Si 96 % des professionnels de la sécurité informatique jugent les identités machines essentielles à la sécurité et à la viabilité de leurs entreprises, rares sont ceux qui disposent de moyens pour les protéger. Venafi, éditeur de solutions axées sur la protection des identités machines, annonce aujourd’hui publics les résultats de l’étude Securing The Enterprise With Machine Identity Protection menée pour son compte par Forrester Consulting en juin 2018. Centrée sur les difficultés posées par la protection des identités machines en entreprise, cette étude s’appuie sur les réponses apportées par 350 professionnels confirmés de la sécurité informatique en charge de la gestion des identités et des accès dans leurs établissements, basés aux États-Unis, au Royaume-Uni, en Allemagne, en France et en Australie.
Premier enseignement fort, 96 % des entreprises jugent aussi essentielle la protection efficace des machines que des identités machines pour leur sécurité et leur viabilité à long terme. Or, 80 % des professionnels interrogés éprouvent des difficultés à mettre en place des outils importants pour la protection de ces identités machines.
« Il est choquant de constater qu’autant d’entreprises ne mesurent pas l’importance que représente la protection de leurs identités machines », observe Jeff Hudson, CEO de Venafi. « Nous avons dépensé plusieurs milliards de dollars dans la protection des noms d’utilisateur et des mots de passe, mais pratiquement rien dans celle des clés et certificats utilisés par les machines pour s’identifier et s’authentifier. Le nombre de machines sur les réseaux d’entreprise monte en flèche, et la plupart des établissements n’ont investi ni dans la veille ni dans l’automatisation nécessaires à la protection de ces ressources de sécurité stratégiques. Les pirates, qui ne l’ignorent pas, les prennent volontiers pour cibles car ces ressources se révèlent incroyablement précieuses sur un large éventail de cyberattaques. »
Globalement, l’enquête montre que 47 % des professionnels interrogés estiment que la protection des identités machines et celle des identités humaines seront tout aussi importantes dans leurs entreprises au cours des 12 à 24 prochains mois ; ils sont pratiquement autant (43 %) à penser que la protection des identités machines revêtira davantage d’importance. 70 % des professionnels admettent localiser moins de la moitié des identités machines les plus courantes sur leurs réseaux. Interrogés sur le type d’identités machines ainsi pistées ; à peine 56 % citent celles d’instances de plates-formes cloud ; seulement 49 % désignent celles d’appareils mobiles ; 49 % mentionnent celles de serveurs physiques ; 29 % évoquent celles de clés SSH, 25 % citent les identités machines de microservices et containers.
D’autre part, 61 % affirment que leur plus grande crainte, au regard d’une gestion médiocre de la protection des identités machines, a trait aux pertes ou fuites de données internes.
La gestion des identités des utilisateurs et des machines, ainsi que des privilèges d’accès octroyés sur des données et applications professionnelles, constitue une gigantesque opération présentant des ramifications complexes en termes de sécurité. Depuis toujours, les programmes de gestion des identités et des accès (Identity and Access Management, IAM) se cristallisent sur l’individu, mais récemment, la multiplication du nombre de machines sur les réseaux d’entreprise, les évolutions technologiques et les nouvelles capacités de calcul ont soulevé toute une série de difficultés exigeant de se recentrer sur la protection des identités machines.
Méthodologie : il s’agit de l’extrait de l’étude Sécurine The Enterprise With Machine Identity Protection réalisée par Forrester Consulting, en juin 2018: « Les nouvelles technologies, telles que le cloud et la containerisation, ont élargi la définition de la notion de machine à un large éventail de logiciels émulant des machines physiques. De plus, ces technologies sont à l’origine d’une déferlante de machines nouvelles, en rapide évolution, sur les réseaux d’entreprise. Pour gérer et protéger efficacement les identités machines, les entreprises requièrent une totale visibilité sur l’ensemble des identités machines à l’échelle de leurs réseaux, une veille exploitable pour chacune d’elle, et les moyens de mettre en œuvre cette veille rapidement et à grande échelle. »
