Retour au blog

Qu’est-ce qu’un accès à privilège ?

What Is Privileged Access?
Sommaire
Retour au blog

Disséminés de part et d’autre dans l’infrastructure des organisations, en local ou dans le Cloud,les accès à privilèges sont partout… Et ils sont nombreux ! En moyenne, les accès à privilèges sont trois fois plus nombreux que les collaborateurs eux-mêmes au sein des organisations.

Que ce soit pour accéder aux applications métiers, aux infrastructures ou directement au système d’information, toutes les organisations y ont aujourd’hui recours. Bien comprendre leur utilité et être en mesure de les identifier constitue donc un enjeu crucial : la sécurité des données, applications et infrastructures de votre organisation est en jeu !

Quelles sont les caractéristiques d’un accès à privilège ?

Équipes de production informatique, RSSI, équipes métiers : l’usage que l’on fait des comptes à privilèges diffère suivant les entités, les organisations et les contextes. Sans surprise, la définition et les caractéristiques propres de ce type d’accès varient sensiblement d’une organisation à une autre, d’une équipe à une autre. D’où la nécessité de définir précisément les invariants communément associés aux accès à privilèges.

 

Quelle est la définition d’un accès à privilèges ?

Un compte à privilèges permet avant tout à ses utilisateurs de disposer d’un niveau de droits d’accès supérieur à celui octroyé via un compte ordinaire. Ainsi, les personnes détentrices d’accès privilégiés possèdent les autorisations nécessaires pour réaliser un certain nombre d’opérations considérées comme sensibles ou exceptionnelles sur les systèmes utilisés au sein de l’organisation.

Contrairement aux idées reçues, l’inventaire des comptes à privilèges d’une organisation ne se limite pas aux seuls comptes administrateurs Windows ou Unix ! Infrastructure, application, stockage de données, SaaS, etc. : tous les systèmes prévoient des accès “ super utilisateur ” aux permissions particulières, qu’il convient donc de considérer comme des accès à privilèges. Aussi, sur les systèmes SAP par exemple, tout compte portant une permission de type « SAP_ALL » est de facto considéré comme un accès à privilèges.

 

Accès à privilèges, quels usages ?

Certaines opérations nécessitent de recourir à l’usage d’accès à privilèges, qui sont soumis au principe d’authentification. Celle-ci se fait au moyen d’un identifiant et d’un mot de passe. Les accès à privilèges permettent ainsi de mener des opérations indispensables au bon fonctionnement des organisations:

  • La configuration des systèmes et des logiciels, la réalisation de tâches administratives,
  • La création, modification et suppression de comptes utilisateur,
  • L’installation de logiciels, d’applications
  • La sauvegarde, la mise à jour, la modification et la suppression de données,
  • La réalisation d’actions de sécurité et d’actions correctives,
  • L’accès privilégié à des données de l’organisation.

 

Quels sont les différents types d’accès à privilèges ?

Deux catégories majeures de comptes à privilèges peuvent être distinguées : les comptes nominatifs et les comptes partagés.

Les comptes nominatifs

Associés à des utilisateurs exclusifs, les comptes nominatifs sont le plus souvent identifiables grâce à leur nomenclature spécifique (ex : « adm-nomdelutilisateur»). Fréquemment utilisés, les accès à privilèges recouvrent des usages relativement variés.

En voici quelques exemples :

  • Le compte d’administrateur de domaine. Son utilisateur dispose d’un accès complet à tous les espaces de travail et à tous les serveurs d’un domaine réseau donné.
  • Le compte d’administrateur local. Fichiers, répertoires, services, applications : l’utilisateur accède à toutes les ressources présentes en local sur un appareil, un serveur. Il possède les droits suffisants pour configurer, modifier ou supprimer pour partie ou totalité les ressources présentes en local.
  • Le compte “super utilisateur”. L’administrateur du SI par exemple, en fait fréquemment usage, notamment lors de l’arrivée ou du départ d’un collaborateur : il peut ainsi les ajouter ou les supprimer aisément d’un système ou d’une application.
  • Le compte métier. RRH, Responsable Sales, Responsable Marketing : du fait des responsabilités qui leur incombent, ces utilisateurs détiennent des droits d’accès privilégiés à certaines applications et données. Ces derniers leur permettent notamment de délivrer ou de supprimer des droits d’accès aux personnes de leur équipe. Les accès à hauts privilèges dont ils disposent sont a priori limités à un périmètre donné, relatif au secteur qu’ils couvrent.
Les comptes partagés

