Approche juste-à-temps : donner le bon accès aux bonnes ressources pour les bonnes raisons

Les principales composantes de la fabrication juste-à-temps sont les suivantes : l’amélioration continue ; l’élimination des déchets ; les kanbans, qui arrêtent brusquement les processus s’ils ne fonctionnent pas ; le jidoka, qui donne aux machines l’autonomie nécessaire pour exécuter les tâches afin que les travailleurs soient plus productifs et la fabrication plus fluide dans l’ensemble de l’usine.

Pour que la mise en œuvre de cette pratique industrielle soit réussie, les équipes doivent se concentrer sur les processus, éliminer les activités inutiles et s’efforcer constamment de trouver la meilleure solution possible à un problème donné. Cependant, le juste-à-temps n’est encore qu’une pièce dans un puzzle global et il ne peut être considéré comme l’unique raison du succès de Toyota.

Ces dernières années, une forme d’accès juste-à-temps s’est développée dans la cybersécurité. Comme son homonyme dans le secteur manufacturier, l’accès juste-à-temps (JAT) est axé sur l’élimination des déchets, qui, dans ce cas précis, représentent les accès non nécessaires.
Cette méthode de sécurisation des données et des ressources critiques est mise en œuvre dans le but de fournir à la bonne personne, le bon accès à la bonne ressource, au bon moment pendant la bonne durée, pour les bonnes raisons — ou, en d’autres termes, d’accroître les privilèges uniquement quand et où ils sont requis. Il est essentiel de fournir une piste d’audit des activités pour le JAT, faute de quoi un compromis s’impose entre sécurité et facilité d’utilisation. Les deux sont essentiels.

L’accès juste-à-temps vise à éliminer l’accès permanent et à n’accroître les droits privilégiés que sur demande. Idéalement, la méthodologie réduit les frictions pour les utilisateurs finaux et améliore la stratégie de sécurité de l’entreprise, pour autant qu’une piste d’audit claire et solide soit fournie. Le JAT supprime l’accès permanent, offrant ainsi une meilleure protection contre les attaquants qui tentent de se déplacer latéralement dans le système.

Les entreprises et les analystes considèrent le JAT comme la prochaine grande tendance dans le domaine de la cybersécurité, car il garantit que l’accès technique n’est fourni aux utilisateurs ou aux comptes que lorsque cela est absolument nécessaire. Gartner a mentionné la gestion des accès à privilèges ces dernières années et a documenté l’accès juste-à-temps dans un récent rapport intitulé « Best Practices for Privileged Access Management Through the Four Pillars of PAM » (Meilleures pratiques pour la gestion des accès à privilèges à travers les quatre piliers du PAM). Selon l’analyste, l’accès JAT est la méthode recommandée pour les accès à privilèges. Celle-ci repose sur le principe que l’accès n’est accordé que pour une courte période de temps, puis retiré, ne laissant alors aucun accès à privilèges permanent. Il ressort notamment que :

· « Une solution de gestion de comptes et de sessions à privilèges (PASM) qui permet de concéder l’accès à un compte à privilèges, puis d’en supprimer l’accès. »

· « Certaines solutions PASM peuvent créer un compte éphémère « à la volée », qui ne peut être utilisé qu’une seule fois. Le compte serait alors indisponible dès que l’utilisateur se déconnecterait et pourrait être soit supprimé, soit conservé pour une réutilisation ultérieure. »

· « Une solution d’élévation des privilèges et de gestion des délégations (PEDM) pourrait permettre à un utilisateur d’augmenter temporairement les privilèges pour un compte qui n’est pas privilégié par défaut. Généralement, cela permet à un utilisateur d’exécuter des commandes en mode privilégié. »

Ces trois concepts d’accès juste-à-temps partagent un dénominateur commun : la réduction des accès à privilèges inutiles. Cela peut se faire avec ou sans agents ; tout dépend de la propension de chaque entreprise à les gérer. Une solution idéale réduira les accès non nécessaires aux systèmes critiques tout en facilitant les tâches des employés. Les entreprises peuvent mettre en place des politiques qui limitent l’accès à privilèges au moment où il est nécessaire, ou s’il est demandé en dehors de la période spécifiée, un peu comme le concept de « kanban » introduit par Taiichi Ohno.

Concrètement, le workflow typique pour l’accès juste-à-temps est celui où un utilisateur (humain ou machine) demande l’accès à un serveur, une machine virtuelle ou un périphérique réseau. La demande est vérifiée dans le cadre d’une politique de pré-approbation ou est transmise à un administrateur qui accorde ou refuse l’accès. L’utilisateur, s’il obtient l’accès, entre dans le système et peut poursuivre ses activités comme il le ferait normalement. Une fois qu’il a terminé, il se déconnecte et son accès est révoqué jusqu’à ce qu’il en ait de nouveau besoin.
Ce workflow d’accès JAT peut être obtenu de l’une des trois façons susmentionnées et offre aux entreprises une nouvelle manière d’aborder la sécurité des accès à privilèges.

Recent Posts

Environnements hybrides et multi-clouds : un défi et une chance pour la cybersécurité

Pour sécuriser les environnements hybrides et multi-clouds, il faut commencer par clarifier le partage des…

9 heures ago

Dans la « nouvelle-réalité » du travail, le RSSI doit faire rimer cybersécurité, innovation et adaptation au changement !

Cette année, bon nombre des changements survenus durant la pandémie en termes de culture du…

2 jours ago

Comment le modèle SASE définit l’avenir de la sécurité réseau

Inventé par Gartner, l’acronyme SASE (Secure Access Service Edge) est l'une des évolutions les plus…

1 semaine ago

Comment planifier une migration réussie au cloud

Lors du choix, la considération la plus critique et souvent la plus complexe est de…

2 semaines ago

Gestion des identités et des accès : l’importance de l’expérience client en environnements mixtes

La mise en œuvre d’une stratégie d’identité permet de clarifier les actions engagées par l’entreprise,…

2 semaines ago

La cyberfraude est avant tout une fraude, commise par un canal numérique

En matière de cybersécurité, c’est l’information qui compte, et non le support. L’objectif doit être…

2 semaines ago