Pour bénéficier d’une expérience Web optimale, utilisez Internet Explorer 11 ou version ultérieure, Chrome, Firefox, ou Safari.
Versions d’essai gratuites
Home / UNIFIED CYBERSECURITY/IDENTITY SECURITY 101 / Définition des identités non humaines

Définition des identités non humaines

Avec l’essor des workflows automatisés, du développement Cloud-natif et des systèmes interconnectés, les identités non humaines (NHI, non-human identities) deviennent un élément clé des environnements informatiques modernes. Ces identités permettent aux systèmes de communiquer et de fonctionner sans intervention humaine.

Cependant, leur prolifération n’est pas sans danger. L’augmentation du nombre de NHI élargit la surface d’attaque et crée des failles de sécurité critiques, pourtant souvent négligées, qui nécessitent une gestion minutieuse et des contrôles de sécurité spécialisés.

En quoi consistent les identités non humaines ?

Une identité non humaine (NHI) se rapporte à une machine, une application, un service, un composant logiciel, une ressource réseau ou un processus automatisé qui doit s’authentifier pour accéder à des données ou à des ressources dans un environnement, sans intervention humaine directe.

Voici quelques exemples :

  • Les robots qui effectuent des tâches répétitives dans le cadre de l’automatisation robotisée des processus (RPA).
  • Les pipelines CI/CD (par exemple, Jenkins, GitLab CI) qui utilisent des principes de service, des jetons ou des clés SSH pour accéder aux référentiels de code, créer des artefacts et déployer des applications.
  • Les applications ou microservices qui utilisent des clés API, des certificats TLS mutuels ou des jetons OAuth pour s’authentifier mutuellement.
  • Les ressources Cloud qui créent des identités virtuelles pour accéder en toute sécurité à d’autres services Cloud. Par exemple, une instance AWS EC2 peut utiliser un rôle IAM pour accéder à un compartiment S3.
  • Les scripts (par exemple, PowerShell, Python, Bash) qui utilisent des informations d’identification stockées ou des jetons pour se connecter à des systèmes ou à des bases de données.
  • Les agents autonomes basés sur l’IA qui ont besoin d’une authentification pour interagir avec des systèmes externes, des bases de données ou des API afin de recueillir des informations, d’effectuer des actions ou de mettre à jour des enregistrements en fonction de leurs objectifs programmés, qui sont alimentés par l’intelligence artificielle dans le domaine de la cybersécurité.
En quoi consistent les identités non humaines ?

Au-delà de l’évidence, les identités humaines et non humaines diffèrent dans leurs caractéristiques, leur gestion et les risques associés :

Aspect

Identité humaine

Identité non humaine

Représentation

Une personne physique (collaborateur, sous-traitant, etc.)

Une application, un service, un appareil, un script ou un robot

Interaction

Généralement interactive (écrans de connexion, invites)

Programmatique, automatisée, non interactive

Authentification

Mots de passe, MFA (OTP, biométrie, Push), SSO

Clés API, certificats, jetons (OAuth, JWT), secrets, Cloud IAM

Quantité

Généralement proportionnelle à la taille de l’effectif

Peut largement dépasser le nombre d’utilisateurs humains ; évolue en fonction de l’automatisation et des services

Durée de vie

Généralement liée à la durée de l’emploi/du rôle ; toutefois, les identités à privilèges peuvent être attribuées de façon temporaire

Liée au cycle de vie de l’application/service/appareil ; peut être de courte durée ou dangereusement statique

Gestion des informations d’identification

Réinitialisation des mots de passe, configuration/réinitialisation de la MFA, service d’assistance IT

Nécessite souvent une rotation automatisée, des outils de gestion des secrets (par exemple, coffre-fort), une injection sécurisée

Provisioning

Processus d’intégration et de suppression gérés par les ressources humaines

Exécuté via DevOps/développeur, lié aux pipelines de déploiement

Identités non humaines dans les environnements Cloud

Les NHI sont particulièrement répandues dans les environnements Cloud. La nature même du Cloud, basé sur les API, l’automatisation, la mise à l’échelle dynamique et l’infrastructure en tant que code (IaC), nécessite une utilisation intensive des NHI pour la communication, l’autorisation et le déploiement.