Dissociés des personnes physiques, les comptes non nominatifs sont – la plupart du temps – partagés par plusieurs utilisateurs.

  • Le compte de service. Il est notamment utilisé pour des communications inter applications, dans les systèmes d’exploitation pour exécuter des applications ou des programmes.
  • Le compte technique. Il permet d’agir sur une infrastructure, une brique logicielle en production ou hors production.
  • Le compte d’application. On y a notamment recours pour configurer et octroyer aux collaborateurs l’accès à une application donnée. Il favorise également le bon fonctionnement d’une application, en lui permettant d’accéder aux ressources dont elle a besoin pour fonctionner (base de données, réseau, etc.)

Ces comptes sont généralement l’apanage des métiers de l’IT (service informatique interne, télémaintenance, support, etc.). Leur utilisation partagée induit très souvent la nécessité de partager identifiants et mots de passe.

Loin d’être exhaustive, cette liste de comptes permet d’avoir un bon aperçu de l’éventail des cas de figures dans lesquels il est nécessaire de disposer de droits d’accès privilégiés. Et, cela met de fait en avant la nécessité de maîtriser ces comptes, puisqu’ils permettent de réaliser des opérations pour le moins sensibles.

 

Identifier les accès à privilèges, une priorité

Nombreuses sont les organisations confrontées à la multiplication de cyber attaques à mesure qu’elles opèrent leur transformation digitale. Télétravail, création de digital workplaces, stockage de données dans le Cloud… Le déploiement denouveaux usages et de nouvelles méthodologies de travail sont autant de changements qui génèrent de nouveaux risques liés aux droits d’accès. Si les collaborateurs bénéficient de davantage de flexibilité au quotidien, les hackers y voient l’opportunité de prendre plus facilement le contrôle des systèmes d’information des organisations !

À ce titre, les accès à privilèges constituent des cibles de premier choix. Découvrons pourquoi et comment l’identification de ces derniers est primordiale pour votre organisation.

Recenser les accès à privilèges, pour quoi faire ?

Au cours de l’année 2021, 74% des organisations victimes de cyber attaque affirment que l’octroi de privilèges d’accès serait en cause. Or, les comptes à privilèges donnent accès aux ressources les plus sensibles de l’organisation. Leur identification et leur sécurisation constituent un enjeu phare pour plusieurs raisons :

  • Ils permettent de réaliser des opérations à fort impact en donnant accès à des systèmes sensibles (données financières, services de paiement, etc.)
  • Les détenteurs de tels comptes accèdent à des données confidentielles (données business, financières, RH, etc.) qui ne doivent en aucun cas être compromises.
  • Tout comme les droits d’accès dits standards, les accès à privilèges sont soumis à des réglementations de conformité.

Par conséquent, que ce soit pour répondre à vos auditeurs ou pour préserver votre organisation d’attaques critiques ou démontrer la conformité des accès à privilèges, les reconnaître, monitorer leur activité et mettre sur pied une stratégie de gestion adaptéeest tout bonnement indispensable.

 

Comment identifier les comptes à privilèges ?

Nous l’avons évoqué précédemment, les accès à privilèges sont nombreux et disséminés de part et d’autre des systèmes d’information. Qui plus est, leurs caractéristiques varient suivant l’usage que l’on en fait, d’où la difficulté à les repérer. Pour autant, les identifier pour pouvoir ensuite les protéger est fondamental.

