Prenons le cas d’un utilisateur qui se connecte à son réseau d’entreprise depuis son domicile en France et qui, dans l’heure qui suit, se connecte depuis la Chine. On parle alors de voyage impossible », illustre Yann Duchenne. Face à cette improbabilité, le module s’ajuste dynamiquement et restreint automatiquement la demande d’accès chinoise.

Lire aussi   Sécurité : cloud et IA, vos meilleurs alliés

Webinar

Améliorez la sécurité de vos PC dans le Cloud avec Windows

76% des décideurs IT en charge de PC et technologies prévoient d’augmenter les investissements au cours des deux prochaines années dont 36 % s’attendent à un double investissement.

Je m’inscris

Un service à mettre entre toutes les mains

Ces services font partie de la plateforme Azure et un grand groupe du CAC40 comme une TPE peuvent l’utiliser. Faciles à configurer, ils ne sont plus réservés aux seules entreprises dotées de compétences informatiques robustes. C’est avant tout une question organisationnelle. Il suffit de faire l’inventaire des services et accès nécessaires au bon fonctionnement de l’entreprise, de définir des règles d’usage et d’y associer des rôles. Vient enfin la détermination des habilitations et de leur cycle de vie en vue d’être gérés dynamiquement par la suite. Les autorisations peuvent être délivrées par le service informatique ou par des responsables d’équipe. Une façon de décentraliser la sécurité et de rendre l’entreprise plus agile. Le bon accès, à la bonne ressource, sur la bonne durée et pour la bonne raison. De façon dynamique, en temps réel et sans l’intervention d’un humain obligé de valider les accès à chaque besoin. Dans des petites boutiques par exemple, c’est tout simplement le responsable qui gère les habilitations.
Lire aussi Quels sont les nouveaux défis de la cyberécurité ?

A la une

Business decision maker (BDM) using mobile phone to complete multi-factor authentication to prepare to work from home.
Cybersécurité PME-TPE
Cybersécurité PME-TPE

Enjeux de cybersécurité : AXA & Microsoft par Réseau Entreprendre

L’essor de la digitalisation des entreprises expose de plus en plus les entreprises aux risques cyber trop souvent sous-estimés par les entrepreneurs. Dans le cadre de son partenariat avec Microsoft et AXA France, Réseau Entreprendre a demandé à Philippe Limantour, Directeur Technologique et Cybersécurité chez Microsoft et Thierry Piton, Souscripteur Expert Cyber Risques chez AXA France, de […]

Lire l'article
Nous pouvons voir deux immeubles différents.
Cloud
Cloud

Avanade et Accenture: Innover pour transformer l’industrie

L’innovation est au cœur de l’industrie, et l’industrie est le fer de lance de l’innovation. C’est en tout cas dans cet état d’esprit qu’Accenture/Avanade, accompagne la transformation de ses clients. Laurent Curny, Directeur Général d’Avanade France, Belgique et Pays-Bas, Franck Joudiou, Managing Director AMBG (Accenture Microsoft Business Group) France au sein d’Accenture, Jean-Pierre Riehl, Directeur […]

Lire l'article
Voir tous les articles Lire tout les articles