Cisco assure l’avenir de l’innovation en sécurisant toutes les identités

Résumé

Cisco utilise la plateforme de sécurité des identités de CyberArk pour fournir des accès à privilèges dynamiques et en un clic, dont le personnel a besoin pour offrir et développer des services à ses clients, ainsi que pour accélérer et sécuriser les pipelines DevOps gràce à une stratégie de gestion dynamique des secrets.

À propos de l’entreprise

Cisco est une multinationale spécialisée dans les technologies de communication numérique, et dont le siège est situé à San Jose, en Californie, aux États-Unis. Présente dans 180 pays du monde entier, l’entreprise fournit des services selon six piliers stratégiques : des réseaux sécurisés et agiles ; le travail hybride ; des expériences d’applications optimisées ; une sécurité de bout en bout ; l’Internet du futur ; et le développement de capacités en périphérie.

Employés : 100 000

Les défis

Imaginez la pression à laquelle vous êtes soumis lorsque vous devez sécuriser les flux liés aux clients, au personnel, aux actifs et aux opérations commerciales de l’une des entreprises informatiques les plus en vue au monde. Cette responsabilité incombe à Santosh Prusty, Senior Leader, Enterprise Security Team chez Cisco, et le défi est de taille. L’activité de Cisco repose sur ses 100°000°collaborateurs, ainsi que des centaines d’entreprises partenaires dans le monde et plus d’un millier d’applications.

« Il y a quelques années, nous avons fait l’inventaire de nos lacunes en matière de gestion des accès et des identités à privilèges », explique M. Prusty. « Nous avions une solution en place, sans capacité de gouvernance ni de supervision, pour savoir qui faisait quoi. Nous nous sommes donc mis en quête d’un produit permettant de combler ces lacunes et de répondre à nos futurs besoins en matière de sécurité des identités. »

Depuis plus de 50 ans, Cisco est un acteur essentiel dans la plupart des réseaux technologiques et des infrastructures informatiques des entrerpises du monde entier. Mais le paysage des menaces change pour Cisco et pour bien d’autres entreprises : non seulement les menaces traditionnelles comme les logiciels malveillants (malware) et les ransomware ont évolué, mais on observe également une montée en puissance des attaques de la chaîne logistique, qui justifient d’accorder une plus grande importance à la sécurité des identités.

« Au cours des dix dernières années, la transformation numérique, l’automatisation des infrastructures et l’intelligence artificielle ont modifié notre perception du paysage des menaces dans son ensemble », déclare M. Prusty. « Si nous utilisons notre propre infrastructure, nous nous sentons en sécurité, car elle se trouve dans notre propre périmètre. Mais avec une organisation distribuée, des collaborateurs à distance et la démocratisation du télétravail, les connexions à notre réseau depuis l’extérieur augmentent considérablement. Comment nous assurer que nos identités ne sont pas compromises ? »

M. Prusty expose alors une situation que les principaux rapports sur le paysage des menaces ne cessent de confirmer : 74 % des violations de données incluent un facteur humain, que ce soit en raison d’une erreur, d’un abus de privilèges, de l’utilisation d’identifiants volés, ou du recours à l’ingénierie sociale. « Jusqu’ici, les identités se concentraient principalement sur le nom d’utilisateur et le mot de passe », déclare M. Prusty. « Aujourd’hui, l’identité recouvre plusieurs types d’identifiants, les autorisations, ainsi que les ordinateurs portables ou tout autre appareil que nous utilisons pour travailler. La surface d’attaque est très étendue. Et les cibles ne sont pas uniquement humaines ; il existe des identités non humaines que chaque entreprise doit sécuriser, contrôler et gérer. »

Cisco a organisé la sécurité des identités selon trois grands piliers : l’identité interne, l’identité externe et l’identité à privilèges. Mais la surveillance des sessions d’utilisateurs à privilèges présentait toujours une lacune. L’entreprise manquait d’une vue centralisée des rapports d’audit et de l’activité des différents utilisateurs. Cisco est une grande entreprise internationale, qui régit une multitude de produits, services et de partenaires. Elle avait besoin d’une meilleure vision globale de ses accès à privilèges et de ses identités afin d’améliorer sa gouvernance et de mieux contrôler son environnement.

Les solutions

Cisco a décidé de faire appel à CyberArk en raison de sa position dominante et de son savoir-faire reconnu en matière de sécurité des identités et de gestion des accès à privilèges (PAM). L’entreprise avait besoin d’une solution capable de combiner le contrôle des accès à privilèges humains et non humains, ainsi que l’identité au sein d’une plateforme unifiée ; l’objectif était de pouvoir auditer et sécuriser de manière centralisée l’attribution des autorisations d’accès.

