De l'importance de la gestion des comptes à privilèges dans l'éducation
Sans aucune distinction de secteur pour les cibles, les hackers s'en donnent à cœur joie. Et plus il y a de données, mieux c'est - or, les universités détiennent beaucoup de données.
“Chez qui y a-t-il eu une brèche aujourd'hui ?” Il semble rare qu'une nouvelle vague d'actualités n'apporte pas une révélation sur une entreprise, une administration ou un service Web ayant subi une brèche majeure qui impacte un grand nombre de personnes. Ce n'est que récemment que l'Université d'East Anglia en Angleterre a avoué deux brèches de données distinctes et présenté des excuses. Malheureusement, ce cas de figure va devenir de plus en plus courant dans la mesure où les acteurs malveillants ne font aucune distinction dans le choix de leurs cibles. Plus il y a de données, mieux c'est - or, les universités détiennent beaucoup de données.
Les brèches les plus graves sont inévitablement associées à des identifiants avec de fortes habilitations (en général, les identifiants utilisés pour l'administration), lesquels atterrissent entre de mauvaises mains. Aucune personne sensée ne donnerait les clés de son royaume à des acteurs néfastes, mais ces acteurs néfastes sont sournois. Ils mettent la main sur des identifiants d'utilisateurs plutôt anodins par le biais de l'ingénierie sociale, du phishing ou de force et utilisent des techniques de remontée hiérarchique et d'avancées latérales pour obtenir les accès des super-utilisateurs. À partir de là, tout est possible.
Un des piliers fondamentaux de la gestion des accès et des identités (l'IAM) est la mise en œuvre de la gestion des accès à privilèges (la PAM). L'IAM consiste à assurer que les bonnes personnes détiennent les bons accès aux bons systèmes, de façon correcte et aux bons moments, alors que la PAM applique ces principes et ces règles seulement aux comptes des "super-utilisateurs" et aux identifiants d'administration. Ces identifiants sont, par exemple, ceux de la myriade de comptes de services nécessaires à l'équipe IT pour travailler.
Dans les établissements d'éducation supérieure où de très nombreux administrateurs ont besoin d'un accès à des données à privilèges, la PAM a plutôt intérêt à être considérée comme une pratique prioritaire pour diminuer le risque d'une brèche et en minimiser l'impact en cas d'occurrence. Malheureusement, des indicateurs nous montrent clairement qu'aujourd'hui, la plupart des organisations n'ont pas adapté leurs programmes de PAM aux menaces en perpétuelle évolution.
One Identity a récemment mené une étude qui a mis en lumière des statistiques alarmantes concernant cette pratique de protection des plus importantes, concluant entre autres que 88% des répondants admettent rencontrer des difficultés pour gérer les mots de passe à privilèges. De plus, 40% gardent intact le mot de passe administrateur par défaut sur les systèmes, les serveurs et l'infrastructure ce qui, fonctionnellement, évite à un acteur malveillant de gros efforts pour essayer d'obtenir l'accès convoité.
Par ailleurs, 86% ne modifient même pas le mot de passe administrateur après qu'il a été utilisé, ce qui ouvre la porte aux acteurs malveillants et à leurs avancées latérales une fois entrés dans les systèmes. Cette enquête auprès de plus de 900 professionnels de la sécurité a également révélé que de trop nombreuses entreprises ont recours à des outils et à des pratiques dépassés pour sécuriser et gérer les comptes à privilèges et les accès d'administration, alors que près d'une sur cinq (18%) utilise des journaux en format papier pour gérer les identifiants à privilèges.
En substance, l'idée est simple : les actions de bon sens permettent de résoudre nombre de problèmes - par exemple changer le mot de passe administrateur après chaque utilisation et ne pas conserver le mot de passe par défaut. Également, une mise à niveau des pratiques et des technologies pour éliminer le risque d'erreur humaine ou les écarts dus à des pratiques d'administration des mots de passe laborieuses apporte une couche supplémentaire de garantie et de responsabilisation individuelle. Pour finir, élargir le programme PAM à toutes les vulnérabilités - et ne pas le cantonner à celles qui sont les plus simples à sécuriser - apportera des bénéfices exponentiels à la sécurité.