Sécuriser les accès à privilèges de votre organisation : principes fondamentaux et méthodologie

Maîtrisez vos comptes à privilèges

Sommaire
Transformation digitale, recours aux espaces de travail numériques en local ou dans le cloud, création de digital workplaces, démultiplication des postes de travail : aujourd’hui, les modalités d’accès aux données et aux infrastructures des organisations se diversifient, le périmètre des systèmes d’information évolue en permanence. Ces nouveaux usages génèrent de nouveaux risques liés aux droits d’accès et placent l’utilisateur et les droits d’accès qui lui sont attribués au cœur des problématiques de sécurisation des actifs de l’entreprise. Dans ce contexte, l’usage des accès à privilèges, les dérives qui parfois en émanent et les cybermenaces dont ils sont souvent la cible doivent mobiliser toute notre attention. Parce qu’ils permettent à leurs détenteurs d’accéder aux ressources les plus sensibles de l’organisation et de réaliser des opérations impactantes, maintenir un haut niveau de sécurité de ces actifs sensibles est indispensable. Principes, méthodologie, bonnes pratiques : voyons ensemble comment y parvenir !

 

 

Sécuriser vos accès à privilèges : quand les créer et comment les attribuer ?

 

Afin de garantir la protection des ressources de votre organisation via la sécurisation de vos accès à hauts privilèges, l’adoption d’un certain nombre de bonnes pratiques doit être envisagée. Les principes du moindre privilège et du besoin d’en connaître en font partie. Ils reposent sur l’idée suivante : tout utilisateur ne doit disposer que des droits d’accès qui lui sont strictement nécessaires, en tenant compte de l’étendue des missions qui lui incombent.

Il convient donc de s’assurer que c’est bel et bien le cas pour les comptes à privilèges à venir comme pour ceux d’ores et déjà créés au sein de votre entreprise ou de votre organisation. Pour cela, il vous faudra notamment examiner les modèles de rôles existants associés aux comptes à privilèges et vous assurer que ceux-ci sont attribués de manière pertinente.

 

 Quels profils de comptes nécessitent l’octroi d’accès privilégiés ?

 

En octroyant à vos collaborateurs des accès à privilèges, vous leur donnez la possibilité de réaliser des opérations supplémentaires qui pourraient avoir un impact notoire sur les ressources, infrastructures et systèmes de votre organisation si leur usage venait à être détourné. De fait, la création de comptes à privilèges doit se limiter au strict minimum, au regard des besoins de chaque collaborateur. Pour vous en assurer, documentez toutes les situations dans lesquelles il est indispensable de disposer de tels accès et listez les modèles de rôles qui nécessitent par défaut la détention d’accès à privilèges. En effet, si certains profils de comptes requièrent des permissions additionnelles, recenser et détailler les actions qui pourront être effectuées par ces profils vous permettra d’identifier plus facilement les risques potentiels associés… Et de les limiter !

La nature des comptes nécessitant la création d’accès à privilèges diffère selon les secteurs d’activité et les organisations. Pour autant, voici ceux que l’on retrouve le plus fréquemment  au sein des systèmes d’information et qu’il est nécessaire d’identifier précisément :

  • les comptes administrateur de domaine,
  • les comptes administrateur locaux,
  • les comptes d’accès d’urgence,
  • les comptes d’application,
  • les comptes système,
  • les comptes de service.

Ces comptes à privilèges pouvant être nominatifs ou partagés, les risques qui en découlent ne sont donc pas les mêmes. Recenser ces profils de comptes, identifier les comptes partagés et les embarquer dans votre solution PAM est par conséquent une bonne pratique à observer.

 

Les accès à privilèges sont-ils attribués aux bonnes personnes ?

 

En parallèle de l’identification des profils de comptes nécessitant l’octroi d’accès privilégiés, vous devez être en mesure de répertorier tous les utilisateurs qui y sont associés et vous assurer de leur légitimité à détenir de tels accès. Et ce, notamment afin d’appliquer le principe du besoin d’en connaître, mais également de façon à éviter tout risque de combinaison toxique de droits d’accès en respectant le principe de séparation des tâches (Segregation of Duties, SoD).

Pour cela, il est nécessaire de corréler un certain nombre d’informations relatives à chaque utilisateur :

  • la nature du poste occupé,
  • l’étendue des missions associées,
  • l’étendue du périmètre de responsabilité,
  • la nature des comptes de droits d’accès dont il dispose.

Vous pourrez ainsi vous assurer que les comptes à privilèges identifiés sont attribués de façon pertinente, suivant les besoins des collaborateurs et le périmètre des missions qu’ils couvrent, au regard de leur niveau de responsabilité.

 

Sécuriser les accès à privilèges : quel suivi réaliser ?

 

Une fois créés et attribués, pas question de laisser les comptes à privilèges de votre organisation vivre leur vie sans être certain de détenir une visibilité complète des usages qui en sont faits ! Les identifier précisément, suivre leur activité et être en mesure de réaliser un inventaire de vos accès à privilèges est fondamental pour sécuriser vos ressources et infrastructures. Voyons ensemble comment procéder.

