Les entreprises accordent une trop grande confiance aux utilisateurs privilégiés

Les entreprises accordent une trop grande confiance aux utilisateurs privilégiés…  Comment mieux encadrer cette confiance, via un programme PAM, pour éviter de graves failles ?

Les comptes à privilèges offrent un point d’accès stratégique à des informations d’entreprises hautement sensibles. Lorsqu’ils sont la cible d’attaques, les identifiants de ces comptes peuvent facilement permettre à des cyberattaquants d’accéder aux ressources les plus précieuses de l’entreprise, à savoir les bases de données, les réseaux sociaux, les données non structurées, etc engendrer des failes de sécurité graves. Pour combattre cela, la plupart des entreprises ont mis en place une forme ou une autre de gestion des accès privilégiés, pour réglementer et surveiller les accès de leurs utilisateurs ayant dans le cadre de leur activité des accès très larges au réseau de l’entreprise (administrateurs réseaux, systèmes, architectes, maintenance, etc.).

Les initiatives de projets de gestion des accès à privilèges, appelés PAM pour Privileged Access Management, sont cruciales, mais ne sont malheureusement pas toujours à la hauteur des espérances. Pour donner quelques clés aux responsables chargés de la mise en place d’initiatives PAM, examinons les raisons pour lesquelles ils finissent par échouer et les bonnes pratiques pour éviter de tels échecs.

Mauvais ciblage lors de la définition du périmètre

Première explication : au lancement d’un projet PAM, les besoins métiers essentiels tendent à être négligés au profit de fonctionnalités techniques moins indispensables. Certaines de ces fonctionnalités, qui paraissaient au départ intéressantes, ne sont pas nécessairement porteuses de valeur ajoutée pour l’entreprise. Prenons l’exemple de la distinction entre solutions avec agents et sans-agents : les solutions reposant sur un agent semblent offrir davantage de contrôle et d’informations, car elles opèrent à un niveau plus bas que les solutions PAM non basées sur un agent. Ces systèmes peuvent toutefois se révéler insuffisants face à un périmètre étendu, comme des périphériques réseau. Mais les agents sont coûteux à maintenir en conditions opérationnelles et génèrent du trafic réseau supplémentaire. Ils sont en outre susceptibles de stocker des informations sensibles sur des terminaux qu’il faut donc protéger. Sans compter qu’ils sont plus facilement contournables par les utilisateurs privilégiés et qu’ils retardent le processus d’implémentation.

Même si c’est une évidence, il est recommandé aux responsables de projets PAM de se concentrer en priorité sur les objectifs métiers en priorité plutôt que sur les aspects techniques. Pour cela, il est important de réfléchir aux résultats optimaux que l’on attend d’un programme de PAM sur le plan technique et du point de vue des utilisateurs. Le but étant que l’entreprise soit protégée à la fois contre les menaces internes et externes, dans la mesure où les personnes qui volent, détournent ou utilisent de manière abusive des comptes internes afin de s’approprier des données, peuvent venir de l’intérieur comme de l’extérieur…

Ensuite, un ensemble de paramètres et utilisateurs doivent être pris en compte avec une attention particulière :

Administrateurs en charge de la gestion quotidienne du système. S’agira-t-il d’administrateurs externes travaillant pour un fournisseur de services d’infogérance ou un autre prestataire ? Utilisateurs finaux qui accéderont chaque jour au système. Parties prenantes qui exigeront des résultats concrets (rapports, attestations, reddition de comptes). Cas d’utilisation : comment le personnel travaille-t-il actuellement ? Que faut-il changer et ne pas changer ?

Il est nécessaire d’assurer la sécurité et la conformité de l’entreprise sans pour autant alourdir le fardeau des utilisateurs et les empêcher d’accomplir efficacement leurs tâches. Les solutions PAM les plus pérennes sont celles qui perturbent le moins les utilisateurs et leur flux de travail.

Une trop grande confiance est accordée aux utilisateurs privilégiés

Octroyer des privilèges très étendus en pensant qu’ils sont nécessaires au bon fonctionnement de l’entreprise est un écueil dans lequel il est plus facile de tomber qu’il n’y paraît. Il est pourtant évident que plus on accorde de privilèges, plus on augmente le risque de failles de données. Une récente étude mondiale a par exemple révélé que deux tiers des personnes interrogées accordaient des accès privilégiés à des partenaires tiers, des sous-traitants ou des fournisseurs. Trop faire confiance aux utilisateurs, en particulier aux intervenants externes à l’entreprise, présente de gros risques.

