Au moment où la COVID-19 transforme la gouvernance des accès, la convergence et l’identité en matière de sécurité sont au cœur de la transformation numérique
Par Willem Ryan
Alert Enterprise, vice-président marketing et communications. Article publié à l’origine sur Security Today Magazine
Le secteur de la sécurité physique a devant lui une opportunité incroyable : mener la transformation numérique des entreprises (DX) par la convergence de la sécurité. Soyons clairs, il s’agit là de notre tout nouveau point d’inflexion. L’émergence de l’économie cloud et de la plateforme en tant que service a créé un sentiment d’urgence jusqu’aux plus hautes sphères de l’entreprise. La DX aide les entreprises à se concentrer sur leurs clients et à se tourner vers l’extérieur.
Une multitude de secteurs
Des organisations de tous horizons dans une multitude de secteurs (banques, services financiers, fabrication, énergie et services publics, transports, sciences de la vie et bien d’autres) ont réalisé l’importance qu’il y a à exploiter des informations qui jusque-là étaient simplement confinées à un rôle couvrant des aspects opérationnels.
Les experts en sécurité en conviennent, désormais les aspects les plus importants de la sécurité commencent par l’identité des personnes ayant accès aux applications et aux informations liées à l’entreprise. Disposent-ils d’une autorisation ? Leurs privilèges s’étendent-ils aux données transactionnelles ? Pendant combien de temps l’accès doit-il être accordé ? Qui d’autre peut consulter les données ? Leurs connexions sont-elles protégées contre les attaques ? Et comment leur accès peut-il être désactivé lorsqu’ils quittent l’organisation ? Qu’en est-il des appareils IoT ?
Au centre de la sécurité convergente, se trouvent les personnes, l’identité et la confiance. Et en ces temps troublés, nous devons savoir exactement où les employés se trouvaient, à quel moment et avec qui ils étaient. L’évolution du paysage des menaces, désormais marqué du sceau de la contagion, nécessite une nouvelle approche s’appuyant sur les renseignements relatifs à l’accès à la santé et à la sécurité, le tout provenant d’une plateforme commune de gestion des identités.
L’extension d’une identité numérique unique pouvant être authentifiée dans les environnements logiques et physiques de l’entreprise a des ramifications bien au-delà de la sécurité physique. Pour les utilisateurs, cela signifie une sécurité cyber-physique unifiée, une plus grande productivité et la possibilité de se consacrer à des tâches à forte valeur ajoutée plutôt que sur le traitement manuel chronophage traditionnellement associé à la gouvernance de l’accès aux identités.
En lieu et place de service distincts et cloisonnés coexistant sans interagir, la convergence de la sécurité unifie les technologies de la sécurité, les RH, l’informatique et la technologie opérationnelle (OT), en capturant et en corrélant les menaces et les risques et en gérant automatiquement la conformité et les politiques. Elle crée une identité commune entre les personnes et les objets, ce qui permet également d’impliquer plus facilement et plus vite les clients et les employés, de créer des expériences et des offres uniques et de niveler les opérations. Elle s’intègre aux cyber-contrôles, aux technologies des installations et même à l’analyse des comportements et aux profils de risque pour atténuer les risques de manière globale.
Les données le confirment : les utilisateurs disent oui à la convergence
35 % DES PERSONNES INTERROGÉES
déclarent que la convergence a permis de créer un ensemble partagé de pratiques et d’objectifs pour les équipes de sécurité physique, de cybersécurité et de continuité des activités.
DANS 39 % DES CAS
la convergence a « clairement amélioré la communication et la coopération ».
80 % DES ORGANISATIONS N’UTILISANT PAS LA CONVERGENCE
reconnaissent qu’elle renforcerait leur fonction de sécurité globale.
40 % DES ORGANISATIONS N’UTILISANT PAS LA CONVERGENCE
font part de leur volonté de mieux aligner la stratégie de sécurité sur les objectifs de l’entreprise comme principal catalyseur de la convergence.
La convergence de la sécurité et la transformation numérique n’ont plus ce statut de tarte à la crème. Les dirigeants et les cadres des installations qui ont évolué dans cette direction savent maintenant qu’il est impératif de l’adopter au fur et à mesure que nous réagissons et revenons à une vie normale après le COVID-19.
