Les apports de l’IA dans la partie IAM de Zero Trust

Ecrit par Olivier Lançon.

Zero Trust

La crise sanitaire a poussé de nombreuses entreprises à adopter des méthodes de travail à distance. Les modèles de sécurité classiques sont de moins en moins adaptés aux nouveaux besoins des entreprises, comme le travail à distance, le BYOD (Bring Your Own Device), l’AAA (Anywhere, Any Device, Anytime), la sécurisation des accès des parties tierces… D’autre part ces modèles sont vulnérables aux attaques par vol d’identifiants en laissant une liberté de mouvement latérale dans le périmètre du réseau pour l’utilisateur connecté. Le modèle de sécurité Zero Trust répond à ces problématiques et s’impose comme le modèle d’avenir. Zero Trust est une approche centrée sur les données et les actifs dont la devise est « Never trust, always verify ». Il faut s’assurer que les bonnes personnes aient le bon niveau d’accès, aux bonnes ressources, dans le bon contexte, et que l’accès soit évalué en permanence.

La mise en place d’un modèle Zero Trust passe donc nécessairement par une bonne gestion des identités et des accès. Les utilisateurs, les appareils, les applications, et les données sont autant d’éléments à considérer pour chaque accès, multipliant ainsi les contextes d’accès possibles. L’intelligence artificielle pourrait s’avérer être un outil puissant pour faciliter cette gestion : en analysant de grandes quantités de données, une IA est capable d’automatiser des tâches répétitives comme la détection de tentatives d’accès suspectes. Ainsi une IA, sous réserve d’être calibrée correctement, pourrait déterminer quand donner accès à un utilisateur.

Calcul de risque à la volée

Qui dit Zero Trust dit évaluation des demandes d’accès. De nombreuses données sont à la disposition du système d’authentification pour déterminer si l’utilisateur est légitime à avoir l’accès. Faut-il faire confiance à un utilisateur essayant de se connecter depuis l’autre bout du monde à une heure tardive mais qui a le bon jeu d’identifiants ? L’IA devrait permettre de faire du calcul de risque à la volée : un algorithme de confiance attribue un score de confiance pour chaque tentative d’accès. Ce score se base sur l’identité de l’appareil utilisé, sa géolocalisation, l’heure d’accès… Selon la valeur du score, l’accès peut être donné avec ou sans conditions, incluant par exemple la nécessité pour l’utilisateur de confirmer son identité via un moyen d’authentification forte. Dans un modèle Zero Trust mature, le système doit pouvoir proposer des solutions à l’utilisateur (mises à jour, protocoles de sécurité…). Le calcul du score s’appuie également sur les règles IAM (Identity Access Management) pour prendre en compte les besoins de l’utilisateur. En considérant le nombre de contextes d’accès considérable, l’utilisation d’une IA simplifierait grandement l’application des politiques IAM.

La consolidation des référentiels d’identité

Un deuxième plan de l’IAM sur lequel l’IA peut démontrer son intérêt est la consolidation des référentiels d’identité. Relier et synchroniser des annuaires est une tâche relativement simple et répétitive qui pourrait être laissée aux IA. Par ailleurs, il est assez lourd de gérer manuellement l’approvisionnement et le désapprovisionnement des accès. Notamment, les accès des parties tierces (clients, fournisseurs…) sont des menaces pour les actifs : il est difficile de contrôler les abus dus au partage d’identifiants, à l’usage d’identifiants expirés, ou à des privilèges excessifs. La gestion des accès pourrait être automatisé de sorte à faire du just-in-time provisioning (approvisionnement juste à temps) afin d’éviter ces débordements. L’idée est de fournir des accès provisoires calculés sur le temps d’accès requis, donc le temps d’une session ou le temps d’un contrat par exemple.

Authentification biométrique

Zero Trust repose sur une gestion forte des accès, et cela passe aussi par de l’authentification à facteurs multiple (MFA, Multiple Factor Authentication). Les MFA sont de plus en plus utilisées pour contrer le vol d’identifiants et les violations de comptes. Si un utilisateur possède les bons identifiants, mais est suspect, l’authentification biométrique est un moyen fort de vérifier son identité. Reconnaissance faciale, de l’empreinte digitale… ce type d’authentification fait appel à des algorithmes d’intelligence artificielle.

Limites de l’intelligence artificielle

Si l’IA s’avère être un outil extrêmement prometteur, quelques réserves sont à émettre concernant son utilisation.

D’abord, l’utilisation des résultats d’une IA demande un travail de qualité et de complétude des données en amont. Il faut ajouter à ce travail l’inventaire des actifs, des données, des appareils, et des utilisateurs dans le cadre du Zero Trust. Ce travail de cartographie est souvent encore incomplet dans bon nombre d’entreprises.

Une autre complication concerne les règles à faire suivre à l’IA chargée d’émettre des scores de confiance. En pratique, il est complexe de définir des règles d’accès rigoureuses qui conviennent aux utilisateurs et au département IT. Il est compliqué de définir des règles pour chaque accès à chaque actif pour chaque utilisateur.

Les technologies basées sur l’IA s’exposent à plusieurs autres risques et limites, notamment :

  • Cyber risques: l’algorithme de l’IA peut être attaqué et manipulé pour donner des résultats différents.
  • Faux positifs: la phase de recadrage de l’algorithme peut être longue avant d’obtenir des résultats satisfaisants.
  • Conformité: les décisions prises par une IA peuvent poser des problèmes éthiques, les résultats doivent être explicables.
  • Solutions du marché: Peu de solutions basées sur l’IA existent actuellement sur le marché, et beaucoup sont entre les mains de startups.

On en est encore loin…

L’IA pourrait avoir de nombreux bénéfices en IAM pour la mise en place d’un modèle Zero Trust avancé. Si c’est aujourd’hui techniquement possible à mettre en place, dans la pratique, de nombreuses entreprises ne sont pas encore prêtes à faire le pas vers l’intelligence artificielle. Zero Trust n’est d’ailleurs pas non plus la norme dans toutes les entreprises. A l’évidence, il y a encore beaucoup de chemin à parcourir tant sur Zero Trust que sur l’IA.

Zero Trust est au cœur des offres de Beijaflore Cyber Risk & Security liées à la covid-19, et Beijaflore Graphène Advisory accompagne ses clients dans des projets sur l’intelligence artificielle.