Le paysage de la cybersécurité continue d’évoluer et de changer. Un segment que j’ai suivi est celui de l’identité, car il est devenu la pierre angulaire de la sécurité en raison de la nécessité d’une authentification et d’une gestion des accès robustes dans un monde numérique de plus en plus interconnecté. Alors que les organisations s’appuient davantage sur les plateformes numériques, il est essentiel de garantir que seuls les utilisateurs autorisés puissent accéder aux données et aux systèmes sensibles.
Alors que confiance zéro, segmentationet d’autres outils avancés peuvent aider, mais ils ne résolvent pas les problèmes liés au phishing, au vol d’identité et au credential stuffing. Les organisations peuvent réduire considérablement le risque d’accès non autorisé et de violations de données en mettant en œuvre des processus rigoureux de vérification d’identité, une authentification multifacteur et une surveillance en temps réel.
L’annonce récente des nouvelles normes de sécurité des identités, des intégrations et des outils basés sur l’IA d’Okta peut améliorer la sécurité et réduire la complexité opérationnelle de l’entreprise. Au récent Oktané événement, la conférence d’identité de l’entreprise, Todd McKinnon, PDG et co-fondateur de Oktaa discuté de l’annonce et a commencé par examiner l’importance croissante de l’identité dans la sécurité.
« L’identité, c’est qui vous êtes », a-t-il déclaré. « C’est votre reflet dans le monde, tant sur le plan personnel que professionnel. C’est le point d’entrée du monde numérique : il détermine à quoi et quand vous pouvez y accéder. C’est quelque chose qui peut rendre les organisations plus productives. Cela peut rendre chaque interaction avec la technologie plus rapide, plus intelligente et plus sécurisée.
Il a ensuite dit qu’il y avait quelque chose de plus substantiel. « Même si l’identité peut être une puissante force bénéfique, elle est également attaquée », a-t-il déclaré. « Plus de 80 % des failles de sécurité impliquent une forme d’identité compromise, qu’il s’agisse de la compromission initiale ou de la manière dont la menace se déplace latéralement. »
C’est le défi auquel les professionnels de la sécurité sont confrontés depuis des années. Même s’il existe de nombreux bons outils d’identification, le manque de standardisation a laissé de grandes lacunes dans la protection contre les menaces, et c’est le défi qu’Okta tente de résoudre.
Un nouvel acronyme pour normaliser les protocoles de sécurité SaaS d’entreprise
Dans cet esprit, l’un des éléments essentiels de la dernière annonce d’Okta est l’introduction d’une nouvelle norme. « La norme s’appelle le profil d’interopérabilité pour l’identité sécurisée dans l’entreprise, ou IPSIE », a-t-il déclaré.
IPSIE en tant que norme industrielle ouverte : Okta a développé IPSIE avec le Fondation OpenID et un groupe de travail qui comprend des acteurs majeurs comme Microsoft, Identité Ping, SGNLet Au-delà de l’identité. L’objectif est de créer un cadre standard pour les applications SaaS d’entreprise qui simplifie la gestion de la sécurité pour les développeurs tout en améliorant la sécurité de bout en bout dans les environnements d’entreprise.
IPSIE englobe des protocoles tels que OpenID Connect, le système de gestion des identités inter-domaines et le protocole d’évaluation d’accès continu. Okta espère rationaliser le SSO, la gestion du cycle de vie, l’accès privilégié et le partage d’informations de sécurité sur les plates-formes SaaS en unifiant ces normes.
Outre IPSIE, Okta a annoncé 125 nouvelles intégrations SaaS prédéfinies, des capacités améliorées de gestion des accès privilégiés et de nouveaux outils de gouvernance optimisés par l’IA. Ces outils visent à atténuer les risques liés aux comptes orphelins, au shadow IT et à d’autres risques liés à l’identité. vulnérabilitéspositionnant Okta comme un leader dans la lutte contre la « dette d’identité », c’est-à-dire les risques de sécurité accumulés résultant de pratiques de gestion des identités obsolètes et fragmentées.
Implications sur le marché et l’industrie
Les projets d’Okta sont ambitieux. Cependant, je pense qu’il est crucial d’évaluer les implications plus larges pour le marché de la gestion des identités et des accès (IAM) et pour l’industrie dans son ensemble. Je vois plusieurs problèmes en jeu.
Standardisation et fragmentation dans l’espace de sécurité des identités : La formation du groupe de travail IPSIE reflète une reconnaissance croissante de la fragmentation dans le paysage de la sécurité des identités. De nombreuses organisations sont confrontées à des politiques de sécurité incohérentes sur plusieurs plates-formes SaaS, ce qui entraîne des vulnérabilités et des défis d’intégration.