Selon le rapport de la Fondation ASIS sur le thème de la convergence publié à l’automne 2019 et intitulé L’état de la convergence de la sécurité aux États-Unis, en Europe et en Inde, quelque 35 % des personnes interrogées ont déclaré que la convergence avait facilité la création d’un ensemble de pratiques et d’objectifs communs entre les équipes de sécurité physique, de cybersécurité et de continuité des activités. Dans 39 % des cas, la convergence a « clairement amélioré la communication et la coopération ».
Avant le COVID-19, nous avons aussi noté les points suivants dans l’étude ASIS : près de 80 % des organisations non convergentes reconnaissent que la convergence renforcerait leur fonction de sécurité globale et 40 % font part de leur volonté de mieux aligner la stratégie de sécurité sur les objectifs de l’entreprise comme principal catalyseur de convergence. Ces chiffres sont probablement encore plus élevés aujourd’hui. Ceux qui étaient déjà en train de faire converger les fonctions et de se transformer numériquement sont probablement beaucoup mieux préparés pour répondre à la pandémie et faire face à la nouvelle donne en matière de gestion des identités et de conformité. Les entreprises déjà engagées sur la voie de la transformation numérique ont pu agir, survivre, prospérer et servir les clients et protéger leur personnel pendant cette période de perturbation.
Les leaders de la sécurité d’entreprise comprennent désormais que les effets d’une cyberattaque, d’une attaque physique, d’une perte de production ou d’un contagion sur site dépassent largement les coûts d’un système global de convergence. Ceux qui adoptent la transformation numérique créeront une cohésion des systèmes et des données, le résultat final offrant une détection et une prévention proactives des menaces, c’est-à-dire une réponse unifiée aux menaces pour atténuer les risques et disposer d’une meilleure approche situationnelle.
Une gestion des identités plus musclée
Les plateformes logicielles de gestion des identités s’intègrent aux programmes et processus RH pour englober le côté humain de la sécurité, et œuvrer de front pour créer une entreprise plus performante et mieux sécurisée. La gestion des identités avec la technologie Identity Intelligence qui intègre l’intelligence artificielle et le machine learning peut définir des scores de risque, ajouter des filtres et des exceptions pour signaler, faire remonter et détecter les anomalies dans les processus d’accès, mais aussi de production. Les moteurs actifs basés sur les règles d’application des politiques identifient automatiquement les violations des politiques et les accès non autorisés, ainsi que les problèmes opérationnels et procéduraux. De plus, les identifiants expirent automatiquement et sont mis hors ligne lorsque l’accès n’est plus d’actualité, ce qui réduit les risques associés à un employé mécontent, en interne.
La puissance de la convergence de la sécurité est plus évidente lorsqu’elle automatise et agit en tant qu’outil de détection de manière transparente dans plusieurs domaines, comme l’informatique et la sécurité physique. Prenons un exemple concret : un employé d’une entreprise de services publics entre dans l’entreprise par le hall principal, prend l’ascenseur jusqu’à son étage et « badge» pour accéder à la porte principale de ce niveau. Il se dirige vers son bureau et se connecte au réseau de l’entreprise pour accéder à ses e-mails. En même temps, quelqu’un utilise les mêmes identifiants d’accès à distance via le VPN. Évidemment, il ne peut pas être physiquement présent sur place et à distance. Une plateforme de convergence détecte l’intrusion externe en identifiant automatiquement l’anomalie et permet à la sécurité de désactiver immédiatement l’accès, empêchant ainsi une violation potentielle.
Maintenant, replaçons cela dans le contexte de la COVID-19. Avec la pandémie et le retour au travail, la modification de la gestion des identités est nécessaire au regard des règles de sécurité, des politiques d’entreprise et des rapports de conformité. Le logiciel de gouvernance des accès Workforce Health and Safety aide les entreprises à ouvrir leurs portes en toute sécurité de manière fluide, contrôlée et sécurisée en automatisant et en appliquant les politiques et procédures liées à la COVID-19. Les e-mails/SMS groupés contenant des liens en libre-service envoient des demandes d’auto-signalement et d’auto-déclaration au personnel à distance et valident l’accès des employés à l’entreprise conformément aux politiques sanitaires, de déplacement et autres. La sécurité physique peut aider à appliquer les politiques sanitaires et de sécurité par le biais de la technologie, y compris les rappels, les invites, l’automatisation, l’auto-attestation et plus encore.
