La présence de comptes à privilèges est nécessaire dans tous les environnements IT d’entreprise. Les administrateurs doivent disposer d’importants privilèges pour gérer l’environnement. Malheureusement, ces comptes privilégiés accentuent le risque de sécurité pour les réseaux d’entreprise. Nous avons estimé à travers une enquête récente que près de la moitié (44 %) de toutes les failles de sécurité enregistrées en 2017 impliquaient une utilisation d’un compte à privilèges.
Les comptes à privilèges comportent un risque très élevé pour plusieurs raisons. Par exemple, une tâche administrative aussi simple qu’une initialisation d’un mot de passe peut accorder par erreur des droits administratifs à un utilisateur, lesquels peuvent alors être mal utilisés, de manière volontaire ou accidentelle. Ces comptes sont également difficiles à gérer en raison du nombre élevé d’administrateur et de systèmes qui ont besoin d’accéder et partager les mêmes données d’identification. Il est donc compliqué d’assurer la sécurité de ces données d’identification. Les entreprises peuvent néanmoins adopter quelques mesures essentielles et concrètes, afin de minimiser les risques sur leur réseau et de protéger ce dernier contre toute utilisation abusive des comptes à privilèges. Voici comment en 5 étapes atténuer les risques de failles impliquant des comptes à privilèges :
Étape 1 : faire un inventaire de tous ses comptes à privilèges, ainsi que des utilisateurs et systèmes qui les utilisent.
Afin d’atténuer les risques liés aux comptes à privilèges, une entreprise doit d’abord connaître le nombre de comptes présents sur le réseau et les utilisateurs qui ont besoin d’y avoir accès. La réalisation d’un inventaire minutieux est une première étape importante.
Munie d’une liste complète de tous les comptes à privilèges et des utilisateurs et systèmes qui y ont accès, une entreprise sera en mesure d’évaluer précisément les points où elle est la plus vulnérable aux failles de sécurité internes comme externes. Cela lui permettra ensuite d’établir des priorités rigoureuses quant aux recherches et solutions concernant ces vulnérabilités.
Étape 2 : s’assurer du stockage sécurisé et renforcé des mots de passe des comptes à privilèges
Une fois l’inventaire de tous les comptes et mots de passe à privilèges terminé, l’étape suivante consiste à sécuriser ces informations d’identification. L’une des options implique une solution de gestion de mots de passe, qui fournit plusieurs couches de sécurité, notamment le chiffrement, les pare-feu et la communication sécurisée.
La technologie de gestion des mots de passe peut également garantir que les données d’identification des comptes à privilèges sont fournies aux utilisateurs qui en ont besoin, en temps voulu, et soumises aux approbations nécessaires. Si le gestionnaire de mots de passe n’est pas une option viable pour son système, il est important d’assurer que tous les mots de passe des comptes à privilèges sont au minimum chiffrés et que l’accès aux informations d’identification nécessite au moins deux facteurs d’authentification.
Étape 3 : imposer des processus de rotation de mots de passe stricts aux comptes à privilèges
Le changement régulier des mots de passe est une bonne pratique éprouvée pour renforcer la sécurité. Toutefois, lorsqu’il s’agit des comptes à privilèges, les mauvaises pratiques, comme ne pas changer du tout leurs mots de passe, sont devenues la norme.
Puisque ces données d’identification sont codées en dur au sein des scripts et des applications, la modification de ces mots de passe est souvent fastidieuse. Elle entraîne également un risque de défaillance d’applications stratégiques, qui décourage la procédure.
Pour éviter l’échec, il est recommandé aux entreprises de dresser un inventaire complet et précis des scripts et applications qui utilisent les données d’identification des comptes à privilèges. Il est aussi utile d’investir dans une solution logicielle qui remplace les mots de passe codés en dur par des appels programmatiques qui récupèrent les données d’identification de manière dynamique afin d’éviter les problèmes pendant le processus.
Étape 4 : dans la mesure du possible, assurer la responsabilité individuelle et restreindre l’accès privilégié
La mise en œuvre des bonnes pratiques et la conformité avec la réglementation requièrent à la fois la responsabilité individuelle et la restriction de l’accès privilégié. Une entreprise doit savoir exactement qui a accès à quoi et quand, et les utilisateurs doivent avoir un niveau d’accès qui correspond aux tâches de leur fonction, ni plus, ni moins.
Cette procédure permet aux entreprises de limiter les actions malveillantes, qu’elles soient commises par accident ou intentionnellement. Tous les systèmes ne disposent pas des outils natifs qui leurs permettent d’imposer la responsabilité individuelle et de restreindre l’accès privilégié. Si tel est le cas, une solution tierce peut fournir un niveau de contrôle et de délégation granulaire.
Étape 5 : procéder à un audit régulier de l’utilisation de l’accès privilégié
Il n’est pas suffisant de contrôler uniquement ce que les utilisateurs privilégiés sont autorisés à faire. Il faut également auditer ce que font les utilisateurs avec cet accès. Il est donc important de créer régulièrement des rapports et de les analyser, pour vérifier quand les mots de passe privilégiés ont été changés et quelles commandes potentiellement malveillantes ont été utilisées sur chaque système, et par quel utilisateur.
Il est aussi essentiel d’instaurer une compagne de certification périodique qui atteste que les utilisateurs pouvant obtenir ou demander l’accès aux comptes à privilèges doivent bel et bien conserver ces possibilités. Un audit, la création de rapports et la certification périodiques permettent à une entreprise de mieux comprendre la façon dont elle sécurise les comptes à privilèges, de découvrir les zones à améliorer et de prendre les mesures nécessaires pour diminuer le risque.
Les comptes à privilèges posent un risque de sécurité élevé à toutes les entreprises et la gestion de l’accès doit être abordée de manière pratique, réfléchie et équilibrée. Malheureusement, il n’existe pas de solution miracle pour la sécurité IT, mais La mise en œuvre de ces cinq étapes guide néanmoins toutes les entreprises vers le chemin des bonnes pratiques de la gestion des comptes à privilèges, et les assiste pour évaluer l’état actuel de leur environnement de sécurité, identifier les lacunes ou vulnérabilités et mitiger les risques.