Le laxisme reste de mise en matière de gestion des identités et des accès dans les entreprises

Gratuit
Recevez toutes nos informations et actualités par Email.
Entrez votre adresse email :

One Identity, spécialiste de la gestion des identités et des accès, livre les résultats d’une enquête qui met en évidence l’incapacité des entreprises à mettre en place les bonnes pratiques élémentaires en matière d’IAM et de PAM (gestion des accès à privilèges). Ce qui les expose à des risques en matière de sécurité.

Cette étude ‘Évaluation de la gestion des identités et des accès en 2018” réalisée par Dimensional Research révèle qu’un tiers des entreprises emploie des méthodes manuelles ou des fichiers de calcul pour gérer les informations d’identification de leurs comptes à privilèges. L’étude montre également que les pratiques relatives aux comptes à privilèges manquent de rigueur, ce dont les équipes de sécurité informatique sont parfaitement conscientes.

Outre les 31 % d’entreprises qui s’appuient sur des méthodes manuelles pour gérer les comptes administrateur, il y a plus étonnant encore : en effet, 1 entreprise sur 25 ne gère pas du tout les comptes de ce type. 66 % d’entre elles permettent donc à leurs partenaires, sous-traitants ou fournisseurs d’accéder à un compte à privilèges. Et ce n’est pas tout, puisque 75 % avouent que les professionnels de la sécurité partagent des mots de passe privilégiés avec leurs homologues au moins de temps à autre. Pour 1 entreprise sur 4, c’est même souvent, voire toujours, le cas.

Les pratiques inefficaces de gestion des comptes administrateur et le partage imprudent de leur mot de passe mettent en évidence des lacunes considérables dans les programmes de PAM à tous les niveaux. Pire, les professionnels de la sécurité informatique semblent avoir conscience de ces défauts. Ainsi, seulement 13 % des sondés ont pleinement confiance dans leurs programmes de PAM et 22 % n’ont aucune confiance dans ceux-ci.

30 minutes pour changer un mot de passe
Les entreprises ne surveillent pas assez les tâches et responsabilités élémentaires en matière d’accès, ce qui influe potentiellement sur la productivité des utilisateurs. Si 68 % des mots de passe des utilisateurs nécessitent au moins cinq minutes pour être réinitialisés, dans près d’1 cas sur 10 (9 %), l’opération prend plus de 30 minutes. Ce qui constitue un frein considérable à la productivité du personnel. S’agissant du provisionnement des nouveaux utilisateurs, 44 % des entreprises ont besoin de plusieurs jours, voire semaines, pour leur fournir un accès à l’ensemble des applications et systèmes nécessaires.

Pire encore, pour 32 % des services informatiques, le délai est comparable pour supprimer les droits d’accès à ces applications et systèmes, et 20 % n’ont aucun moyen de vérifier la suppression complète de ces droits. Si la majorité des participants jugent excellents ou corrects les différents aspects de leur programme de contrôle des accès, seulement 15 % sont totalement convaincus d’être à l’abri d’un piratage dû à un problème dans ce domaine.

Principale inquiétude pour les professionnels: le partage de données sensibles par des collaborateurs mécontents
Concernant la principale inquiétude en matière d’IAM, la réponse la plus fréquente (27 %) est le partage de données sensibles par un collaborateur mécontent, suivi d’une interview télévisée du DSI à la suite d’une faille de données provoquée par un problème d’IAM (22 %), et de la publication de noms d’utilisateur et mots de passe sur le Dark web (18 %). De manière ironique, près de 8 professionnels sur 10 (77 %) admettent qu’il serait aisé pour eux de dérober des informations sensibles s’ils quittaient l’entreprise, et 12 % se déclarent même prêts à passer à l’acte s’ils le jugeaient mérité.

“Ces pratiques font peser un risque considérable et bien réel sur l’entreprise, indique Julien Cassignol. Dès lors, le manque généralisé de confiance dans l’efficacité des programmes d’IAM et de PAM n’a rien d’étonnant”.

On ne peut qu’espérer que cette étude serve de signal d’alarme aux entreprises. Celles-ci doivent, en effet, faire en sorte de garantir, de gérer et de protéger des accès adéquats dans tous les services, pour tous les types d’utilisateurs – internes et externes, privilégiés ou non.

source: Infodsi
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »
  • »