A quand la convergence IDaaS, CASB et EMM pour la sécurité des accès aux systèmes d’information ?

de | 14 octobre 2017

Trois grandes technologies, à savoir l’IDaaS, le CASB et l’EMM, se généralisent pour la sécurité des accès aux systèmes d’information, notamment à travers des terminaux mobiles de type smartphone et tablette. Leur intégration dans les usages mobiles n’est pas encore transparente pour l’expérience utilisateur… voire, même dans certains cas, dans l’amélioration de la sécurité du système d’information. Probablement, que certaines solutions du marché sont plus intégrées que d’autres, cet article a pour objectif de traiter la problématique de l’usage des trois technologies et leur mise en oeuvre dans le système d’information de manière globale.

Petit rappel des principales fonctionnalités proposées par ces technologies :

  • L’IDaaS (IDentity as a Service) pour la gestion des identités et des accès ainsi que l’authentification unique au système d’information depuis en mode SaaS (Service as a Service) dans le cloud :
    • Gouvernance des identités et des accès
      • Gestion du cycle de vie des identités qui inclus l’enrôlement manuel ;
      • Demande d’accès ;
      • Workflow de validation des demandes qui inclus la délégation ;
      • Gestion des rôles et les politiques des accès ;
      • Création ;
      • Self-Service (gestion et réinitialisation du mot de passe) ;
      • Portail utilisateur.
    • Renforcement des accès
      • Contrôle des accès : authentification et autorisation d’accès depuis un point central (le fournisseur d’identité) ;
      • Authentification multi facteurs (MFA) ;
      • Propagation de l’identité et des attributs de l’utilisateur dans les applications dans le Cloud ou on-premises.
    • Fonctions analytiques :
      • Audit ;
      • Monitoring de l’activité des utilisateurs ;
      • Reporting de conformité.
  • Le CASB (Cloud Access Security Broker) pour la sécurisation des accès des collaborateurs de l’organisation aux services dans le cloud  :
    • Visibilité des usages dans le cloud : pour répondre à qui accède à quoi et quand ;
    • Gestion des accès : pour répondre à la question qui accède à quoi ;
    • Protection des données : pour le filtrage des données avant qu’elles ne soient traitées et stockées dans les services dans le cloud. Il s’agit de mettre en place de fonctions de protection contre la fuite de données ou encore destinées à la conformité réglementaire ;
    • Chiffrement des données : pour assurer la confidentialité des données stockées dans les services dans le cloud si celui-ci ne propose pas de chiffrement ou encore lorsque le chiffrement n’est pas suffisant au regard de la sensibilité des données stockées. Le chiffrement peut également être nécessaire pour de la conformité réglementaire.
  • L’EMM (Enterprise Mobile Management) pour la gestion des flottes de mobiles et des tablettes de l’organisation avec notamment la vérification de la conformité du terminal et la sécurité des communications. Cette technologie commence à s’étendre pour adresser également les ordinateurs portables.
    • Mobile Device Management (MDM) : qui permet la gestion de la flotte mobile :
      • Gestion d’inventaire ;
      • Durcissement du terminal ;
      • Mise à jour du terminal ;
      • Sauvegarde et restauration ;
      • Blocage et effacement à distance en cas de vol ou perte du terminal.
    • Mobile Application Management (MAM) :
      • App store d’applications proposées par l’organisation ;
      • Mise à jour des applications ;
      • Authentification de l’utilisateur.
    • Mobile Content Management (MCM) :
      • Accès et modification de données non structurées de l’organisation, notamment les documents stockés dans les ressources partagées
      • Gestion de la synchronisation des données (priorité, bande passante, type de terminal, etc.)
      • Chiffrement des données

La promesse de ces solutions en terme de sécurité des usages autour des terminaux mobiles est probablement alléchantes… prise unitairement. Le cauchemar commence lorsqu’il est nécessaire de les intégrer dans le contexte de l’organisation. L’objectif de cette intégration est de : “permettre l’accès fluide au système d’information de l’organisation à un utilisateur identifié sur un terminal maîtrisé et uniquement aux applications et données auxquelles il a le droit, applications et données qui peuvent être hébergées et sécurisées on-premises ou/et dans le cloud”

La réalité de l’intégration est tout autre : la mise en oeuvre de ces technologies, lorsqu’elle aboutit, n’est pas au rendez-vous de l’expérience utilisateur et la sécurité globale du système d’information, un comble puisqu’elles sont sensées répondre à ces deux problématiques.