En adoptant une approche « faire confiance, mais vérifier » en matière d’accès privilégiés, les entreprises peuvent garantir la bonne marche de l’activité moyennant un petit nombre d’étapes supplémentaires, tels que l’authentification à plusieurs facteurs ou bien la surveillance du comportement des utilisateurs et le contrôle des processus. Ce faisant, elles s’assurent que les privilèges sont utilisés dans le cadre strict des besoins de l’activité et des responsabilités confiées à l’utilisateur final.

Considérer le PAM comme un simple moyen de résoudre un problème plutôt que comme une stratégie de sécurité multicouche

Les programmes PAM ne couvrent bien souvent qu’une partie des problèmes sous-jacents, ce qui explique pourquoi certains d’entre eux sont inefficaces, n’atteignent pas les objectifs attendus ou échouent totalement. Comme dans d’autres domaines de l’IAM (Identity and Access Managementou gestion des identités et des accès), la mise en œuvre d’un projet PAM cloisonné, sans vision d’ensemble, sera une source de déception.

L’une des principales erreurs des entreprises est d’assimiler la gestion des mots de passe à un « projet PAM ». Bien qu’utiles à une stratégie PAM, les coffres-forts de mots de passe constituent une mesure indépendante qui ne résout pas toutes les problématiques liées aux utilisateurs privilégiés. L’ajout de couches de sécurité supplémentaires, par exemple en complétant la gestion des mots de passe par la surveillance et l’analyse des sessions, permettra un retour sur investissement bien plus important de votre stratégie de sécurité.

L’authentification à plusieurs facteurs est également un excellent outil pour sécuriser les accès. Encore une fois, si cette technique n’est pas complétée par d’autres éléments PAM, comme l’analyse du comportement des utilisateurs privilégiés, l’expérience utilisateur risque de pâtir de codes d’authentification inutiles lors des nombreuses tentatives d’accès qui ont lieu au cours d’une session de travail.

Un programme PAM ne peut être considéré complet s’il se limite à un petit nombre de disciplines. Une approche PAM globale doit au moins couvrir les aspects suivants :

Délégation de compte root Unix Coffre-fort contenant les informations d’identification Délégation Windows Délégation de compte administrateur Active Directory Authentification à plusieurs facteurs Suivi des sessions Analyse du comportement des utilisateurs privilégiés

Gouvernance des identités : un aspect négligé

L’IGA (Identity Governance and Administration ou gouvernance et administration des identités) n’est pas un concept creux de plus. L’idée est que, dans la mesure où les comptes à privilèges sont les principales cibles des attaques, la gouvernance de ces comptes et des accès doit être omniprésente. C’est pourquoi les grandes entreprises ont cherché à déployer une stratégie de gouvernance des identités qui non seulement englobe la solution PAM, mais l’intègre aussi avec les autres informations relatives aux privilèges, accès et ressources des employés. Cette approche permet d’évaluer les risques à l’échelle de l’entreprise, en tenant compte de toutes les formes de menaces potentielles.

Pour être couronné de succès, un programme PAM doit combiner intelligemment technologie, règles internes et collaborateurs, tous œuvrant simultanément à la gouvernance des identités. La technologie est une composante importante, car elle fournit une « source de vérité unique » applicable à chaque chose et individu. Pour autant, un programme PAM se résumant à un simple exercice technologique ne pourra pas s’attaquer à la racine des problèmes. Et ces derniers s’amplifieront. Par conséquent, chaque projet PAM doit être entrepris avec la gouvernance en point de mire.

Rappel des points clés d’un programme PAM de qualité :  

Un programme PAM doit tout d’abord être engagé avec une approche métiers plutôt que purement technologique. Il importe ensuite de déployer une stratégie fiable et vérifiable, s’appuyant sur différentes couches de sécurité PAM qui s’intègrent et interagissent les unes avec les autres de manière transparente, le tout depuis une seule source ou un nombre de sources aussi réduit que possible. Pour valoriser au maximum les investissements, financiers ou autres, il convient de considérer la situation dans sa globalité au lieu d’adopter une approche compartimentée du projet. La gouvernance doit être le point de convergence de toutes ces activités. Une fois le périmètre du projet correctement établi à partir de ces principes de base, le processus sera infiniment plus efficace. Il réduira les risques et renforcera la protection de l’entreprise contre les attaques résultant d’une mauvaise gestion des comptes à privilèges.


A découvrir