A l’heure de la migration vers le Cloud, les entreprises tendent de plus en plus, dans une optique d’efficacité, à octroyer à leurs fournisseurs tiers des accès à certaines données confidentielles. Mais ce partage large d’accès à des données critiques est évidemment une préoccupation pour la cybersécurité.
CyberArk a mené en août dernier une enquête auprès de 130 décideurs informatiques et de sécurité pour en savoir plus sur les approches actuelles de gestion et de sécurisation des accès aux ressources internes critiques. 90 % des personnes interrogées déclarent autoriser des fournisseurs tiers à accéder à des ressources internes critiques. Le plus frappant est que plus du quart (26 %) ont déclaré travailler avec plus de 100 fournisseurs tiers – et donc autant d’accès distants. Pour de nombreuses organisations, la protection de ces accès est incroyablement complexe, car elle doit souvent considérer une pléthore d’éléments, tels que l’authentification multi-facteur, des VPN, des ordinateurs portables professionnels, des services d’annuaire internes, ou encore les employés concernés pour chaque accès.
L’accès des tiers, l’un des 10 principaux cyber-risques…
Près des trois quarts (72 %) des organisations considèrent que l’accès des tiers est l’un des 10 principaux risques de sécurité, avec les accès étendus au Cloud, le phishing et les menaces internes. Malgré cela, ces mêmes entreprises admettent qu’elles n’abordent pas correctement la gestion et la sécurité : pas moins de 89 % des répondants de l’étude estiment ainsi qu’ils pourraient mieux faire, ou sont complètement insatisfaits de leurs efforts actuels pour protéger l’accès des fournisseurs tiers.
Ainsi, 86 % des entreprises s’appuient toujours sur des VPN pour sécuriser l’accès des tiers, alors que ces outils n’ont pas été conçus pour gérer les exigences liées à la sécurité des accès à privilèges dynamiques, basée notamment sur les activités et l’enregistrement de session. Concernant la visibilité, 47 % des entreprises ont souligné un manque : en effet, elles ne sont pas toujours au courant de ce que font les fournisseurs une fois qu’ils s’authentifient…