Voici un exemple : un employé remplit le questionnaire déclaratif sur la santé et les déplacements, qui déclenche un flux de travail basé sur ses réponses. Ces questionnaires de santé recueillent des données et documentent l’activité des employés pendant le confinement, y compris les infections, les symptômes ou l’exposition. La demande est envoyée au responsable pour action et le workflow peut être configuré en fonction de besoins spécifiques. Une fois que le responsable a examiné la demande, il est déterminé que d’après les réponses, l’employé présente un risque élevé et, conformément à la politique applicable, son accès est révoqué pendant 14 jours (période de quarantaine). Les entreprises gèrent le processus en libre-service pour afficher, modifier et approuver les risques d’exposition sanitaire du personnel et désactiver l’accès conformément aux politiques.
Lorsque la période de quarantaine est terminée, l’employé reçoit une notification automatique pour demander sa réintégration et le questionnaire d’auto-attestation. L’employé est autorisé et demande à être réintégré, puis il s’acquitte des protocoles en fournissant les justificatifs, tels qu’une décharge médicale ou une lettre de son médecin. L’accès est réactivé et l’employé reçoit les instructions pour se rendre sur son lieu de travail.
La gouvernance et l’intelligence de l’accès au module Health and Safety fournissent un support pour la présélection du personnel lors de l’entrée sur le site avec des mises en application automatisées de la politique. Accueil et départ des visiteurs/sous-traitants pré-enregistrés et sur place avec présélection, liste de surveillance et autres contrôles avant l’accès. Sur le site de production ou de distribution, les analyses de Health and Safety suivent les employés positifs ou potentiellement exposés à la COVID-19, identifient les zones exposées pour le verrouillage et/ou l’assainissement, les violations de distanciation sociale, la carte thermique des emplacements et d’autres analyses de santé et de sécurité exploitables.
La gestion des identités vous permet également d’automatiser vos communications et de fournir des mises à jour et des procédures claires à votre personnel, aux visiteurs et aux sous-traitants, avant leur visite et sur site.
Mise en application active et en temps réel
Une technologie comme Identity Intelligence et le moteur actif basé sur les règles d’application des politiques identifient automatiquement les violations de politiques et les accès non autorisés. Cela permet aux responsables de la sécurité de surveiller et de répondre de manière proactive aux violations de sécurité, ainsi qu’aux problèmes opérationnels et procéduraux. Pendant l’épidémie de COVID-19, cela peut inclure l’historique des voyages vers des pays ou des régions soumis à des restrictions. L’intégration aux applications de déplacement et de ressources humaines permet de détecter quand et où une personne a réservé un voyage et s’est identifiée, ce qui permet à l’entreprise d’établir un profil de risque solide de son activité. Si un membre du personnel s’est récemment rendu dans un endroit soumis à des restrictions, les équipes de sécurité et RH peuvent être automatiquement informées et désactiver l’accès au badge afin d’éviter tout risque d’exposition et de transmission potentielle. Dans le cas où un membre du personnel tombe malade, elle sera considérée comme un profil à risque élevé. Toute demande d’accès physique à une installation nécessitera une autorisation spéciale, conformément aux politiques de l’entreprise et aux règles des autorités sanitaires locales ou fédérales.
En cas d’épidémie, une modification de l’expérience du visiteur est également nécessaire. C’est le premier point de contact et, avec le personnel de l’accueil et de sécurité, il fait partie des premières lignes en matière de sécurité. Les entreprises peuvent configurer leur système de gestion des identités des visiteurs (VIM) pour fournir une communication claire des politiques en cours pendant l’épidémie, renforçant ainsi les bonnes pratiques de l’OMS. Le système VIM peut facilement être configuré pour inviter les visiteurs à répondre à des questions de dépistage spécifiques liées à des voyages récents et à signer des formulaires juridiques.
La sécurité ne consiste plus simplement à lutter contre des forces obscures. Elle est devenue le moteur de la transformation numérique. C’est désormais l’élément fondamental de la protection des personnes et des espaces de travail, et l’identité occupe une place centrale.
La transformation numérique et son impact sur la sécurité physique sont clairs. Elle adopte une nouvelle approche, axée sur le rapprochement des personnes, des processus, des données et des technologies en toute sécurité. L’avenir est là et les organisations ont désormais les moyens de faire plus avec moins, de créer des expériences attrayantes pour les employés, d’améliorer la conformité et de réduire les risques, le tout depuis une plateforme d’identité numérique unique et fiable.