Avec une moyenne de 700 groupes pour 1 000 utilisateurs, il est difficile pour les administrateurs de choisir les groupes et les rôles les moins privilégiés qui répondront aux besoins d'un employé, d'un sous-traitant ou d'un compte de service donné.
"Les permissions sont la carte au trésor et les pirates l'ont compris", déclare Tarun Thakur, cofondateur et PDG de Veza. "Les outils d'identité traditionnels avec les services d'annuaire et la liste des utilisateurs et des groupes ne représentent pas l'accès. La véritable image de l'accès est ancrée dans les permissions. La transformation numérique a accru la complexité des autorisations d'accès, ce qui rend plus important que jamais pour les organisations d'appliquer le principe du moindre privilège. Les chiffres de ce rapport sont une sonnette d'alarme pour les équipes chargées de la sécurité et de l'identité, dont beaucoup peinent à savoir qui peut effectuer quelle action sur les données de l'entreprise."
Parmi les autres conclusions, les organisations utilisent en moyenne 1,75 plateforme d'identité, les plus importantes étant Entra ID de Microsoft, Active Directory (AD) de Microsoft et Okta. L'adoption du cloud et de la GenAI a également augmenté le nombre d'identités non humaines, telles que les comptes de service et les mandants de service. Le rapport constate un ratio de 17 pour 1 entre les identités non humaines et les travailleurs humains. Ce phénomène est particulièrement répandu dans AWS, Azure et Google Cloud.
Les permissions dormantes sont également omniprésentes. Les utilisateurs désactivés représentent 16,5 % de toutes les autorisations attribuées aux utilisateurs dans les plateformes d'identité, en particulier dans Active Directory et Entra ID de Microsoft. 14,7 % des utilisateurs sont considérés comme dormants.
Bien que seulement 0,1 % des utilisateurs des plateformes d'identité soient explicitement désignés comme des comptes privilégiés, les privilèges implicites sont fréquents. 34 % des autorisations effectives recensées par Veza incluent la possibilité de supprimer des données.
L'authentification multi-facteurs (MFA) n'est pas non plus une évidence. Sur les millions d'identités analysées par Veza, 13 % des utilisateurs n'ont toujours pas activé l'authentification multi-facteurs.
Source : "State of Access 2024" (Veza)
Et vous ?
Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?
Voir aussi :
Pour 92 % des entreprises, la sécurité des identités est essentielle pour un déploiement robuste du Zero Trust, selon une étude de CyberArk
Okta, une entreprise de gestion des identités et des accès, confirme le vol de toutes les données de ses clients par des pirates et ravive le débat sur le risque de s'appuyer sur des sociétés cloud
Microsoft introduit une nouvelle fonctionnalité de sécurité pour la vérification des entreprises en ligne : Microsoft Entra Verified ID introduit la vérification faciale en avant-première