Le déploiement par Cisco de la plateforme de sécurité des identités de CyberArk comprend CyberArk Privileged Access Manager et CyberArk Conjur Enterprise. L’entreprise envisage également de déployer dans un avenir proche les produits de nouvelle génération CyberArk Secrets Hub et CyberArk Dynamic Privileged Access. Cisco tire parti des vastes capacités d’intégration de CyberArk pour intégrer ces produits à Duo, la solution d’authentification multi-facteurs (MFA) de Cisco, ainsi qu’à d’autres applications telles que SailPoint et Saviynt pour automatiser les processus de gouvernance des identités et simplifier l’intégration des utilisateurs et des secrets utilisés par les applications dans l’ensemble du pipeline DevOps. Hébergé sur AWS, CyberArk Conjur est utilisé dans toute l’infrastructure hybride et multi-cloud de l’entreprise pour piloter et contrôler la gestion des secrets. La solution offre aux ingénieurs DevOps un processus simple pour remplacer le codage en dur des identifiants par des API qui récupèrent les secrets dont les applications ont besoin pour exécuter leurs charges de travail dans l’ensemble du pipeline CI/CD (intégration et livraison continues).

« Nous sommes très fiers de ce que nous avons accompli avec ce programme. La plateforme de sécurité des identités de CyberArk nous aide à sécuriser et à gérer toutes les identités, humaines et non humaines, grâce à une solution unifiée. Nous sécurisons 50 000 identités humaines à privilèges, nous isolons et surveillons plus de 25 000 sessions par mois et nous produisons plus d’un millier d’heures de sessions enregistrées par jour. Du point de vue de la gestion des secrets, nous stockons et renouvelons des dizaines de milliers d’identifiants utilisés par les applications et nous gérons plus de 40°millions d’appels de secrets par API chaque mois.°» – Santosh Prusty, Senior Leader, Enterprise Security Team, Cisco

Cisco est l’un des plus grands consommateurs d’infrastructures cloud, notamment AWS, Azure et GCP, en plus d’héberger un environnement sur site impressionnant, ce qui en fait une entreprise véritablement hybride et multi-cloud. À ce titre, il lui fallait une solution de sécurité des identités capable de sécuriser de manière globale les accès humains et non humains sur les diverses plateformes cloud et auto-hébergées.

La prochaine étape se concentrera sur deux cas d’usage liés aux fonctionnalités de la plateforme de sécurité des identités de CyberArk : CyberArk Secrets Hub contribuera à l’amélioration de l’efficacité opérationnelle et à l’accélération des pipelines DevOps. Les développeurs pourront continuer d’utiliser les services natifs de gestion des secrets AWS et Azure, avec lesquels ils sont familiarisés, tandis que l’équipe de sécurité gérera et auditera de manière centralisée les identifiants de leurs applications dans CyberArk. À l’avenir, Cisco utilisera aussi CyberArk Conjur afin de créer des applications cloud portables, approvisioner les instances cloud et permettre aux utilisateurs de gérer et stocker les secrets des clés API, les informations d’identification des applications et des bases de données. CyberArk Dynamic Privileged Access (DPA) contribuera à réduire l’empreinte opérationnelle et les risques associés à l’accès permanent en créant un accès éphémère limité dans le temps sur la machine virtuelle ou le serveur cible, avec des politiques de contrôle d’accès basés sur les attributs (ABAC). Les équipes de sécurité établiront des connexions isolées avec un accès juste à temps (JIT) pour les administrateurs en utilisant leurs clients RDP et SSH préférés et en tirant parti de l’authentification adaptive multi-facteurs (MFA) sensible aux risques. Le tout sans avoir besoin d’avoir recours à des agents ou à des VPN pour servir de passerelle de connexion pour les sessions sécurisées, isolées et surveillées.

Les résultats

Pour Cisco, la valeur ajoutée par CyberArk est triple :

1. Améliorer les opérations commerciales en permettant la gestion des secrets des utilisateurs finaux en un seul clic.
2. Renforcer la gouvernance de la sécurité, en supervisant et en régissant l’accès des utilisateurs.
3. Éliminer le codage en dur des identifiants dans l’ensemble du pipeline DevOps et améliorer l’efficacité opérationnelle des développeurs en leur offrant un moyen simple d’exploiter les appels API pour récupérer les secrets, ce qui leur permet de se concentrer sur les activités à plus forte valeur ajoutée.

