Les DSI ambitionnent souvent de pouvoir accorder à leurs utilisateurs le libre accès dont ils ont besoin sans pâtir des mesures de sécurité supplémentaires imposées pour assurer la protection du réseau et des données de l’entreprise. Ces politiques poussent en effet les employés à contourner les procédures de sécurité imposées pour ne pas ralentir leur productivité. Selon une récente étude internationale de Dell, 91 % des employés ont constaté que les mesures de sécurité mises en place par leur employeur nuisent à leur productivité et près de 70 % des professionnels IT considèrent que les mesures de contournement suivies par les salariés, pour s’affranchir des obligations de sécurité IT, exposent leur entreprise à des risques majeurs.

Dans l’actuel contexte professionnel, marqué par la flexibilité des conditions de travail et la multiplication des types de terminaux utilisés, les DSI doivent faire face à des défis en perpétuelle évolution. Le temps où les différents salariés recevaient un identifiant et un mot de passe pour chaque application et chaque source de données est révolu. Ces méthodes d’authentification ne suffisent plus à garantir la sécurité des entreprises. Les équipes IT doivent s’assurer que les utilisateurs se soumettent aux règles de sécurité imposées, mais aussi veiller à ce que ces mesures ne pénalisent pas l’efficacité des collaborateurs. Pour cela, il faut une infrastructure capable d’interpréter la requête dans son contexte et d’explorer les facteurs externes : qui formule la requête, quelle est la nature de cette requête, d’où émane-t-elle, à quelle heure est-elle intervenue, etc.

La sécurité IT repose sur une théorie pieuse qui veut que seuls les utilisateurs autorisés puissent accéder aux systèmes et données dont ils ont besoin pour travailler et qu’aucun usage abusif des accès ne soit permis. Une fois l’accès accordé, il est important de s’assurer qu’il en est fait bon usage. Dans la pratique, la sécurité relève toutefois d’un processus statique incarné par des administrateurs IT qui préfèrent dire « non », bloquer les accès et ériger des barrières entre les utilisateurs et les ressources dont ils ont besoin, en multipliant les mots de passe et les protocoles d’accès.

Si les processus courants de gestion des accès entravent la productivité des salariés et les obligent souvent à trouver des solutions alternatives, quitte à exposer leur organisation à des risques accrus, l’étude Dell sur la sécurité révèle que 97 % des professionnels IT sont certains qu’en remplaçant les processus de contrôle d’accès statiques traditionnels par une approche de sécurité contextuelle, les employés deviendraient plus productifs sans compromettre la sécurité de l’entreprise.

Les risques pour la protection et la réputation des organisations, de vol par exemple, font que la sécurité est devenue une cible mouvante. La prolifération des terminaux mobiles et l’émergence d’attaques toujours plus sophistiquées incitent les entreprises à étendre leur périmètre de sécurité et à déployer une approche plus contextuelle (ou adaptative) qui soutient la productivité tout en encadrant les autorisations d’accès aux actifs de l’organisation selon les règles établies. Cette approche facilite l’évaluation en temps réel des facteurs externes qui entourent chaque demande d’accès au réseau.

L’évaluation du risque :
Dans le cadre d’un modèle contextuel, une technologie SAE (Security Analytics Engine) évalue le niveau de risque en fonction de multiples facteurs, ou contextes, liés à la demande d’accès de l’utilisateur :

• Navigateur : y compris l’analyse d’historique de tout navigateur utilisé qui dénote une anomalie par rapport au comportement normal de l’utilisateur ;
• Habitudes géographiques : le système peut détecter les demandes d’accès émanant d’un lieu anormal ;
• Lieux spécifiques : le système peut bloquer les accès dont la demande provient d’emplacements spécifiques ou de secteurs géographiques connus pour être une source d’activité malveillante ;
• Horaire : le système détecte toute demande d’accès intervenant en dehors des horaires et des jours ouvrés habituels de l’utilisateur ;
• Blacklist : liste noire de réseaux ou d’adresses réseau dont les demandes d’accès sont systématiquement refusées ;
• Comportement typique : le système adapte les critères de sécurité en fonction du comportement normal de l’utilisateur, si une demande d’accès sort de la norme, la sécurité peut être adaptée pour réduire le risque.

La technologie SAE pondère les critères de la demande d’accès (qui, où, quoi, comment et pourquoi) d’après les besoins de l’organisation, les populations d’utilisateurs, les menaces, les pratiques, les applications et l’infrastructure. Elle produit ensuite un rapport sur le niveau de risque total pour guider les ajustements en temps réel et recommander la bonne configuration de sécurité à chaque situation. 

L’approche de sécurité statique, basée sur des facteurs de sécurité isolés, ne convient plus au paysage de la sécurité des entreprises du 21ème siècle. Une approche contextuelle de la sécurité permet de protéger l’entreprise sans les lourdes contraintes d’authentification par des mots de passe imposées aux utilisateurs. La sécurité s’en trouve nettement renforcée et les collaborateurs sont plus productifs.