5 types d’accès à privilèges pour les intervenants externes

ExternalisationPolitique de sécuritéProjetsSécurité

Afin de fournir un accès sécurisé et de garantir la protection des données sensibles, les organisations doivent toujours avoir connaissance des cinq principaux types d’intervenants externes qui nécessitent des accès à privilèges élevés

La démocratisation du télétravail, ces dernières années a connu une accélération, portée notamment par la crise sanitaire actuelle. Même les entreprises les plus réticentes ont dû s’adapter.

Depuis mars 2020, plus de 40 % des actifs du secteur privé seraient concernés en France, soit plus de 8 millions de salariés, d’après le Ministère du Travail. Toutefois, ces chiffres ne tiennent pas pleinement compte du nombre d’intervenants externes qui effectuent, au même titre que les salariés, des tâches essentielles pour l’entreprise et qui représentent les mêmes cyber-risques.

Pour mener à bien leur mission, ces professionnels ont besoin d’accéder aux systèmes informatiques de l’entreprise. Dans l’intention de fournir un accès sécurisé, les organisations s’appuient souvent sur des méthodes peu sûres et inefficaces, comme les VPN.

En outre, tous les utilisateurs tiers n’ont pas besoin des mêmes niveaux d’accès : cela peut aller du simple accès à la messagerie et à un nombre restreint d’outils pour certains, aux accès à des serveurs dotés d’accès administrateurs – ou à privilèges – tels que la facturation, les ressources humaines, ou encore les statistiques de vente et de marketing, pour d’autres.

Afin de fournir un accès sécurisé et de garantir la protection des données sensibles, les organisations doivent toujours avoir connaissance des cinq principaux types d’intervenants externes qui nécessitent des accès à privilèges élevés : les spécialistes IT, les fournisseurs de matériels et de logiciels, ceux de supply chain, les prestataires de services, et les consultants externes.

Les spécialistes en informatique

Les équipes IT, qui incluent par exemple les administrateurs de domaine et de réseau, peuvent aujourd’hui être externalisées. Toutefois, les organisations prennent alors le risque de compromettre les informations internes et confidentielles. Il faut donc mettre en œuvre une stratégie du moindre privilège pour qu’ils n’accèdent qu’à ce dont ils ont besoin, ni plus, ni moins.

Les solutions traditionnelles d’accès sécurisé à distance, comme les VPN, ne parviennent cependant pas à maintenir ce type de stratégie de sécurité – comme l’ont démontré les dernières vulnérabilités affectant ce type de services. Or, l’attribution de tels accès est importante car elle permet de contenir les tentatives d’attaque en empêchant les personnes malveillantes de se déplacer latéralement.

Par conséquent, l’intégration des outils de sécurité au service d’annuaire est à établir à l’avance pour permettre un accès automatisé et spécifique garantissant le maintien du niveau de sécurité en cas de pics de connexion à distance imprévus.

Les fournisseurs de matériels et de logiciels

Ces tiers ainsi que les prestataires informatiques et les services d’assistance sous contrat, soutiennent quotidiennement leurs clients ; ce qui nécessite des accès à privilèges élevés, afin d’effectuer des tâches sur l’ensemble des serveurs ou des bases de données qu’ils utilisent.

En raison de leur responsabilité et de ces accès étendus, les fournisseurs peuvent causer des dégâts irréversibles aux systèmes s’ils ne sont pas correctement surveillés et approvisionnés. Mais l’identification de ces derniers et la vérification de leurs niveaux individuels d’accès distants sont généralement effectuées au cas par cas par les administrateurs ; ce qui est très chronophage, mais indispensable.

Les fournisseurs de la supply chain

Ces fournisseurs viennent soutenir la production et la livraison de marchandises. Ils ont donc accès au réseau afin de surveiller les stocks, d’organiser la fabrication ainsi que les ventes et les achats. Souvent, ils ont besoin de connaître des données sensibles, liées par exemple aux prévisions de production ou encore au contrôle qualité.

Ces prestataires sont aussi généralement liés aux systèmes de contrôle industriel et à la technologie opérationnelle (SCI/OT), voire également aux processus de la chaîne d’approvisionnement sur site. Une mauvaise gestion de leurs accès à privilèges, pourrait donc être fatale pour le bon déroulement de leur tâche et pour leur client en cas de compromission de leurs accès.

Les entreprises prestataires de services

Les entreprises tierces – comme les cabinets juridiques et comptables, voire les agences de relations publiques – disposent d’accès à des plateformes spécifiques. Il est crucial d’identifier ces utilisateurs, afin d’appliquer également ici le principe du moindre privilège, pour s’assurer qu’ils n’accèdent pas aux documents qui ne sont pas de leur ressort.

Une société de services juridiques, par exemple, n’a pas besoin de voir les informations relatives à la rémunération des employés. Et une vigilance toute particulière doit être accordée à la durée de conservation des données dans leurs serveurs, afin de respecter la législation en place (comme le RGPD) ainsi que les règles établies avec leurs clients.

Pour une entreprise, les logiciels de gestion de relation client (CRM), de planification des ressources d’entreprise (ERP), et les services Cloud critiques sont essentiels pour assurer la continuité d’activité. Seulement, entre de mauvaises mains, les données qui s’y trouvent pourraient être exploitées à des fins malveillantes. De ce fait, il est important de savoir qui peut accéder à ces données et de minimiser la possibilité de pouvoir passer d’un serveur à un autre. Cette précaution permet, à terme, de distinguer une activité inhabituelle d’une violation majeure de données, et ainsi de pouvoir agir rapidement.

Les consultants externes

Pour répondre aux besoins de l’entreprise, ces intervenants, nécessitent un accès administrateur. Souvent sollicités pour une durée temporaire, ces collaborateurs externes n’auront besoin d’un accès que pendant quelques jours, semaines, voire mois.

Pour protéger au mieux les réseaux des entreprises, le mieux reste d’identifier et de surveiller étroitement les accès nécessaires aux collaborateurs afin d’en assurer la sécurité tout au long de leur mission. Aucune entreprise n’est en effet à l’abri d’un collaborateur externe mécontent qui, par représailles, porte des préjudices irréparables à l’organisation en dérobant des données sensibles.

De plus en plus d’entreprises font aujourd’hui appel à des professionnels externes pour remplir des missions quotidiennes ou ponctuelles. Il est important de différencier ces types d’utilisateurs qui se connectent à leurs réseaux en dehors du bureau, pour sécuriser et protéger au maximum les données. L’accès aux différents serveurs doit donc être personnalisé en fonction des besoins des collaborateurs. En effet, les actes malveillants pourront majoritairement être évités si les précautions de base sont scrupuleusement respectées.


Auteur
En savoir plus 
Responsable Avant-Vente Europe du Sud
CyberArk
Ketty Cassamajor est Responsable Avant-Vente Europe du Sud chez CyberArk
En savoir plus 

Livres blancs A la Une