Approche juste-à-temps : donner le bon accès aux bonnes ressources pour les bonnes raisons

Les principales composantes de la fabrication juste-à-temps sont les suivantes : l’amélioration continue ; l’élimination des déchets ; les kanbans, qui arrêtent brusquement les processus s’ils ne fonctionnent pas ; le jidoka, qui donne aux machines l’autonomie nécessaire pour exécuter les tâches afin que les travailleurs soient plus productifs et la fabrication plus fluide dans l’ensemble de l’usine.

Pour que la mise en œuvre de cette pratique industrielle soit réussie, les équipes doivent se concentrer sur les processus, éliminer les activités inutiles et s’efforcer constamment de trouver la meilleure solution possible à un problème donné. Cependant, le juste-à-temps n’est encore qu’une pièce dans un puzzle global et il ne peut être considéré comme l’unique raison du succès de Toyota.

Ces dernières années, une forme d’accès juste-à-temps s’est développée dans la cybersécurité. Comme son homonyme dans le secteur manufacturier, l’accès juste-à-temps (JAT) est axé sur l’élimination des déchets, qui, dans ce cas précis, représentent les accès non nécessaires.
Cette méthode de sécurisation des données et des ressources critiques est mise en œuvre dans le but de fournir à la bonne personne, le bon accès à la bonne ressource, au bon moment pendant la bonne durée, pour les bonnes raisons — ou, en d’autres termes, d’accroître les privilèges uniquement quand et où ils sont requis. Il est essentiel de fournir une piste d’audit des activités pour le JAT, faute de quoi un compromis s’impose entre sécurité et facilité d’utilisation. Les deux sont essentiels.

L’accès juste-à-temps vise à éliminer l’accès permanent et à n’accroître les droits privilégiés que sur demande. Idéalement, la méthodologie réduit les frictions pour les utilisateurs finaux et améliore la stratégie de sécurité de l’entreprise, pour autant qu’une piste d’audit claire et solide soit fournie. Le JAT supprime l’accès permanent, offrant ainsi une meilleure protection contre les attaquants qui tentent de se déplacer latéralement dans le système.

Les entreprises et les analystes considèrent le JAT comme la prochaine grande tendance dans le domaine de la cybersécurité, car il garantit que l’accès technique n’est fourni aux utilisateurs ou aux comptes que lorsque cela est absolument nécessaire. Gartner a mentionné la gestion des accès à privilèges ces dernières années et a documenté l’accès juste-à-temps dans un récent rapport intitulé « Best Practices for Privileged Access Management Through the Four Pillars of PAM » (Meilleures pratiques pour la gestion des accès à privilèges à travers les quatre piliers du PAM). Selon l’analyste, l’accès JAT est la méthode recommandée pour les accès à privilèges. Celle-ci repose sur le principe que l’accès n’est accordé que pour une courte période de temps, puis retiré, ne laissant alors aucun accès à privilèges permanent. Il ressort notamment que :

· « Une solution de gestion de comptes et de sessions à privilèges (PASM) qui permet de concéder l’accès à un compte à privilèges, puis d’en supprimer l’accès. »

· « Certaines solutions PASM peuvent créer un compte éphémère « à la volée », qui ne peut être utilisé qu’une seule fois. Le compte serait alors indisponible dès que l’utilisateur se déconnecterait et pourrait être soit supprimé, soit conservé pour une réutilisation ultérieure. »

· « Une solution d’élévation des privilèges et de gestion des délégations (PEDM) pourrait permettre à un utilisateur d’augmenter temporairement les privilèges pour un compte qui n’est pas privilégié par défaut. Généralement, cela permet à un utilisateur d’exécuter des commandes en mode privilégié. »

Ces trois concepts d’accès juste-à-temps partagent un dénominateur commun : la réduction des accès à privilèges inutiles. Cela peut se faire avec ou sans agents ; tout dépend de la propension de chaque entreprise à les gérer. Une solution idéale réduira les accès non nécessaires aux systèmes critiques tout en facilitant les tâches des employés. Les entreprises peuvent mettre en place des politiques qui limitent l’accès à privilèges au moment où il est nécessaire, ou s’il est demandé en dehors de la période spécifiée, un peu comme le concept de « kanban » introduit par Taiichi Ohno.

Concrètement, le workflow typique pour l’accès juste-à-temps est celui où un utilisateur (humain ou machine) demande l’accès à un serveur, une machine virtuelle ou un périphérique réseau. La demande est vérifiée dans le cadre d’une politique de pré-approbation ou est transmise à un administrateur qui accorde ou refuse l’accès. L’utilisateur, s’il obtient l’accès, entre dans le système et peut poursuivre ses activités comme il le ferait normalement. Une fois qu’il a terminé, il se déconnecte et son accès est révoqué jusqu’à ce qu’il en ait de nouveau besoin.
Ce workflow d’accès JAT peut être obtenu de l’une des trois façons susmentionnées et offre aux entreprises une nouvelle manière d’aborder la sécurité des accès à privilèges.