Détecter et éviter les abus de privilèges
Selon une étude récente, 44 % des entreprises équipées d'outils de gestions des identités ou des accès à privilèges, ont été victimes d'attaques ou pensent qu'elles le seront cette année, contre 69 % ne possédant pas de telles solutions. Le dénominateur commun de nombreuses attaques est en effet la compromission des accès à privilèges d'une organisation.
Ces comptes administrateurs, qui permettent d'accéder à l'ensemble des systèmes d'une entreprise, ont joué un rôle décisif dans un grand nombre de failles de sécurité survenues ces dernières années. Les entreprises ne les gèrent souvent pas assez étroitement, réduisant à néant leurs efforts pour contrôler les identifiants de connexion à ces comptes et pour protéger leurs systèmes et données sensibles.
La confiance aveugle des employés, écueil le plus courant en entreprise
Les organisations craignent les hackers, mais ignorent souvent la vulnérabilité interne. Bien sûr, la plupart des personnes au sein d'une société ne sont pas intentionnellement malveillantes, cependant l'erreur est humaine. En outre, tout compte utilisateur peut être compromis par des pirates informatiques, transformant de fait les collaborateurs en menace interne par défaut.
Les comptes avec les plus hauts privilèges représentent le plus grand risque ; il est important de suivre les activités de ces utilisateurs et d'être capable d'identifier automatiquement tout comportement inhabituel de leur part. Il en effet essentiel que les organisations puissent surveiller de manière automatique les activités de l'ensemble des utilisateurs, y compris ceux ayant des accès à privilèges, et de mettre en place des alertes sur les violations de règles de sécurité ainsi que sur les déviations qui surviennent au niveau des schémas de comportement habituels. Il est également vital d'être à même d'enquêter sur les activités de n'importe quel utilisateur dans l'infrastructure IT, en particulier lorsque des actions potentiellement suspectes sont signalées. Une surveillance assidue aidera aussi les entreprises à repérer les écarts de conduite de sécurité et à identifier les faiblesses des règles en place.
Un autre écueil récurrent est l'incapacité à établir un contrôle adapté des permissions. Il n'est en effet pas rare, malheureusement, que d'anciens employés conservent l'ensemble des privilèges qu'ils avaient en poste et puissent continuer d'accéder à leurs comptes après avoir quitté leur entreprise. Il en est de même pour les fournisseurs externes et autres parties tierces ; ils ont souvent plus de privilèges que nécessaire pour la mission qui leur est confiée ; et ces permissions ne sont pas toujours révoquées à la fin du contrat. Pour pallier ce problème, les organisations ont le devoir de conduire régulièrement un inventaire complet des comptes utilisateurs, afin de déterminer les niveaux de privilèges de chacun. Elles doivent ensuite vérifier si certains utilisateurs en ont trop - gardant alors à l'esprit le principe du moindre privilège c'est-à-dire l'octroi des privilèges nécessaires à chaque mission, ni plus, ni moins - et si des données sont surexposées.
A noter, dans ce dernier cas, que des personnes sans accès à privilèges sont également susceptibles d'accéder à des fichiers sensibles. Les entreprises doivent alors établir des procédures relatives à tous types de modifications, et mettre en place des règles exigeant la vérification du moindre changement. Enfin, les comptes désuets doivent absolument et immédiatement être désactivés.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Pourquoi se concentrer sur la détection, plutôt que la prévention ?
Tant qu'il aura des comptes à hauts pouvoirs, il existera le risque qu'ils soient compromis, par leurs propriétaires ou par une autre personne souhaitant tirer parti de ces droits d'accès. Des techniques telles que la gestion des mots de passe et des identités peuvent, et doivent, être adoptées pour empêcher un pirate informatique de pénétrer à l'intérieur du réseau. Toutefois, les mesures de prévention ne sont efficaces qu'à partir du moment où le hacker n'a pas piraté de compte à privilèges. Elles deviennent inutiles dès lors que celui-ci possède des accès légitimes à un compte à hauts pouvoirs. Ensuite, lorsqu'il a obtenu l'accès, il peut prendre le contrôle des systèmes et des données ; cela ne dépend alors plus que de la rapidité avec laquelle l'organisation visée parviendra à détecter l'anomalie et intervenir en conséquence.
Signes précurseurs d'un abus de pouvoirs
Le comportement de chaque utilisateur est le même au quotidien ; l'employé accède en effet aux mêmes systèmes et informations, en général durant les heures de bureau, et exécute ses tâches d'une certaine manière, selon les habitudes qu'il a prises, et ce de manière constante. Si une organisation peut enregistrer ces « habitudes » et identifier les comportements anonymes, elle sera plus à même de détecter les menaces. Les entreprises n'ont pas d'autre choix que d'être à l'affut permanent de tout changement intervenant au niveau des activités relatives aux comptes à hauts pouvoirs et de tout pic d'activité autour de leurs actifs critiques.
Il est important de garder à l'esprit que, bien que certaines actions soient visiblement suspectes, les pirates informatiques cherchent constamment des moyens de déguiser leur comportement malveillant en activité légitime et habituelle. Par exemple, un utilisateur (ou un hacker se faisant passer pour tel) peut créer un compte et l'ajouter à un groupe de hauts-privilèges, mais attendre un moment ultérieur pour utiliser ce compte à des fins personnelles. C'est pour cela que toutes les entreprises ont besoin de règles de sécurité qui requièrent l'autorisation et la vérification du moindre changement critique.
Plus une entreprise peut rapidement détecter, enquêter et stopper l'usurpation de comptes à hauts pouvoirs, plus elle aura de chances de se prémunir contre des dommages et d'éviter des pénalités. Les organisations devraient apprendre des erreurs des autres et assurer la mise à jour permanente de leur base d'utilisateurs, de leurs besoins et des changements effectués sur leur infrastructure informatique, afin de se protéger en continu contre cette menace de taille.
Sur le même thème
Voir tous les articles Cybersécurité