Ce que maladies végétales et accès à privilèges ont en commun

Quel rapport peut-il bien y avoir entre les champignons sylvestres et la cybersécurité ? Le point.

Au début du XXe siècle, une maladie végétale peu connue, la rouille vésiculeuse du pin blanc, est apparue en Amérique du Nord et a commencé à ravager rapidement des forêts entières. Alors que la maladie se propageait dans tout le pays, le gouvernement est intervenu pour protéger l’industrie du bois en interdisant la culture et la vente de groseilles à maquereau et de groseilles à grappes — deux espèces d’apparence innocente qui étaient pourtant à l’origine de l’épidémie.

En tant qu’hôtes, ces baies portaient la maladie sans être elles-mêmes touchées, servant essentiellement de rampe de lancement pour le virus. L’idée était qu’en éliminant ces deux plantes, la rouille vésiculeuse du pin blanc ne pourrait plus se reproduire et infecter les pins plus vulnérables. Toutefois, dans le processus, les consommateurs de l’époque ont été privés de deux fruits d’été très populaires à l’époque, ainsi que de leurs nombreux bienfaits pour la santé ; le cassis fournit en effet quatre fois plus de vitamine C que les oranges. Fort heureusement, l’interdiction fût levée dans les années 1960, et de nouvelles variétés de groseilles à maquereau et à grappes résistantes à la rouille ont été produites.

Du végétal au cyber, il n’y a qu’un pas

Le parallèle avec les intrusions dans les systèmes est plus simple qu’il n’y parait. Que cela soit une bactérie ou un virus informatique, une infiltration est nécessaire pour atteindre la cible et perpétrer le méfait ou répandre l’infection. En cybersécurité, les cyber-intrus suivent généralement une série d’étapes successives pour exécuter leurs attaques. Si les méthodes dont ils disposent pour amorcer leurs efforts sont nombreuses, la compromission d’identités et l’utilisation abusive d’identifiants à privilèges – c’est-à-dire de niveau administrateur – constituent une tactique particulièrement productive.

Si la plupart des organisations ont aujourd’hui conscience de cette « voie royale vers les données de l’entreprise », elles tendent encore à ignorer qu’elles en possèdent en grand nombre et que ces accès doivent être surveillés et gérés, afin d’éviter toute vulnérabilité pouvant conduire à une faille. En effet, outre les utilisateurs humains, de nombreux identifiants à privilèges sont codés en dur ou intégrés dans des logiciels, systèmes et serveurs d’entreprise, permettant le bon fonctionnement de l’entreprise. Or, puisque ces accès ne peuvent pas être complètement éradiqués et qu’ils sont indispensables à un écosystème IT sain, il est essentiel d’analyser leur coexistence pacifique dans des environnements constamment exposés à des menaces telles que les infections par ransomware provenant de terminaux. Et c’est là que le parallèle avec les maladies végétales intervient.

Guide pratique de l’éradication de la rouille vésiculeuse du pin blanc

Les organisations peuvent ainsi s’inspirer du guide pratique pour l’éradication de la rouille vésiculeuse du pin blanc et appliquer une logique similaire à celle utilisée par les experts forestiers et agricoles du milieu du siècle dernier :

  • Gérer de manière sécurisée les groseilliers et les groseilliers à maquereau « hôtes » (ou, dans notre cas, les comptes d’administrateurs locaux à privilèges), en compliquant la tâche de la rouille (ou de l’attaquant) qui cherche à s’introduire dans un pin blanc sensible (ou dans le réseau IT), tout en appliquant des politiques granulaires de moindre privilège pour les administrateurs IT qui disposent d’un accès puissant.
  • Supprimer la capacité des nouvelles espèces de plantes à baies à véhiculer le virus. Dans le domaine numérique, cela revient à supprimer les droits d’administration des comptes d’utilisateurs ordinaires. C’est l’un des moyens les plus efficaces de réduire la surface d’attaque des terminaux. Si les utilisateurs finaux ont besoin de privilèges élevés pour effectuer certaines tâches approuvées, comme la mise à jour de Windows ou la modification des paramètres d’alimentation de leur ordinateur portable, l’élévation automatique des privilèges selon le principe du juste-à-temps peut leur accorder automatiquement les privilèges dont ils ont besoin pendant une certaine période, et les leur retirer dès que la tâche est terminée.
  • Surveiller attentivement les autres espèces qui pourraient menacer la forêt — et les analyser avant qu’elles ne se développent et ne se propagent. Dans notre analogie avec l’entreprise, si un utilisateur final lance sur son ordinateur portable une application obsolète, inconnue ou non approuvée par l’organisation, la capacité à analyser rapidement le niveau de risque associé à l’application peut permettre d’identifier, de bloquer et de contenir les attaques au niveau du terminal — le tout sans entraver la productivité de l’utilisateur final ni surcharger les équipes du service d’assistance IT.
  • Favoriser la santé et la croissance de l’arbre en faisant appel à des arboristes expérimentés et à leurs outils pour résoudre les problèmes (ou les vecteurs d’attaque courants, tels que les mots de passe enregistrés ou les applications réputées dangereuses ou « sur liste noire ») qui mettent l’arbre (ou l’entreprise) en danger, élaguer le bois mort (par exemple en supprimant les droits excédentaires) et aider toutes les parties vivantes de l’arbre (ou les utilisateurs) à travailler ensemble de manière productive, sûre et contrôlée.

En suivant ces étapes simples, mais efficaces, dans le cadre d’une approche de défense en profondeur, toute organisation peut réduire considérablement le risque posé par les ransomwares et d’autres attaques ciblant les terminaux, sans créer de frictions pour les utilisateurs. En d’autres termes, elles pourront déguster et savourer sereinement leur tarte aux groseilles !