Le phénomène du télétravail n’est plus simplement une tendance, mais il est devenu aujourd’hui la nouvelle norme pour beaucoup d’entre nous. Pour de nombreux pays, et même d’organisations, l’idée même du travail à distance était inconcevable et impossible à envisager pour les employés. En moins de quatre semaines, le COVID-19 a radicalement inversé la donne. Les gouvernements imposent désormais à leurs citoyens de rester chez eux pour sauver des vies.
La vitesse incroyable avec laquelle les entreprises ont dû adapter leurs politiques d’accès, leurs liens VPN, leurs outils et leurs applications pour supporter et obéir aux instructions de leurs gouvernements a imposé une énorme pression à des équipes IT et sécurité déjà surchargées.
Le travail à distance devenant la norme de facto pour les semaines à venir, les firewalls et les réseaux internes des entreprises sont aujourd’hui pratiquement superflus. Maintenant plus que jamais, il est important de réaliser que l’identité doit être le fondement des politiques de sécurité durant ces temps difficiles.
Avec une plate-forme de gestion des identités robuste et extensible, les organisations ont la possibilité d’appliquer de nouvelles mesures de sécurité qui peuvent inclure des contrôles d’accès basés sur des attributs (ABAC) ainsi que des contrôles d’accès basés sur des rôles (RBAC). Ainsi, non seulement l’identité d’un employé et son rôle dans l’entreprise détermine ses droits d’accès mais également le type de device qu’il utilise et l’heure à laquelle il fait sa demande. Par exemple, cet employé peut être interdit d’accès aux systèmes financiers à partir de son smartphone après 17h. Ce type de mesure de sécurité peut verrouiller l’accès à distance à une application même si celle-ci ne le supporte pas.
Lorsque des entreprises font en sorte que leurs employés accèdent à leurs fichiers qui peuvent être sur un serveur interne, hébergés par un service de stockage dans le cloud tel que Box ou même dans une solution de travail collaboratif, elles doivent toujours respecter le règlement RGPD et d’autres réglementations sur la protection des données. Les organisations doivent être capables de savoir quelles données sont sensibles, quelles données sont redondantes, quelles données peuvent être partagées, quelles données doivent être supprimées, car laisser leurs fichiers et leurs dossiers à la portée d’une intrusion est un peu comme laisser la clé du bureau dans la serrure lorsque l’on travaille de chez soi.
Les entreprises de toutes tailles en ces temps de crise doivent repenser l’identité, en mettant en place une plate-forme d’intelligence artificielle s’appuyant sur un algorithme de ‘machine learning’ qui garantira que leurs employés sont protégés, qu’ils disposent des droits d’accès les plus appropriés, qu’elles pourront répondre en temps réel à des événements anormaux et contrôler individuellement chaque demande d’accès.
Lorsque nous reviendrons enfin à la normale cette plate-forme, qui sera le nouveau standard de sécurité, gèrera toutes les identités digitales des entreprises (employés, prestataires, intérimaires, stagiaires, objets connectés), leurs types d’accès et ressources, et les protègera quoiqu’il arrive.