Toutefois, à cause de cette forte dépendance, les NHI représentent un grand risque dans le Cloud :

  • Les environnements Cloud peuvent contenir des milliers, voire des millions de NHI (machines virtuelles, conteneurs, fonctions, comptes de service, rôles). La gestion manuelle d’une telle quantité est pratiquement impossible.
  • Les informations d’identification stockées dans les fichiers de configuration ou dans le code peuvent être exploitées en cas de fuite.
  • Il est fréquent que les développeurs attribuent des autorisations excessives aux NHI pour des raisons de commodité, ce qui compromet le principe du moindre privilège.
  • Il peut être difficile de déterminer qui a créé une NHI, pourquoi elle existe et si elle est encore nécessaire. Des identités zombies peuvent donc exister.

Pour éviter ces risques, les organisations doivent utiliser des outils et des contrôles de sécurité spécialisés afin d’obtenir une visibilité de bout en bout sur les activités des NHI et appliquer une détection proactive des menaces.

Pourquoi la gestion des identités non humaines est essentielle pour les organisations

Si elles ne sont pas correctement gérées, les identités non humaines peuvent présenter des risques de sécurité qui entraînent des manquements à la conformité, des interruptions de service et même des violations de données. Voici pourquoi une gouvernance proactive des NHI est indispensable à votre organisation :

  • Chaque NHI est un point d’entrée potentiel. Une seule clé API compromise ou un seul compte de service compromis peut entraîner un mouvement latéral.
  • Les cadres réglementaires (par exemple, RGPD et HIPAA) exigent une gestion stricte des identités, notamment le suivi des comptes non humains.
  • Les NHI orphelines peuvent s’accumuler au fil du temps, créant une « prolifération d’informations d’identification » qui ralentit la réponse aux incidents.
  • Le manque de visibilité sur l’activité des NHI masque les menaces potentielles. En l’absence d’une gouvernance appropriée, il est tout simplement impossible de détecter un comportement anormal susceptible d’indiquer une violation.
Pourquoi la gestion des identités non humaines est essentielle pour les organisations

Bonnes pratiques de sécurité pour les NHI

Voici quelques bonnes pratiques à suivre pour réduire les risques courants liés aux NHI :

  • Attribuer uniquement les autorisations minimales nécessaires au fonctionnement des NHI.
  • Enregistrer et alerter sur les comportements anormaux des NHI (par exemple, un robot CI/CD accédant aux données de production à 3 heures du matin) via les règles SIEM (Security Information and Event Management, gestion des informations et des événements de sécurité).
  • Automatiser la rotation et la gestion des informations d’identification pour toutes les NHI.
  • Planifier des examens trimestriels des NHI pour déprovisionner les identités inutilisées (par exemple, les clés API obsolètes de certains microservices).
  • Classer les NHI en fonction des risques et appliquer les contrôles de sécurité correspondants.

Menaces courantes ciblant les identités non humaines

Votre stratégie de sécurité pour les NHI doit appliquer des mesures de protection contre les menaces suivantes :

  1. Vol d’identifiants : les assaillants volent des clés API, des identifiants de compte de service ou des certificats pour obtenir un accès non autorisé aux systèmes. Cela peut se produire à cause de référentiels mal configurés ou de variables d’environnement exposées.
  2. Élévation des privilèges : si les NHI bénéficient d’autorisations excessives et que des pirates parviennent à les compromettre, ils peuvent alors exploiter ces autorisations pour lancer des attaques par élévation des privilèges.
  3. Détournement de jetons : des jetons ou des identifiants de session compromis permettent aux assaillants de se faire passer pour des services et d’exécuter des actions non autorisées. Si ces jetons ne font pas l’objet d’une rotation appropriée, les assaillants peuvent les utiliser pendant de longues périodes sans être détectés.
  4. Attaques ciblant la chaîne d’approvisionnement : les services et les intégrations de tiers reposent souvent sur les NHI. Si les informations d’identification d’un fournisseur sont compromises, les assaillants peuvent les utiliser pour infiltrer les systèmes connectés.
  5. NHI orphelines (non surveillées) : les NHI qui ne sont plus utilisées, mais dont les informations d’identification sont encore actives, présentent un risque pour la sécurité. Sans un suivi approprié, ces comptes peuvent être facilement exploités.

Quand les entreprises doivent-elles mettre en place une gestion des identités non humaines ?

Si votre organisation utilise l’automatisation, des services Cloud ou tout type de communication de système à système, il est presque certain que votre environnement comprend des identités non humaines (NHI). Même si leur nombre est faible à l’heure actuelle, vous devez commencer à développer un système extensible de gestion des NHI sans attendre.

