Comment appliquer une stratégie de gestion des accès à privilèges à des technologies de transformation numérique, telles que le RPA ? Une étude de CyberArk donne les conseils de RSSI.
CyberArk, un spécialiste de la gestion des accès à privilèges, vient de publier une étude intitulée « The CISO View: Protecting Privileged Access in Robotic Process Automation ». Elle examine les techniques d’attaque et présente les conseils pratiques d’utilisateurs du RPA sur la manière dont les entreprises peuvent minimiser les risques induits par l’utilisation d’accès à privilèges non humains, en accordant par exemple aux robots davantage de privilèges que nécessaire pour exécuter certaines tâches et fonctions.
Ce sont des RSSI qui ont été interrogés. Les membres du groupe d’étude CISO View sont issus d’entreprises de l’indice Global 1 000, parmi lesquelles la Banque asiatique de développement, GIC Private Limited, Highmark Health, Kellogg Company, Lockheed Martin Corporation, Orange Business Services, Pearson, Rockwell Automation, la Banque royale du Canada et T-Systems International. Il est donc intéressant de consulter les conseils que ces experts partagent pour adopter les processus RPA tout en minimisant les risques potentiels. On en retiendra trois.
Limiter l’accès à la reprogrammation des robots. Réduire les risques liés aux autorisations RPA, par exemple la possibilité de reprogrammer les robots, en gérant de manière sécurisée les identifiants des outils RPA et en formant les équipes RPA aux pratiques de développement logiciel sécurisées.
Automatiser la gestion des identifiants. Le succès des déploiements RPA passe par la gestion automatisée des identifiants, notamment des mots de passe générés par des machines, ainsi que la rotation automatique des mots de passe, la vérification des identités et un accès aux identifiants juste à temps ou limité dans le temps.
Établir des processus robustes pour surveiller les activités RPA. Détecter et réagir rapidement à tout comportement non autorisé ou inhabituel des robots en leur affectant des référents humains, en appliquant le principe du moindre privilège et en rendant les actions traçables.
Publiée pour la quatrième fois, l’étude The CISO View a été rédigée en collaboration avec le cabinet indépendant Robinson Insight.