L’IPSIE se heurte à certains précédents. Historiquement, les tentatives visant à standardiser les protocoles de sécurité sur des plates-formes disparates se sont heurtées à des résistances en raison des différents modèles commerciaux, priorités et niveaux de pouvoir de marché entre les fournisseurs. La volonté d’Okta de travailler avec un écosystème a probablement ralenti son développement, mais elle permettra d’obtenir de meilleurs résultats pour ses clients. Okta a de bonnes chances de succès car il s’agit d’un acteur important et semble bénéficier de la coopération des fournisseurs SaaS, compte tenu des 125 intégrations prenant en charge certains aspects de cette future norme.
Les défis de l’adoption : Les efforts d’Okta pour simplifier la sécurité grâce à des intégrations et des outils de gouvernance prédéfinis s’adressent aux entreprises qui cherchent à réduire les frais opérationnels. Cependant, parvenir à une adoption généralisée de ces outils peut s’avérer difficile. De nombreuses organisations investissent massivement dans leur infrastructure de gestion des identités existante, ce qui rend difficile la justification du coût et des efforts de migration vers un nouveau système, même si celui-ci offre des avantages potentiels en matière de sécurité.
Bien que la promesse de réduire la « dette d’identité » soit séduisante, les organisations peuvent être réticentes à s’appuyer uniquement sur les solutions Okta, en particulier compte tenu de la demande croissante de flexibilité dans la gestion des environnements multi-cloud et hybrides. Le succès d’Okta réside dans la croissance de l’écosystème. C’est un bon départ, mais le temps nous le dira.
Problèmes de concurrence et de verrouillage des fournisseurs : Dans le domaine de la sécurité, la dépendance vis-à-vis d’un fournisseur est la norme depuis des décennies, et les clients peuvent s’en rendre compte grâce à la norme IPSIE d’Okta. Les organisations peuvent hésiter à s’engager pleinement dans l’écosystème d’Okta si elles le perçoivent comme un obstacle potentiel à l’adoption de futures innovations ou à l’intégration à d’autres plateformes d’identité. C’est là que l’entreprise doit continuer à promouvoir le message de liberté de choix et permettre aux clients de faire appel à un large écosystème de partenaires, même s’ils sont concurrents. Lorsque les fournisseurs interagissent, cela crée une marée montante, et c’est bon pour tout le monde.
Gouvernance et gestion des risques basées sur l’IA : L’introduction par Okta d’outils de gouvernance basés sur l’IA, qui analysent les risques d’identité et fournissent des recommandations de remédiation, témoigne de l’importance croissante de l’IA dans la cybersécurité. Même si Okta présente ces outils comme une amélioration significative de la gestion des risques, il existe de la place pour le scepticisme quant à leur efficacité dans la pratique.
Les solutions basées sur l’IA ont un potentiel incroyable, mais elles ont leurs limites. Ils dépendent fortement de la qualité des données sous-jacentes et, dans les environnements où les données d’identité sont fragmentées ou incomplètes, les outils basés sur l’IA peuvent avoir du mal à fournir des informations précises ou exploitables. Les organisations qui adoptent ces outils devraient tester les solutions dans leur propre environnement, car c’est le seul véritable moyen de mesurer l’efficacité.
Quelques dernières réflexions
Les annonces faites lors d’Oktane 2024 reflètent l’ambition d’Okta de devenir leader sur le marché de la sécurité des identités en relevant des défis critiques tels que la fragmentation des identités, les frais opérationnels et les menaces émergentes. Toutefois, les implications commerciales de ces innovations sont complexes. Même si le leadership d’Okta dans la normalisation des protocoles de sécurité des identités pourrait contribuer à réduire la fragmentation, le succès de l’IPSIE et d’autres initiatives dépendra d’une coopération industrielle plus large et de son adoption par le marché.
La bonne nouvelle est qu’Okta semble être « à fond » en matière d’ouverture : l’entreprise compte actuellement plus de 7 000 intégrations qui permettent aux entreprises de choisir leur propre pile technologique et de disposer de services d’identité parmi les centaines de fournisseurs qu’elles utilisent. Cela contraste fortement avec Microsoft, où le niveau de licence E5 est conçu pour vous enfermer dans tout ce qui est Microsoft. On pourrait affirmer que cette approche fonctionne parce que Microsoft est une norme « de facto », mais ce n’est pas la même chose qu’une norme industrielle. Cette dernière demande plus de travail mais présente de meilleurs avantages à long terme pour les clients.
Zeus Kerravala est le fondateur et analyste principal de ZK Research. Lisez ses autres articles sur l’informatique en réseau ici.