Voyons ensemble trois mécanismes concrets qui vous le permettent.

 

1. La déclaration des accès à privilèges lors de leur création

Les comptes à privilèges doivent pouvoir être détectés dès leur création. Aussi, lorsque de nouvelles ressources sont intégrées ou que des changements ont lieu (exploitation d’une nouvelle application, création d’un nouveau système d’information), des process doivent être mis en place au sein de votre entreprise de façon à déclarer les accès à privilèges associés à ces nouvelles ressources. Les propriétaires de ces dernières signalent  ainsi chaque nouvel accès privilégié et documentent les usages qui en sont faits.

2. L’exécution d’un script pour automatiser leur identification et leur sécurisation

Lorsqu’un nouveau système “standard” est déployé, les accès à privilèges qui y sont associés sont souvent déjà connus et doivent être immédiatement sécurisés. En parallèle des déclarations réalisées par les propriétaires de ressources, il est donc possible d’automatiser la sécurisation des comptes à privilèges nouvellement créés dans une solution PAM.

Ainsi, lors de la création d’un nouveau système Windows ou Linux par exemple, le script déployant le serveur doit permettre de déclarer automatiquement les comptes à privilèges au sein de la solution PAM (Privileged Access Management) que vous utilisez.

3. La réalisation d’un inventaire dédié

Vous craignez que certains comptes à privilèges vous échappent toujours ? Planifiez un inventaire visant à les identifier en recourant à un outil de scan tels que ceux fournis par votre solution PAM, par exemple DNA ou Accounts Discovery de CyberArk.

Que vous disposiez d’une infrastructure Windows, Linux ou que vous souhaitiez recenser les accès à privilèges au sein d’Active Directory, l’utilisation d’une solution de gestion des comptes à privilèges est indispensable.

 

La sécurisation des accès à privilèges, un challenge incontournable pour toute organisation

Vous l’aurez compris : être en mesure de distinguer les comptes à privilèges des comptes standards et leur prêter la plus grande attention constituent un enjeu crucial.

De par leur diversité, leur omniprésence au sein de vos systèmes et la nature des informations auxquelles ils donnent accès, ces accès à haut privilège doivent être protégés le plus efficacement possible. Pour relever le challenge, déployer une politique de gestion de ces accès privilégiés est nécessaire et le recours à une solution dédiée l’est tout autant.

En parallèle, la mise en place de méthodologies spécifiques et l’utilisation d’outils supplémentaires doivent être envisagées de façon à parfaire votre approche, sécuriser efficacement et de manière exhaustive vos accès à privilèges. Envie d’en savoir plus ? Découvrez notre article dédié en cliquant ici !

Aller plus loin

CyberArk Privilege Cloud: Protect your Privileged Accounts with a SaaS Solution
Brainwave GRC Archives
CyberArk Privilege Cloud : sécurisez vos comptes à privilèges via une solution SaaS

Découvrez les avantages de Privilege Cloud de CyberArk, une solution PAM en mode SaaS, et les moyens d’étendre ses capacités.

En savoir plus
What Are The Best Practices For A PAM Solution And Privileged Access Management?
Brainwave GRC Archives
Gestion des accès à privilèges et solution PAM : les bonnes pratiques

Découvrez comment la mise en place d’une gouvernance en complément de votre solution PAM vous permet d’optimiser la gestion de vos accès aux privilèges !

En savoir plus
10 Best Practices to Optimize Your User Access Reviews
Identity analytics
Revue des droits d’accès : 10 bonnes pratiques pour l’optimiser !

Méthodologie, outils : découvrez des trucs et astuces pour effectuer rapidement et facilement vos revues de droits d’accès et garantir la conformité.

En savoir plus

Recevez nos derniers articles

Des innovations en matière d’identité aux tendances façonnant l’industrie, explorez le monde de la sécurité numérique avec l’équipe de Radiant Logic.

Name(Nécessaire)
Opt-In(Nécessaire)
Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.