En finir avec les droits d’accès obsolètes

Bien que la plupart des organisations aient mis des règles et des procédures en place afin de bloquer l’accès aux données suite au départ d’un employé, ces usages ne sont toutefois pas toujours systématiques.

Contrairement à de nombreuses idées reçues, il ne suffit pas qu’un employé quitte une entreprise pour que la menace interne qu’il représente disparaisse, au contraire. De nombreux exemples récents de personnes ayant compromis les réseaux de leurs anciennes entreprises confirment en effet le manque de précautions prises en termes de sécurité.

Par exemple, un ancien employé du CHU de Monaco, mécontent de ne pas avoir été titularisé, a récemment été condamné pour avoir infecté le système informatique de l’hôpital avec des logiciels malveillants et divulgué des données confidentielles. Outre-Atlantique, au Tennessee, un homme a volé pendant deux ans des données de son précédent employeur au profit de l’entreprise qu’il avait créée.

Bien que la plupart des organisations aient mis des règles et des procédures en place afin de changer les identifiants et bloquer l’accès aux données suite au départ d’un employé, ces usages ne sont toutefois pas toujours systématiques ; ils diffèrent d’une entreprise à l’autre et dépendent de l’infrastructure du réseau. En effet, lorsque tous les accès ne sont gérés que par une poignée de personnes, la gestion des comptes et des droits est facile. A l’inverse, elle devient ardue si l’infrastructure est plus complexe, avec plusieurs systèmes et des responsables différents pour chacun, ou encore si des applications sont basées dans le cloud. En outre, s’il n’existe pas de procédure établie regroupant et expliquant la marche à suivre lorsqu’un collaborateur quitte la société, il est fort probable que les droits d’accès perdurent.

Il arrive alors que des comptes obsolètes restent actifs et soient donc encore accessibles en interne mais également de l’extérieur. Idéalement, tous les comptes administrateurs doivent être surveillés, et chaque connexion soumise à une authentification à plusieurs facteurs avant d’être autorisée. Plus largement, tout accès au réseau représente un privilège qui doit être géré de l’arrivée au départ de chaque utilisateur. Même les employés qui ne font pas partie du service informatique et disposent de droits d’accès limités présentent un risque – malveillant ou accidentel – tant que leurs privilèges ne sont pas surveillés correctement. Concrètement, dans une organisation, les ressources humaines disposent des informations personnelles des collaborateurs, les équipes commerciales traitent des données clients, et le marketing interagit avec le public au travers de canaux de communication et collecte également des données. Autant d’informations qui peuvent être revendues ou compromises.

Des droits qui s’accumulent

Les fonctions et responsabilités des employés évoluent, peuvent parfois être floues, et les droits d’accès s’accumuler au fur et à mesure des années. Un mot de passe donné pour une seule connexion n’est bien souvent pas invalidé ou modifié après cette utilisation. En théorie, le service informatique gère les droits et sécurise les accès aux données ou aux systèmes. Mais en pratique, les accès sont autorisés et donnés par des superviseurs sans prévenir ce département dont c’est normalement la tâche. Ce service découvre aussi parfois que des utilisateurs ont accès à des systèmes dont il ignore même l’existence, tels un programme de partage de dossiers ou une base de données marketing. Concernant le départ d’un collaborateur, il revient souvent aux ressources humaines de se charger des tâches administratives associées. Ce service se repose alors sur l’IT pour supprimer les accès aux systèmes informatiques. Cependant, dans beaucoup de cas, aucune de ces deux équipes, RH et technique, ne possède de liste officielle de l’ensemble des comptes et droits cumulés tout au long de sa collaboration. D’anciens employés conservent immanquablement certains accès aux ressources, ce qui engendre de nouvelles vulnérabilités en termes de menaces internes.

Les bonnes pratiques

Comme souvent lorsqu’il s’agit de sécurité, une gestion exhaustive des accès repose à la fois sur le règlement et sur la technologie. Etant donné que le service informatique n’autorise et n’assigne pas la totalité des accès au système, il est indispensable qu’un programme de gestion des connexions complet soit mis en place. Ce dernier doit de plus être étendu à l’ensemble des services de l’entreprise pour assurer une cybersécurité optimale. Par conséquent, sont concernés tous les managers donnant des droits d’accès à des systèmes ou des informations qui sont la finalité des hackers qui tente de s’introduire. Des règles doivent de plus être définies afin d’établir les conditions d’obtention des accès, de mettre en place une solution pour surveiller toutes les connexions, ainsi que de gérer les comptes assidument pour révoquer les privilèges qui n’ont plus lieu d’être.

Si les entreprises veulent protéger toutes leurs données, il est indispensable qu’elles déploient une cyberprotection qui protège et contrôle l’ensemble des comptes à privilèges, en automatisant par exemple la suppression des droits lorsqu’un collaborateur quitte la société. De plus, une solution de cybersécurité est capable de notifier la création de backdoors, ou toute activité suspecte, ce qui permet d’arrêter un hacker ayant profité d’une vulnérabilité. Finalement, une cyber-hygiène complète inclue à la fois des règles internes, des habitudes à adopter ainsi qu’une technologie optimisée. Une triple alliance qui représente une sécurisation idéale pour faire face aux menaces actuelles.

Alliance / Base de données