Video
Qu'est-ce que la gouvernance du cloud et pourquoi est-elle importante ?
Paul Trulove, Chief Product Officer chez SailPoint, nous fait part de ses réflexions sur l’importance de la gouvernance du Cloud.
Obtenez plus d’informations sur la gouvernance du Cloud et sur la façon dont vous pouvez utiliser l’IA pour protéger l’accès à toutes vos plates-formes Cloud.
Transcription de la vidéo
Hannah Giles : Bonjour à tous. Bienvenue à cette nouvelle vidéo « Identity Talks ». Je suis très enthousiaste à l’idée de cette discussion aujourd’hui. Nous sommes avec Paul Truelove, Chief Product Officer chez SailPoint. Bienvenue Paul !
Paul Trulove : Merci de m'accueillir.
Hannah Giles : J’ai quelques questions à vous poser. Nous allons parler de la gouvernance du Cloud. Commençons par les bases. Pourquoi le contrôle des accès aux plates-formes Cloud devient-il si important pour les équipes chargées de la gestion des identités ?
Paul Trulove : C’est une excellente question ! Il est vrai que de plus en plus d’entreprises migrent peu à peu leurs actifs vers le Cloud, d’un point de vue IT. Par conséquent, qu’il s’agisse d’environnement informatique, d’environnement de stockage, etc., elles devraient en fin de compte appliquer les mêmes contrôles d’identité de base à ces actifs, de la même manière qu’elles le font depuis longtemps pour leur centre de données et également leurs ressources.
Mais malheureusement, la réalité est que les entreprises qui n’ont pas vraiment étendu leur programme de gestion des identités dans ce domaine sont nombreuses. Résultat : toutes ces nouvelles applications et les autres tâches exécutées dans le Cloud, qui ne font qu’identifier ou non l’identité, sauf les plates-formes IaaS (infrastructure en tant que service) comme AWS, Azure, Google Cloud, sont relativement peu protégées du point de vue de la gestion des identités et des accès, par rapport à leurs ressources internes. Nous constatons donc que de plus en plus d’entreprises se rendent compte qu’il est tout aussi important, voire encore plus important, de contrôler les accès à leurs plates-formes Cloud, d’autant plus qu’elles y placent non seulement des données sensibles, mais aussi des données très réglementées.
Hannah Giles : Intéressant. Alors, diriez-vous que la gestion des accès dans le Cloud est plus difficile ? Et si c’est le cas, qu’est-ce qui rend cette gestion plus difficile par rapport au contrôle des accès aux applications traditionnelles on-prem ?
Paul Trulove : Oui, je dirais que c’est plus difficile à bien des égards. Tout d’abord, les enjeux sont, d’une certaine manière, plus importants. Ainsi, de nombreuses entreprises, dont certaines avec lesquelles j’ai pu discuter il y a à peine quelques semaines, utilisent encore leur réseau pour soutenir les processus de gestion des identités et des accès. Par exemple, lorsque je mets fin au contrat d’un utilisateur et que je désactive son accès au réseau, il ne peut pas avoir accès aux applications que j’exécute dans mon datacenter si j’ai bien fait ce qu’il faut, c’est-à-dire, mettre en place un périmètre simple. Je peux probablement empêcher les personnes malveillantes d'accéder à mes ressources et d’en sortir.
Le problème, c’est qu’en migrant vers le Cloud, le périmètre du réseau disparaît, à tous points de vue. Par conséquent, si vous avez une mauvaise approche de la gouvernance des identités pour vos ressources dans le Cloud, vous mettez vraiment votre entreprise en danger et nous avons vu quelques violations apparaître récemment. Nous avons parlé de différents compartiments Amazon S3 qui ont été ouverts à l’Internet et qui abritent des données relativement importantes.
L’autre élément qui rend la tâche plus difficile, c’est l’accès non humain qui constitue une partie beaucoup plus importante de l’architecture d’une application Cloud. Ainsi, vous avez tendance à avoir beaucoup de comptes de machine à machine dont l’accès est très ouvert et qui, en fin de compte, peuvent être utilisés à des fins malveillantes. Il ne s’agit donc pas seulement de savoir qui dispose d’un accès, mais aussi de savoir à quoi il/elle a accès, et dans les faits, la plupart des plates-formes de gestion des identités, en particulier les plates-formes héritées, ne font pas un bon travail dans ce domaine de visibilité et de contrôle des ressources dans le Cloud.
Hannah Giles : Intéressant. Alors je suppose qu’il faut boucler la boucle. Comment les solutions de gouvernance des identités en particulier ont-elles contribué, non seulement grâce à certains de ces points que vous avez déjà mentionnés, à l’efficacité de la sécurité ? Quels sont les apports de la gouvernance des identités ?
Paul Trulove : Cela ressemble beaucoup à ce dont on parle depuis une dizaine d’années : la bonne gouvernance des identités. Vous devez donc savoir qui a accès à quoi dans ces systèmes, mais aussi ce qui a accès à quoi. Vous devez appliquer les bons contrôles de sécurité et de conformité pour vous assurer que les bons utilisateurs, qu’ils soient humains ou non, ont effectivement l’accès dont ils ont besoin et seulement ce dont ils ont besoin. Mais vous devez également examiner comment cet accès est utilisé au quotidien et vous assurer que l’accès est effectivement utilisé de manière appropriée.
La difficulté, c’est que tous ces éléments à l’échelle du Cloud sont très complexes. Ainsi, le nombre d’identités, en particulier les identités machines, le nombre de droits et les différentes politiques, la nature dynamique de cet accès accentuent les difficultés.
Et c’est vraiment là que les nouvelles solutions de gouvernance du Cloud de SailPoint nous permettent de tirer parti de certaines technologies clés. L’IA et le Machine Learning qui permettent d’évaluer rapidement l’état de la gouvernance des identités dans ces plates-formes Cloud et qui nous permettent ensuite de commencer à mettre en place les mêmes types de contrôles des identités que ceux que vous auriez dans un environnement traditionnel d’applications et d’infrastructures sur site.
Hannah Giles : Il y a beaucoup de choses auxquelles il faut penser, mais tout le monde est sur le Cloud aujourd’hui. Ce sont donc des informations très utiles et nous espérons que vous nous en direz plus prochainement. Merci beaucoup d'avoir participé à cette session.