Gestion des accès à privilèges : pourquoi c’est une priorité

AuthentificationPolitique de sécuritéSécurité

Le concept de « privilèges », ou « hauts-pouvoirs », est fondamental dans la sécurisation des ordinateurs et des réseaux, mais cela n’a pas toujours été le cas. Il aura fallu plusieurs attaques sophistiquées pour que le marché commence à s’y intéresser de plus près.

Gartner a listé la gestion des comptes à privilèges (PAM pour Privileged Access Management) comme le projet de sécurité numéro un, avec neuf autres, et considère que « les RSSI devraient se concentrer sur ces dix projets de sécurité, pour réduire les risques et avoir un impact important sur l’entreprise ». 

L’organisation a récemment publié le tout premier Magic Quadrant for Privileged Access Management car les privilèges doivent être au cœur des préoccupations de l’ensemble des responsables informatiques, et particulièrement des RSSI.

A l’origine, les accès à privilèges faisaient référence aux comptes partagés que les équipes IT et administrateurs utilisaient pour maintenir les réseaux et les systèmes, grâce à une visibilité et un contrôle total sur les données et les informations système.  Toute personne qui contrôlait ces comptes, contrôlait le réseau.

Sarbanes-Oxley Act : première reconnaissance

L’introduction du Sarbanes-Oxley Act (SOX) en 2002 a permis à la protection des comptes à hauts-pouvoirs de devenir, pour la première fois, nécessaire à la conformité d’un règlement majeur ; avant que de nouvelles lois américaines telles que la loi HIPPA (Health Insurance Portability and Accountability Act) ne prolongent ces efforts. SOX constitue ainsi l’étape à laquelle les régulateurs ont commencé à comprendre l’étendue du pouvoir que des utilisateurs individuels, bénéficiant de comptes à privilèges, ont été en mesure de gagner sur les réseaux et les données.

Le danger de ce pouvoir fut une première fois démontré au cours de l’attaque perpétrée en 2008 contre le réseau FiberWAN de la ville de San Francisco. En effet, Terry Childs, administrateur système mécontent, a verrouillé l’accès au réseau en réinitialisant les mots de passe administrateurs des switchs et des routeurs, et en créant un nouveau mot de passe lui donnant l’accès exclusif aux systèmes.
Cette importante attaque par déni de service (DDOS) a donc été rendue possible par un individu interne et malveillant en possession d’accès à privilèges. Mais que se serait-il passé si Terry Childs avait été un attaquant externe ?

PAM : un périmètre étendu

La réponse est apparue quelques années plus tard. D’Edward Snowden, à Yahoo!, en passant par l’Office of Personnel Management (OPM) américain et les attaques contre SWIFT ou Uber, le dénominateur commun de ces attaques est l’exploitation par les pirates informatiques d’accès traditionnellement attribués à un employé ayant des privilèges administrateurs très élevés ; ce qui leur permet de lancer et d’exécuter leurs attaques.

Aujourd’hui, les identifiants à privilèges sont présents dans chaque réseau, et le paysage des menaces continue de s’étendre et de se complexifier. Les attaquants en ont conscience, c’est pourquoi la majorité des attaques sophistiquées actuelles s’appuient sur l’exploitation des identifiants à privilèges pour atteindre les données, applications et infrastructures les plus sensibles de leurs cibles.

Les technologies de gestion des accès à privilèges (PAM pour Privileged Access Management) aident les entreprises à surveiller et à contrôler les accès aux comptes à hauts-pouvoirs dans le cadre de leur programme de conformité. Il fut un temps où il s’agissait de son seul rôle ; toutefois, la conformité n’est pas l’égal de la sécurité, et les outils de PAM innovants protègent aussi les entreprises de nombreuses techniques d’attaque et de menaces internes comme Terry Childs ou Edward Snowden. Ils empêchent en effet les attaques qui vont au-delà du périmètre, protégeant ainsi les infrastructures critiques, les données et les actifs.

Les comptes à privilèges, les secrets et les identifiants sont dans tous les projets IT de grande ampleur. Des applications métiers critiques aux DevOps, au cloud, en passant par l’automatisation des processus robotiques et jusqu’aux objets connectés ; les privilèges existent et sont nécessaires au bon fonctionnement de ces initiatives. C’est la raison pour laquelle la gestion des accès à privilèges – à savoir le fait de gérer et de sécuriser les comptes à haut-pouvoirs, les secrets et les identifiants – est à présent reconnue comme le projet prioritaire sur lequel les RSSI doivent se concentrer pour atténuer les risques qui visent les entreprises.

En outre, nous estimons que Gartner a réaffirmé qu’une sécurité forte commence par une bonne cyber-hygiène et par la sécurisation des identifiants et comptes utilisés par les pirates informatiques pour atteindre leurs objectifs.

Les responsables IT et de sécurité doivent prendre davantage conscience des dangers des accès à privilèges non sécurisés, en prenant connaissance du dernier rapport publié par Gartner.

– Gartner, Smarter with Gartner, Gartner Top 10 Security Projects for 2018, June 6, 2018 https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projects-for-2018/.
– Gartner, Magic Quadrant for Privileged Access Management, Felix Gaehtgens, Dale Gardner, Justin Taylor, Abhyuday Data, Michael Kelley, 3 December 2018

Gartner ne soutient aucun fournisseur, produit ou service dépeint dans ses publications. Leur présence dans ces publications ne signifie pas que Gartner conseille aux utilisateurs de choisir uniquement les fournisseurs avec les meilleures notes ou tout autre critère. Les publications de Gartner expriment les opinions de l’organisme de recherche Gartner et ne doivent pas être interprétées comme des représentations factuelles. Gartner décline toute garantie, expresse ou implicite, en ce qui concerne ces recherches, notamment les garanties de valeur commerciale et d’adéquation à une fin spécifique.

Auteur
Senior Regional Director West & South Europe
CyberArk
Jean-François Pruvot est Senior Regional Director West & South Europe, chez CyberArk
En savoir plus 

Livres blancs A la Une