Sécurité : comment empêcher l'accès aux données aux ex salariés ?

Ce n’est pas parce qu’un salarié du service IT quitte l’entreprise que l’on n’entendra plus parler de lui. C'est un enjeu de sécurité de savoir comment limiter l'accès aux données critiques des salariés qui ne font plus partie de l'entreprise.

Voici un cas récent. D’après Bleeping Computer, en Alaska, un juge a condamné une ancienne salariée de la compagnie aérienne Peninsula Airlines (PenAir) âgée de 59 ans pour avoir piraté le système de réservation de vols de la compagnie, rendu inopérant pendant deux jours. La femme, qui occupait le poste de Directrice du Support des Systèmes pour la compagnie aérienne, était mécontente de la façon dont on l’avait licenciée. Elle a donc décidé de se faire justice elle-même.

Voici comment elle s’y est pris selon les enquêteurs. Peu avant son départ de la société, la femme a utilisé son compte administrateur pour créer un autre compte privilégié au nom d’un employé fictif, grâce auquel elle s’est connectée au système de réservation et de billetterie de PenAir. De là, elle a pu bloquer l’accès d’un salarié au système, puis a supprimé les informations associées à 8 aéroports fréquentés par la compagnie. Ces actions malveillantes ont empêché les employés de chacun de ces huit aéroports de pouvoir réserver et vendre des billets, d’éditer des réservations et même de faire embarquer tous les passagers de tous les vols prévus pendant tout le temps où le système n’était pas opérationnel. 

Ce type d’incidents démontre les dégâts que des ex-salariés – voire même des ex-employés de sous-traitants - peuvent provoquer sur les réseaux de leurs anciens employeurs en se servant des mêmes identifiants privilégiés qu’ils utilisaient lorsqu’ils étaient en poste. Il est pourtant possible d’éviter ou tout du moins de limiter les conséquences de telles situations. Cela commence par le renforcement de la sécurité des accès privilégiés.

Le contrôle des accès privilégiés 

On entend souvent dire que les comptes privilégiés, comme les comptes admin ou root, sont des comptes tout puissants, et pour cause. Ils permettent à quiconque connaît les mots de passe du compte d’installer ou de supprimer des programmes, de reconfigurer des machines et d’avoir accès à des systèmes comportant des données sensibles. Laissés sans protection, ils peuvent servir de porte dérobée permettant à d’anciens membres du personnel du service IT de s’infiltrer, comme dans l’exemple précité.

Étrangement, il arrive dans un grand nombre d’organisations de partager les mots de passe admin de différents systèmes. Il est très fréquent également que des mots de passe admin demeurent inchangés pendant de longues périodes de temps et qu’ils demeurent utilisés sans qu’aucun audit n’en fasse état. Ces pratiques sont tout simplement à bannir.

Quelles sont les meilleures pratiques à adopter ? Contrôler les comptes privilégiés. Commencer par générer des mots de passe uniques pour chaque compte ouvert sur le réseau. Ceci annule les mots de passe partagés. Puis, prendre l’habitude de changer fréquemment les mots de passe. Ainsi, le problème des mots de passe admin statiques est éliminé. Veiller également à ce que les mots de passe privilégiés attribués à certains membres du personnel le soient pour une durée limitée. Les accès privilégiés anonymes et illimités seront ainsi définitivement supprimés.

Encore mieux, tout le processus peut être automatisé avec l’aide d’un produit multi-plateforme de gestion des identités privilégiées. Cela permet de prendre les devants et d’empêcher quiconque avec de mauvaises intentions parmi les salariés et les sous-traitants d’avoir toujours accès aux systèmes après avoir quitté l’entreprise. Et ce définitivement.