« Maintenant que nous avons tout centralisé dans une seule plateforme de sécurité des identités, nous sommes plus efficaces du point de vue de la gestion et de l’exploitation des accès à privilèges », déclare M. Prusty. « Nous avons pu fournir à nos administrateurs et à nos développeurs un moyen sécurisé et flexible de se connecter à leurs actifs. CyberArk protège ainsi 50 000 comptes à privilèges et la plateforme a géré 40 millions d’appels de secrets API par mois vers Conjur, ce qui est un impératif pour nous. Nous avons également mis en œuvre plusieurs automatisations et intégrations en vue de simplifier l’intégration des utilisateurs et des applications. Auparavant, l’intégration prenait des semaines. Aujourd’hui, elle s’effectue de manière transparente et automatique en quelques minutes. »

Autre point fort de CyberArk : l’amélioration de la visibilité et de la supervision. « Avec CyberArk, chaque session est enregistrée et stockée », poursuit M. Prusty. « Nous pouvons revenir en arrière pour voir ce qui s’est passé, qui s’est connecté, dans quelle région, quand et combien de temps. Cela nous donne des informations précieuses pour l’analyse et l’audit. »

Cisco a établi un partenariat stratégique avec CyberArk. Grâce au programme « Blueprint » et aux « Success Plans » de CyberArk, nous avons pu définir ensemble et exécuter une feuille de route commune visant à atténuer les risques de façon permanente et quantifiée, tout en permettant à Cisco d’améliorer son efficacité opérationnelle. « Ces trois dernières années, CyberArk a été un partenaire de premier ordre pour Cisco », reconnaît M. Prusty. « À présent, nous prévoyons de faire évoluer notre plateforme de sécurité des identités CyberArk pour tirer parti des nouvelles solutions que CyberArk développe. En déployant un produit comme CyberArk Dynamic Privileged Access (Accès à Privilèges Dynamiques) au sein de Cisco, nous réduisons considérablement notre surface d’attaque en fournissant un accès juste à temps, plutôt qu’un accès permanent à des milliers d’utilisateurs-administrateurs. »

« L’utilisation de CyberArk Secrets Hub nous permettra de répondre aux besoins des développeurs, quel que soit l’endroit où ils se trouvent. Les développeurs utiliseront l’outil natif de gestion des secrets des fournisseurs du cloud tandis que nous gérerons et auditerons les secrets de manière centralisée dans CyberArk. »– Santosh Prusty, Senior Leader, Enterprise Security Team, Cisco

Un défi urgent chez Cisco concerne la gestion des fournisseurs. « Cisco travaille avec une chaîne d’approvisionnement regroupant des centaines de partenaires dans le monde entier », déclare M. Prusty. « Ces partenaires sont au cœur de l’activité de Cisco, et nous voulons donc nous assurer de leur réussite. Mais nous devons réfléchir à simplifier la gestion et la gouvernance des partenaires de la chaîne d’approvisionnement et à leur donner les accès dont ils ont besoin de manière efficace. Il est également nécessaire de simplifier la façon dont nos équipes de support technique et de gestion des fournisseurs travaillent avec nos partenaires pour faciliter la fluidité des transactions. C’est précisément pour relever ces défis que nous consultons CyberArk. »

« CyberArk propose actuellement de nombreuses initiatives et développe des solutions innovantes comme CyberArk Secure Web Browser, qui déploient l’IA sur l’ensemble de la plateforme pour renforcer la sécurité du cloud et permettre l’accès sans mot de passe. C’est un grand plaisir que de faire partie de cette aventure », conclut M. Prusty. « Nous travaillons sur une stratégie sans mot de passe et je suis heureux de voir que CyberArk est à l’avant-garde de cette technologie et pense à l’avenir. Nous sommes fiers de nous associer à eux pour gérer et régir certains de nos cas d’utilisation spécifiques.

Les bénéfices clés

• Consolider la gestion des accès à privilèges et la sécurité des identités sur une seule plateforme
• Gèrer les données de l’entreprise à grande échelle, avec 40 millions d’appels de secrets API par mois réalisés avec Conjur
• Protéger 50 000 comptes d’accès à privilèges
• Isoler et superviser plus de 25 000 sessions par mois
• Enregister plus de 1 000 heures de sessions par jour
• Permettre un accès en un clic, rapide et sécurisé aux systèmes d’entreprise
• Fournir une feuille de route de sécurité pour adresser les défis et améliorations de demain