Au fur et à mesure que votre infrastructure se développe, le nombre de NHI peut augmenter de manière exponentielle, ce qui rendra plus difficile leur suivi et leur sécurisation à l’avenir. Un cadre de gestion structuré permet de prévenir les lacunes en matière de sécurité et de s’assurer que les NHI sont correctement contrôlées dès le départ.

Cycle de vie de la gestion des identités non humaines

Voici le cycle de vie typique des NHI :

  1. Découverte et inventaire : identifiez toutes les NHI (clés API, comptes de service, identifiants IoT, etc.) dans les systèmes Cloud, sur site et tiers.
  2. Classification et évaluation des risques : classez les NHI par importance (par exemple, « haut risque » si elles accèdent à des données sensibles). Vérifiez qu’il n’y a pas de permissions excessives, de secrets codés en dur ou d’identités inutilisées.
  3. Provisioning sécurisé : créez des NHI dotées des privilèges minimaux dont elles ont besoin pour effectuer leurs actions. Automatisez l’émission de certificats via des gestionnaires de secrets tels que HashiCorp Vault ou AWS Secrets Manager.
  4. Surveillance continue : mettez en place une surveillance continue de l’activité des NHI et une journalisation pour les pistes d’audit et la détection des menaces.
  5. Rotation et déprovisioning : automatisez la rotation des informations d’identification à l’aide de certificats SPIFFE/SPIRE ou de jetons éphémères. Formulez un processus pour supprimer de manière proactive les NHI orphelines.
  6. Audit : analysez les journaux d’activité des NHI pour détecter les comportements anormaux et les failles de sécurité potentielles. Veillez à ce que les pratiques de gestion des NHI restent conformes aux exigences réglementaires pertinentes.

Exemples d’identités non humaines en action

Examinons deux exemples de fonctionnement concret des NHI :

Script d’automatisation

Prenons l’exemple d’un script qui extrait des données d’une base de données sensible. Voici comment cela pourrait fonctionner :

  1. Un développeur crée un compte de service spécifique pour le script. Il ne dispose que des autorisations minimales pour accéder à la base de données.
  2. Le script utilise une clé API sécurisée ou les informations d’identification du compte de service pour s’authentifier auprès de la base de données.
  3. Chaque requête auprès de la base de données effectuée par le script est enregistrée afin de suivre l’activité et de détecter les anomalies.
  4. La clé API ou le mot de passe du compte de service fait l’objet d’une rotation périodique afin d’éviter toute exposition à long terme.
  5. Lorsque le script n’est plus nécessaire, son accès est révoqué et ses informations d’identification sont supprimées.

Machine virtuelle EC2

L’exemple suivant est celui d’une instance EC2 qui doit interagir avec d’autres services Cloud.

  1. Un rôle IAM est créé avec des autorisations spécifiques (par exemple, accès en lecture/écriture à S3 et DynamoDB).
  2. L’instance EC2 reçoit automatiquement des identifiants de sécurité temporaires via le service de métadonnées de l’instance.
  3. La machine virtuelle utilise ses informations d’identification temporaires pour effectuer des demandes d’API signées à S3 ou DynamoDB.
  4. AWS procède automatiquement à la rotation des identifiants temporaires afin de réduire la surface d’attaque.
  5. CloudTrail et CloudWatch enregistrent les demandes d’API pour détecter les tentatives d’accès non autorisé.
  6. Lorsque la machine virtuelle n’est plus utilisée, l’accès au rôle IAM qui lui est associé est également révoqué.

Cadres réglementaires et NHI

Les cadres modernes, tels que NIST CSF 2.0, PCI DSS 4.0.1 et ISO 27001:2022, mettent davantage l’accent sur la gestion spécialisée des NHI. Les organisations doivent tenir compte de ces recommandations, non seulement pour garantir la conformité, mais aussi pour atténuer de manière proactive les vulnérabilités en matière de sécurité.

Conclusion

Les identités non humaines sont devenues un élément essentiel des infrastructures informatiques modernes et leur sécurisation est indispensable pour maintenir une position saine en matière de cybersécurité. Une solide stratégie de sécurité des NHI fournit des lignes directrices claires, applique des contrôles cohérents et contribue à réduire les risques qu’elles représentent.

Unifiez votre environnement de sécurité des identités avec One Identity Fabric

One Identity Fabric n’est pas seulement une solution, c’est un écosystème qui relie de manière transparente des outils d’identité précédemment cloisonnés et unifie l’ensemble de votre cadre de gestion des identités et des accès (IAM).
Voir la solution