Sur l’expérience utilisateur :

  • L’utilisateur doit saisir un code pin renforcé pour ouvrir son terminal ;
  • Il doit saisir un mot de passe pour ouvrir sa messagerie ;
  • Il doit (re)saisir son mot de passe pour utiliser l’application interne x voire (re)(re)saisir son mot de passe lorsqu’il accède à une autre application de l’organisation ;
  • Il doit (re)(re)saisir un autre mot de passe pour accéder à une application dans le cloud… lorsqu’il n’a pas le message “cette application n’est pas optimisée pour votre terminal” ;
  • ….

… utilisateur qui pointera du doigt la fonction sécurité de SI de l’organisation en l’accusant de d’empiler les couches de sécurité pour rien.

Sur la sécurité du système d’information :

La complexité intrinsèque de l’architecture du système, j’entends :

  • par système : la solution ”intégrée” des trois technologies pour répondre aux enjeux de sécurité des usages des terminaux mobiles qui devient complexe ;
  • Par complexité : le syndrome usine à gaz de l’architecture du système composé des trois technologies.

Cette complexité qui rend toute nouvelle évolution quasi-impossible voire même introduit des failles, car dans certains cas, il est nécessaire de désactiver certaines fonctions de sécurité pour pouvoir faire “parler” ces technologies entres elles.

Par ailleurs, chaque technologie doit être gérée de manière indépendante et notamment au niveau des droits. Cette approche très verticalisée est propice :

  • À l’erreur qui permettrait à un utilisateur de disposer de plus d’autorisations que celles auxquelles il doit disposer ;
  • À L’incohérence des droits entre les usages de l’utilisateur lorsqu’il se connecte au système d’information depuis le réseau interne ou depuis le réseau externe en utilisant son terminal mobile ;
  • Au rallongement du temps d’ouverture des services… car évidemment ces technologies sont gérées par différentes équipes dans l’organisation.

L’IDaaS pouvant gérer les droits dans les différentes technologies… ce qui participe la complexité du système.

Par ailleurs, dans le cas d’une mauvaise intégration entre le CASB et l’EMM, un utilisateur peut accéder aux ressources dans le cloud depuis un terminal maîtrisé potentiellement corrompu, ou encore depuis un terminal  non-maîtrisé, et qui conduirai au vol ou, pire, à la perte des données accédées.

Dans un scénario de convergence de ces trois technologies, l’ensemble du système doit être géré de manière centrale. L’enrôlement du terminal d’un utilisateur, doit automatiquement lui permettent l’attribution de ses droits à partir de son rôle dans l’organisation. Par ailleurs, l’utilisateur doit disposer d’un guichet unique pour son authentification et la validation de l’utilisation de son terminal pour l’accès aux services auxquels il est autorisé (cette approche est désignée par Identity Relationship Management). Par ailleurs, cette convergence sera un levier pour la mise en place du contrôle d’accès adaptatif qui permet d’ajuster les autorisations d’accès d’un utilisateur en fonction de sa localisation, le type de terminal qu’il utilise, son profil et la sensibilité de l’application accédée.

Ceci pour dire que la convergence de ces technologies est nécessaire afin de maîtriser la sécurité des usages mobiles, de proposer une expérience utilisateur fluide dans le système d’information, voire même appuyer la transition numérique des organisation en simplifiant et en accélérant le déploiement des usages sur ces équipements.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *