Gestion des utilisateurs à privilèges : les idées reçues ont encore de beaux jours devant elles

La sécurité périmétrique (firewall, IPS/IDS, VPN …) est souvent bien connue et maîtrisée mais pense-t-on suffisamment aux personnes ayant des droits de modifications sur un réseau (administrateur interne ou externe, prestataire etc.) ?

Voici cinq affirmations qui prouvent que cet aspect de la sécurité des SI est parfois méconnu ou pétri d’idées reçues.

1. Notre système vient d’être audité, nous sommes conformes.

L’idée reçue : un audit qui se conclue de façon positive n’est absolument pas synonyme d’imperméabilité aux attaques, en témoignent toutes les entreprises hackées ces dernières années des deux côtés de l’Atlantique.
Pourquoi ?
Premièrement parce que la plupart des départements informatiques déploient généralement toute l’énergie nécessaire au moment des audits mais ont tendance à perdre de vue la conformité le reste de l’année. Ensuite, les auditeurs ne savent pas toujours où rechercher des failles et peuvent tout à fait être mal aiguillés.
Les pirates ne préviennent pas avant d’attaquer un système et ils ne tomberont certainement pas sur les failles de sécurité de votre entreprise par hasard. Ils savent généralement exactement ce qu’ils cherchent et ils le trouveront fort probablement.

La réalité
: ne concentrez pas toute votre attention sur l’audit en question. Ayez davantage en mémoire que la conformité est un travail de tous les instants. Toute faille de sécurité est à étudier et à solutionner sur le long terme, plutôt qu’un simple « trou » à combler à tout prix.

2. Nos politiques de sécurité prévoient une réinitialisation régulière des mots de passe

L’idée reçue : même si les identifiants des utilisateurs « lambda » sont régulièrement et automatiquement modifiés, les utilisateurs à privilèges, eux, ne sont pas concernés par ces process en place et leurs mots de passe sont, par conséquent, très rarement modifiés. Il est inutile de penser que, parce que les administrateurs changent les mots de passe manuellement, un périmètre de sécurité est en place. La tâche est tout simplement trop ardue, trop étendue et trop difficile à maintenir dans le temps.
Une personne se connectant physiquement à des machines ou même via des scripts pour changer les mots de passe et être en règle avec les normes de conformité rencontrera forcément, au mieux des difficultés, au pire des complications. Pensez à tous les services (souvent interdépendants) installés sur des machines accessibles à des utilisateurs à privilèges qui doivent être correctement arrêtés avant qu’un changement ne soit appliqué, puis redémarrés. C’est une mission difficile, source d’erreurs et très consommatrice de temps.

La réalité :
avant de déployer un nouveau dispositif ou un programme sur votre réseau, assurez-vous que l’ensemble des mots de passe par défaut a été modifié. Ceci est plus facile à dire qu’à faire : il y a probablement plus d’identifiants partagés que vous ne l’imaginez.

3. Nos administrateurs système ont chacun leurs identifiants pour les comptes à privilèges. Il n’y a aucun risque.

L’idée reçue : malheureusement, dans ce domaine, la facilité l’emporte sur la sécurité. Combien de sociétés étaient persuadées que les identifiants des comptes à privilèges étaient uniques mais se sont rendu compte que ça n’était pas le cas ? On a déjà vu des sociétés mères communiquer les identifiants aux comptes à privilèges à une filiale sans les modifier par la suite. Ainsi, l’équipe IT de la filiale peut, en toute liberté, accéder aux données de la société mère sans aucun réel contrôle ni aucune traçabilité.
La réalité : planifiez un changement de mot de passe de vos comptes à privilèges tous les 60 jours, maximum. N’oubliez pas de choisir des mots de passe uniques et complexes pour chaque compte.

4. Notre département informatique contrôle les accès

Les mots de passe des comptes à hyper privilèges sont souvent intégrés aux applications ou communiqués à des prestataires externes. Ces identifiants étant partagés, il est absolument impossible de savoir exactement qui se cache derrière une connexion et ce qui a été fait pendant la session. De la même façon, ces mots de passe étant assez peu fréquemment modifiés, un employé ayant quitté la société ou un prestataire externe arrivé à échéance de son contrat pourra tout à fait utiliser ces crédences et pirater le système.
En ce qui concerne les comptes administratifs, ils sont très nombreux et les identifiants sont également partagés. Tous les utilisateurs à privilèges utilisant les mêmes identifiants pour accéder à une machine et intégrer des modifications, on ne sait jamais véritablement qui est l’auteur de ces changements ou même qui a eu accès à des données sensibles. Enfin, il faut également aborder le problème de la gestion du turn-over. Certains employés évoluent, changent de poste ou même quittent la société. Si leur identifiant ne sont pas modifiés après leur évolution ou leur départ, ils auront toujours accès à des informations qu’ils n’ont pas besoin de connaître ou à des services qui ne leur sont plus utiles.

5. Nous avons mis en place une solution d’IAM, notre réseau est sécurisé

Comme nous l’avons évoqué auparavant, les entreprises n’ont souvent rien mis en place pour contrôler les comptes à très haut privilèges utilisés pour les urgences ou les accès administratifs plus classiques.
En d’autres termes, aucune solution de sécurité existante comme un firewall ou un logiciel d’IAM ne sait tracer et contrôler les accès à privilèges ; et à moins de posséder une solution dédiée au contrôle des utilisateurs privilégiés, ça ne sera jamais le cas.

La réalité
 : Mettez en place des outils capables de répertorier tous les comptes à privilèges, surveillez les actions douteuses, auditez l’ensemble des activités et contrôler leur administration.

Autour du même sujet