Terminaux : l'extension de protection à activer pour la gestion des comptes à privilèges

Le cloud a aboli les frontières dans un monde encore plus connecté avec la crise sanitaire où l'on se connecte partout, et notamment chez soi en tant que télétravailleur. Quid de la sécurité des accès pour préserver les données sensibles d'une organisation ? Et le terminal en lui-même, quelle solution pour le protéger et garantir une réelle protection globale de bout en bout ? En associant la gestion des privilèges à leur extension naturelle : les solutions assurant la sécurité des terminaux.

"PAM" : la gestion des comptes privilèges pour sécuriser efficacement le cloud

On ne peut nier, surtout dans notre contexte actuel, les bénéfices du recours au cloud : haute disponibilité, géo-redondance, “pay as you go”, réduction de temps de maintenance des services, applications toujours à jour et opérationnelles immédiatement, sécurité renforcée par rapport au premise, contrôle de sécurité plus solides…

 Mais qui dit plus solide ne dit pas infaillible. A l’ère du tout-partagé, les cybercriminels peaufinent leurs techniques d’attaques pour corrompre tout type de compte, humain comme non-humain, applicatif ou de service. Les process de gestion doivent donc être optimisés en étant soumis à de bonnes pratiques : il en va en effet de la (totale) sécurité des accès si on souhaite préserver les données sensibles d’une organisation.

Petit rappel de chiffres : selon McAffee, 27% des entreprises qui utilisent le SaaS ont été victimes d’attaques. Plus de 75% impliquent des comptes à privilèges, qu’il faut impérativement protéger efficacement car ils sont les plus sensibles.

Ces comptes disposent en effet de permissions élevées, et peuvent notamment effectuer des changements dans la configuration des systèmes. Ces permissions très fortes sont une cible privilégiée pour les hackers : elles représentent la clé du royaume, c’est-à-dire la possibilité pour eux de compromettre l’infrastructure de bout en bout.

La gestion des privilèges doit donc reposer sur une gestion selon un processus continu de protection adapté au cloud, alors qu’il implique un accès spécifique aux infrastructures, aux serveurs et aux applications hébergées par des tiers.

Au-delà du compte à privilèges, le terminal lui-même est donc clé.

Terminaux : une gestion complémentaire indispensable aux comptes à privilèges

Pour un bureau plus sûr, en entreprise comme en télétravail, la gestion des comptes à privilèges constitue donc un jalon primordial du processus de sécurité et de protection des données sensibles.

Première étape, donc : découvrir et supprimer les droits d’administrateur inutiles des utilisateurs finaux, gérer et vérifier les comptes autorisés, exécuter des demandes avec le moindre privilège… L’objectif : découvrir et identifier les utilisateurs finaux avec des droits administratifs locaux, en séparant les administrateurs légitimes de ceux qui ont plus de privilèges que nécessaires, afin de gérer ces deux types de populations différemment, assurant la sécurité des permissions.

Une fois les bonnes personnes identifiées et validées et les droits caduques supprimés, il va s’agir de renforcer la sécurité de l’environnement et des terminaux en automatisant le cycle de mots de passe utilisés, et en contrôlant toute exécution de logiciel inconnus, non autorisé ou malveillant. Et ce, toujours dans une logique de moindre privilège informatique. Il est possible de renforcer considérablement la sécurité et de limiter l’exposition à la vulnérabilité en assainissant les permissions des utilisateurs sur les terminaux. Il ne suffit pas de seulement de retirer les droits d’administrateur aux utilisateurs, car comme nous l’avons vu, certains ont en un besoin légitime. La solution consiste donc à permettre aux utilisateurs d’exécuter certaines applications identifiées et autorisées avec des permissions plus élevées sans pour autant donner ces permissions a l’utilisateur sur l’ensemble du terminal. Les droits pourront ensuite être restreints à la demande, pour réduire les chances qu’un code malveillant infiltre l’environnement.

L’Endpoint Privilege Management (EPM), indissociable d’une stratégie de Privileged Access Management (PAM)

A cette fin, il sera nécessaire de s’appuyer sur des normes industrielles éprouvées, telle que l’automatisation de la configuration de la sécurité. Traçabilité, limitations, contrôle, monitoring, enregistrement : autant de mots-clés qui montrent que le sujet de la gestion des comptes à privilèges est indissociable de l’Endpoint Privilege Management (EPM), cette nouvelle génération de protection qui repose sur la mise en œuvre de réponses immunitaires des terminaux. Il ne s’agit pas seulement d’identifier et de bloquer une attaque, mais bien de réduire au maximum la surface potentielle de celle-ci.

L’objectif : rendre l’inconnu connu, et atteindre “l’ultimate goal”. Celui d’éliminer les droits d’administration, qui, selon Microsoft, reste encore la meilleure approche pour supprimer près de 96% des vulnérabilités critiques dans des environnements comme Windows.

EPM : les erreurs à éviter 

Bien sûr, pour réussir la mise en œuvre d’une stratégie d’EPM, il faudra veiller à ne pas entraver la productivité des utilisateurs. Si les contrôles de sécurité imposés par l’informatique sont trop restrictifs, votre approche sera vouée à l’échec. 

Limitez donc les privilèges des utilisateurs et des applications sans empêcher les collaborateurs d’effectuer leur travail. Il existe deux écoles en termes de méthodologies d’implémentation de solution EPM. La première consiste à retirer les droits d’administrateurs de tous les utilisateurs dès le premier jour, en appliquant des contrôles ou politiques prédéfinis qui couvrent entre 60% et 80% des applications connues, et découvrir le reste des applications au fur et a mesure. Cette approche permet un résultat plus rapide mais impose un changement plus brusque pour les utilisateurs finaux.

La seconde consiste à d’abord découvrir et analyser le comportement des utilisateurs sans contrôle. Au bout d’un certain temps, il possible d’avoir une carte complète des droits et permissions nécessaires afin de créer des politiques de contrôles bien plus précises lorsqu’elles seront appliquées aux utilisateurs. Cette approche nécessite beaucoup de temps et d’effort pour l’analyse des données qui seront très volumineuses, mais moins intrusive pour les utilisateurs.

Pensez planification, collaboration, communication et gestion du changement, et n’hésitez pas à recourir aux bons outils pour répondre aux besoins divers des équipes de sécurité, des administrateurs informatiques, du personnel d’assistance comme des utilisateurs. La meilleure stratégie est celle qui reste (quasi) invisible pour la productivité de vos équipes. A vous de jouer !