Voici un article que j'aurais dû publier l'an dernier, en effet Whitehall Media m'avait invité à l'événement de 2022, mais n'ayant pas pris de notes, je n’ai pas pu proposer un retour d'expérience sur le sujet.
Initialement je pensais que ce type de conférence était centré sur des retours d'expériences d'entreprises clientes de solutions autour des sujets IAM (Identity Access Management), PIM (Privileged Identity Management), PAM (Privileged Access Management), mais il s'avère que les intervenants sont relativement hétéroclites puisque l'on y retrouve des acteurs du marché de l'Identity Management, tels que PingIdentity, Okta, BeyondTrust, SailPoint ainsi que des acteurs provenant d'autres domaines, tels que ABN AMRO Bank, les laboratoires ROCHE, Vodafone (cette année) ou Swisscom, Jumbo Supermarket ou Firmenich (l'an dernier).
Allons-nous penser gestion des identités interne pour définir notre gestion des clients ?
Voici l'approche de Bruno Falcao des Laboratoires Roche sur l'implémentation d'une solution de Customer Identity and Access Management : ne pas aborder l'expérience client de la même manière que celle des employés. Durant son intervention, il a pris en exemple deux cas assez différents l'un de l'autre :
- Celui de Patricia, probablement très jeune et au courant de ce que peut être le mécanisme d'authentification MFA, avec un téléphone fourni par l'entreprise.
- Celui du Docteur Hans Fritz, certainement plus très jeune, avec un téléphone relativement ancien et non compatible avec MFA.
Ce cas de figure permet assez facilement d'illustrer pourquoi l'approche IAM n'est pas pertinente pour implémenter un CIAM car les clients n'ont pas les mêmes besoins que les utilisateurs internes de l'entreprise...le tout en effectuant un parallèle avec Netflix et leur politique client (relative au partage des comptes) avortée plus tôt dans l'année.
A la dérive dans une océan de cyber-terreur : Vous cherchez un gilet de sauvetage ou un canot de sauvetage ?
Commencer sa présentation par une photo de ses enfants en maillot de bain et de la mer qui leur fait face dans de différentes condition, c'est un parallèle qu'il fallait oser pour décrire le type de protection à choisir selon le type de menace qui nous fait face...et c'est également l'approche que Hans-Robert Vermeulen de Sailpoint a choisi pour illustrer son propos : “Parmi les solutions disponibles sur le marché, décrypter le marketing de chaque distributeurs est indispensable car certains offrent plus de fonctionnalités que d'autres et il devient parfois difficile de s'y retrouver.”
Introduction à la conformité à la directive N.I.S. 2 pour les accès privilégiés
La directive N.I.S. 2 est enfin parmi nous, c'est une bonne nouvelle...mais comment garantir la compliance de nos systèmes d'information par rapport à celle-ci ?
C'est ce que nous explique Chris Dearden de Ping Identity. Il a commenté chaque paragraphe important, contenant des éléments plus techniques que d'autres, en ajoutant que ces éléments techniques peuvent être adressés par Ping Identity (et certainement chez d'autres).
Prévention des mouvements latéraux à grâce à la protection du MFA et des comptes de service dans Active Directory
Lateral Movement ? Il s'agit des techniques, utilisées par les hackers estampillés Red Team (autrement dit offensifs) exploitant des failles de sécurité leur permettant, une fois entrés dans un système d'information, de se déplacer librement à l'intérieur.
Durant cette intervention, Frank Leavis de Silverfort nous explique qu'il est possible de réduire (et non d'annuler complètement) les risques, provenant de failles de sécurité inhérents aux services mis en œuvre (tels qu'Active Directory), à l'aide des mécanismes de MFA (multi-factor authentication) et de service account.
Les leçons apprises lors de la migration vers MFA
Selon Martin Sandren, son équipe serait la plus détestée de toute l'entreprise. Certes, mais pourquoi ?
En fonction des contraintes techniques inhérentes à la localisation, son équipe a été contrainte de réviser en profondeur la politique de MFA afin qu'elle puisse s'appliquer à tous et proposer l'expérience MFA la plus appropriée à certaines circonstances.
Par exemple, dans le cas où les SMS ainsi que l'application ne permettraient pas l'authentification multifacteur, il reste toujours d'autres méthodes telles que les certificats ou la localisation réseau.
Fusion et acquisition : comment une solution de gouvernance des identités peut offrir un processus fluide et efficace
Lorsque plusieurs entreprises fusionnent, leur système d'information est également voué à subir le même sort et le processus peut devenir compliqué.
Durant son intervention, Anette Lavu de Valmet nous a révélé avoir fait appel à la puissance de l'outil d'Administration et de Gouvernance des Identités (IGA) afin de rendre l'opération plus simple et rapide, en réduisant la durée à environ deux heures.
Durant cette session, nous avons également eu droit à quelques bonnes pratiques relatives à l'utilisation de la solution d'IGA de Savyint.