Cybercrise : l'importance du déploiement d'une solution de PAM

Avec l'intensification du conflit en Ukraine début février 2022, les cyberattaques visant les entreprises occidentales se sont intensifiées.

Le rançongiciel d’origine russophone BLACKCAT est un bon exemple de cette montée en volume avec un doublement du nombre de leurs victimes entre janvier 2022 et le début de la guerre en  février 2022. En effet, ses auteurs ont pour consigne de ne pas conduire d’attaques sur l’espace post-soviétique et les concentrent sur des multinationales de divers secteurs (construction, énergie, mode, finance, etc.) majoritairement basées en Amérique du Nord et Europe occidentale. L’objectif est alors une double extorsion : exfiltrer les données des victimes avant de chiffrer les systèmes vulnérables et, ainsi, demander une rançon pouvant atteindre plusieurs millions d’euros. Ces attaques exploitent - généralement - des comptes à privilèges de l’entreprise, d’où l’importance d’une gestion efficace de ces comptes via une solution de Privileged Access Management (PAM).

Les solutions de PAM répondent à ces cybermenaces grandissantes et réduisent les chances d’exploitation de ces comptes par les attaquants - en stockant les comptes à privilèges au sein d’un coffre-fort et en leur appliquant une gestion constante.

PAM : la forteresse des secrets de l’entreprise

Pour une défense efficace, faire un inventaire des comptes à privilèges au sein du Système d’Information (SI) de l’entreprise est primordial. Ces comptes ont de hauts privilèges sur le SI : ce sont souvent les comptes administrateurs des serveurs, des comptes applicatifs critiques (pour les solutions de sauvegarde ou de stockage par exemple) ou encore des comptes d’administration d’équipements réseau. La nature des comptes embarqués dans la solution PAM choisie peut varier d’une entreprise à l’autre. Effectivement, chaque entreprise a son propre fonctionnement et chaque entreprise aura sa propre définition des comptes à faire entrer dans la catégorie « compte à privilèges ».

Une solution PAM n’a d’impact sur la sécurité du SI que si elle est acceptée et utilisée par tous les membres de l’entreprise. Elle entraîne souvent un changement dans le quotidien de ses utilisateurs, une gestion du changement efficace doit donc être mise en place sous peine de les voir tenter de contourner la plateforme. La gestion des comptes à privilèges va de pair avec le principe de moindre privilège. Celui-ci stipule qu’une personne ne doit bénéficier que des privilèges strictement nécessaires à l’exécution de ses tâches. Les solutions de PAM permettent de ségréger les accès aux comptes à privilèges, de manière à ce que les utilisateurs aient uniquement accès aux comptes qui leurs sont utiles.

Déployer un outils de PAM pour prévenir les cybercrises

L’embarquement d’un large panel de comptes d’accès au sein de la solution PAM choisie est primordial car il permet d’avoir une couverture exhaustive des comptes à privilèges de l’entreprise. Cela est fait au travers de connecteurs qui permettent la connexion et la gestion des comptes. PAM peut aussi être associé à du DevSecOps permettant aux développeurs d’accéder aux secrets du coffre-fort pendant la réalisation de leurs projets. Il est également possible d’intégrer un module PAM permettant de donner accès sécurisé à certains comptes à privilèges à des prestataires externes.

Dans une solution PAM, la fonctionnalité la plus courante et la plus utilisée est la rotation automatique et régulière des mots de passe. Elle permet de réduire le temps durant lequel le compte à privilèges est utilisable en cas de vol de son mot de passe, ainsi qu’une gestion plus simple des mots de passe sur les cibles ou dans l’Active Directory.

Enfin, le PAM permet une connexion sécurisée sur des cibles utilisant un relais entre l’utilisateur et la cible finale. L’injection du mot de passe se fait sur ce relais, rendant difficile pour un attaquant de réaliser une attaque type Pass-the-Hash.

Mettez en place une MCO efficace de la solution

Une solution de PAM ne peut être efficace dans le temps que si elle est mise à jour régulièrement, autant la mise à jour des machines hébergeant la plateforme PAM que la montée de version de la solution en elle-même. Garder une plateforme PAM performante implique aussi une exhaustivité des comptes à privilèges dans la solution PAM ainsi que l’implémentation de nouveaux modules ou connecteurs PAM permettant une plus large gestion des accès à privilèges si besoin.

Grâce au PAM, répondez activement aux cybercrises

Le monitoring de l’activité sur les comptes à privilèges avec un outil d’analyse de menace permet d’anticiper les attaques à l’aide de règles (détection et interdiction du contournement de la solution PAM, interdiction de la saisie de certaines commandes, etc.). La mise en place d’un tel outil est à effectuer avec précaution car tout faux positif entraîne un blocage utilisateur et une alerte aux équipes Cybersécurité.

La solution PAM permet également de faire une rotation complète de tous les mots de passe de comptes à privilèges. Une solution PAM récolte les logs d’activité de toute action d’un compte à privilèges accédé depuis PAM. Cela permet de détecter facilement les attaques venant de l’intérieur - d’un utilisateur ayant déjà accès à des comptes à privilège, définir les causes de la crise (moyens utilisés, provenance de l’attaque) et y remédier.

Après la résolution d’une crise, il est alors important de faire les changements nécessaires pour qu’elle ne puisse pas se reproduire. Par exemple, dans le cas de la gestion des comptes à privilèges, on peut faire un audit de la définition de “comptes à privilèges” appliquée à l’entreprise et le faire évoluer si nécessaire. On peut aussi mettre en place de nouveaux mécanismes PAM pour faire entrer la gestion de nouveaux comptes à privilèges dans la solution PAM ou un système Multi-Factor Authentication (MFA) pour sécuriser l’accès utilisateur au PAM.

Le PAM est un puissant outil - proposé aux entreprises et organisations - pour prévenir une cybercrise car aujourd’hui, la plupart des cyberattaques ont souvent pour base l’utilisation de comptes à privilèges. Une panoplie complète de règles, une gestion des comptes et une surveillance des activités permettent au PAM d’anticiper une crise, et d’ensuite y répondre via des actions et via des journaux d’événements pour investiguer sur les causes de l’incident. Pour réaliser une gestion des privilèges à 360° la solution PAM peut être complétée par d’autres solutions de sécurité : une solution Endpoint Privilege Management (EPM) pour la gestion des droits sur les postes de travail, ou bien une solution Identity Access Management (IAM) pour une gestion complète des identités du SI.