75% des entreprises sont sérieusement exposées par les accès privilégiés accordés à des tierces parties
Le contrôle des accès privilégiés des prestataires extérieurs, sujet sensible s’il en est. Selon Gartner, des accès privilégiés mal encadrés et contrôlés exposent aux risques d’une cyberattaque. Dans son rapport «How to Secure Remote Privileged Access for Third-Party Technicians», un ordre de grandeur interloque : trois entreprises sur quatre sont concernées.
Le contexte est connu : nos entreprises -quelle que soit la taille- sollicitent toutes fréquemment les services de tiers, techniciens de service après-vente, fournisseurs et autres prestataires extérieurs, pour des missions qui nécessitent un accès privilégié à distance, liées à l’administration de systèmes d’exploitation, de bases de données ou d’applications. Le plus souvent, ces tiers ont besoin d’une autorisation d’accès pour une courte durée; ils se connectent à partir de leurs propres terminaux qui ne sont pas nécessairement conformes aux règles de sécurité de l’organisation.
Place au PAM (Privileged Access Management). Qui dit accès privilégié dit périmètre réduit. Pour Gartner, limiter le périmètre est la première mesure à prendre. Concrètement, cela signifie accorder systématiquement le niveau de privilège minimum nécessaire pour la tâche à accomplir. Deuxième mesure : instaurer des limites de temps. Comme les prestataires extérieurs n’ont généralement besoin que d’un accès exceptionnel de courte durée, la pratique standard doit être de délimiter les horaires et la durée de l’autorisation d’intervention et d’imposer une procédure d’authentification à chaque demande d’accès. Pour les demandes d’accès plus longues ou régulières, les entreprises peuvent réduire leur exposition en imposant une règle d’expiration automatique des droits selon le principe «utilisé ou perdu» qui prévoit l’évaluation régulière des autorisations d’accès et leur suspension ou suppression.
Gartner conseille encore de déployer des outils d’aide à la gestion des accès privilégiés à distance. Les entreprises ont intérêt à déployer des outils qui les aident à sécuriser les canaux de communication. Egalement à se créer une base d’utilisateurs authentifiés régulièrement, à prévenir les déplacements latéraux des utilisateurs privilégiés, à empêcher l’introduction de malwares sur les terminaux sécurisés et l’infrastructure et à détecter les changements non voulus ou non autorisés.
Pour protéger leur réseau et encadrer les accès privilégiés, Gartner suggère aussi aux entreprises «d’enregistrer les sessions privilégiées pour pouvoir les analyser». Garder un œil vigilant sur la conduite des opérations permet de surveiller les utilisateurs et de limiter l’étendue des dégâts le cas échéant par la détection au plus tôt du dommage. La revue d’activité est aussi favorable à la conduite future des opérations. Gartner fait d’ailleurs remarquer que cette approche «facilite la reprise d’activité et améliore l’efficacité de prévention».
La lecture de ce rapport éclaire sur les difficultés que rencontrent les organisations dans leur gestion des accès privilégiés et de la cyber-sécurité en général. Les outils de gestion des accès privilégiés peuvent être très utiles pour encadrer les autorisations d’accès aux réseaux et systèmes accordées à des tierces parties. Ils doivent aussi permettre d’enregistrer et d’analyser les sessions d’accès privilégiés pour aider les équipes IT à prévenir les risques de compromission et limiter les dommages.
Les 7 conseils de Wallix, éditeur d’outils de PAM
> Quantifier et prioriser les risques – Collecter, dans un premier temps, autant d’informations que possible sur la manière dont un accès privilégié est utilisé et géré aujourd’hui. Il ne sera certainement pas possible de centraliser et maîtriser l’accès à l’ensemble des serveurs ou données dès le premier jour. Commencer en définissant les «grandes priorités», que celles-ci soient reliées à des données critiques pour l’entreprise ou qu’elles soient sensibles et soumises à la conformité réglementaire.
> Gérer les comptes partagés et les mots de passe – Le fait que le mot de passe soit connu et partagé par un certain nombre de personnes présente une réelle faiblesse. Le déploiement d’une solution pour gérer les accès à privilèges peut également permettre aux utilisateurs de continuer à se connecter au système local ou avec des comptes d’administrateurs sans forcément avoir besoin de mots de passe. Ces mots de passe seront par la suite stockés et automatiquement cryptés dans un espace dédié augmentant ainsi considérablement la sécurité.
> Appliquer le principe du «strict minimum» pour les privilèges – Le principe du moins privilégié repose sur le fait que chaque programme et chaque utilisateur privilégié du système doivent opérer en disposant uniquement du niveau de privilèges nécessaire à la réalisation de sa mission. Il est probable que différents types d’utilisateurs ont eu l’accès à différents serveurs ou ressources du réseau. Il est également fort probable que plusieurs de ces utilisateurs à privilèges n’ont pas été révoqués.
> Adopter un système d’automation et de self-service pour une meilleure sécurité – Si nous appliquons le principe du «strict minimum», il y a une forte probabilité que les utilisateurs qui n’ont pas besoin d’un accès à privilèges aujourd’hui puissent en avoir besoin demain. Via une solution PAM, il est possible de leur permettre de demander cet accès et aux ressources dont ils ont besoin. Cela permettra de définir cet accès, non pas en donnant simplement l’autorisation à long terme, mais plutôt avec une approbation d’un accès ponctuel et limité dans le tem
> S’assurer que l’accès sécurisé est le seul accès possible – Pour la mise en œuvre efficace d’une solution de PAM, il faut abandonner les autres méthodes qui permettent d’accéder à distance à des ressources. Ceci est d’autant plus important si l’on utilise des mots de passe partagés pour les comptes administrateurs. Il faudrait accorder une attention particulière au pare-feu afin de s’assurer que les utilisateurs ne passent que par des sessions contrôlées et surveillées par la solution de PAM.
> Aller plus loin pour les systèmes de «grande priorité» – L’outil de PAM peut offrir un certain nombre d’options comme le contrôle, le pilotage, mais aussi l’enregistrement de l’activité et des sessions. Il est fort probable que vous ayez envie d’avoir une plus grande visibilité sur les systèmes que vous considérez comme étant des systèmes critiques ou qui sont soumis à la conformité réglementaire. Ainsi, il est possible d’autoriser l’accès unique et provisoire à un utilisateur qui en ferait la demande-et être alerté lorsque des utilisateurs se connectent sur de nouvelles sessions.
> Un monitoring et un audit permanent de l’utilisation des accès et sessions – Il est difficile de trouver du temps pour surveiller les utilisateurs à privilèges en permanence. C’est pour cette raison que les données stockées dans la solution de PAM peuvent s’avérer inestimables lorsqu’un audit devra être réalisé ou lorsqu’il s’agira d’identifier comment les accès à privilèges ont été utilisés au sein de l’organisation. La manière dont l’équipe interne, mais également des tiers, accède et interagit avec les ressources informatiques peut aider à renforcer le dispositif de sécurité futur et affiner les procédures.