 

Tous les comptes à privilèges de votre organisation sont-ils identifiés ?

 

L’identification de tous les accès à privilèges de votre SI est un corollaire de la mise en application du principe de moindre privilège. Outre la nécessité de répertorier les profils de comptes nécessitant la création d’accès à privilèges, il convient d’identifier de façon exhaustive tous les accès à privilèges existants, qu’ils soient nominatifs ou partagés, actifs ou a priori inutilisés, pour vous assurer qu’ils soient légitimes. Pour vous faciliter la tâche, veillez notamment à déclarer chaque accès à privilèges lors de leur création. Afin de gagner du temps et éviter de prendre le risque que ces derniers ne disparaissent de vos radars, n’hésitez pas à automatiser la tâche. Si vous avez recours à une solution de gestion des comptes à privilèges (Privileged Access Management ou PAM), vous pourrez ainsi plus facilement les y intégrer. Découvrez comment faire en cliquant ici.

 

Avez-vous dressé un inventaire exhaustif des utilisateurs dotés d’accès privilégiés ?

 

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) elle-même le préconise : pour réduire les risques de dérive liés aux accès à privilèges de votre organisation, la réalisation d’un inventaire complet de ces derniers est capital. Il s’agit ici de répertorier notamment les utilisateurs qui :

  • détiennent un compte administrateur ou des permissions plus élevées que celles octroyées par le biais d’un compte standard.
  • accèdent aux répertoires de travail des responsables et/ou de l’ensemble des collaborateurs.
  • utilisent un poste de travail non administré par le service informatique et qui par conséquent échappe aux mesures dictées par la politique de sécurité en vigueur au sein de l’entreprise.

Pour en savoir plus, n’hésitez pas à consulter le guide d’hygiène informatique de l’ANSSI en cliquant ici. Les recommandations synthétisées ici sont disponibles en page 12 de ce guide.

icône replay webinar

Replay webinar

Tirez le meilleur de votre solution PAM !
voir le replay

Êtes-vous en mesure de suivre l’activité associée à vos accès à privilèges ?

 

Pour vous assurer que chaque accès à privilèges est utilisé à bon escient, les monitorer est essentiel.
Ce travail de suivi vous permettra ainsi de :

  • Déceler et documenter rapidement tout changement lié à vos comptes à privilèges.
  • Révoquer en temps utile tout accès à privilèges qui ne serait plus utilisé (départ d’un collaborateur, changement d’organisation au sein de l’équipe, suppression d’applications, de services, etc.)
  • Suivre l’activité de tous les utilisateurs associés aux accès à privilèges répertoriés dans vos SI.

À noter : pour réaliser un suivi complet et qualitatif de l’activité de ces comptes, l’implémentation d’une solution de PAM peut s’avérer utile… Et vous permettra de gagner un temps considérable !

 

Approche Zéro Trust : quelles recommandations pour sécuriser vos accès à privilèges ?

 

Au-delà de la mise en application des principes et méthodologies évoquées plus haut, ​​l’avènement du télétravail, la multiplication des digital workplaces et les nouvelles habitudes de travail (BYOD/AVEC) nous invitent à tendre vers la construction de nouveaux modèles en matière de cybersécurité pour faire face à l’apparition de nouvelles menaces. Le modèle traditionnel de sécurité périmétrique qui jusqu’ici constituait la norme semble effectivement ne plus être suffisant pour maintenir un niveau de sécurité de vos actifs satisfaisant. Découvrons ici pourquoi et comment y remédier via l’adoption du modèle Zéro Trust.

 

Modèle Zéro Trust, contexte et définition

 

Inventée en 2010 par John Kindervag, l’appellation “Zéro Trust” a aujourd’hui donné naissance à un nouveau modèle stratégique de cybersécurité visant la protection de l’environnement numérique des organisations dans son ensemble.  Le principe est simple : toutes les personnes susceptibles d’accéder aux ressources de l’entreprise – qu’elles fassent ou non partie de son périmètre réseau –  ainsi que toutes les demandes d’accès qui y sont associées doivent faire l’objet d’une vigilance accrue.

La notion de confiance implicite jusqu’alors accordée aux collaborateurs et à toute personne dotée d’accès au système d’information (SI) de l’entreprise disparaît. Statut hiérarchique, niveau de responsabilité, nature des droits d’accès sur le SI octroyés : tout utilisateur, toute demande d’accès peut générer une menace potentielle, et ce, jusqu’à preuve du contraire. De fait, tout octroi d’accès à haut privilège implique la mise en place d’un workflow d’approbation. Par ailleurs, tout accès à privilèges délivré doit être révoqué dès la fin de la mission pour laquelle il a été requis.

 

La mise en place d’une politique de gestion des comptes à privilèges, une mesure phare

 

Pour maintenir un niveau de sécurité suffisant des actifs de votre organisation, il convient donc de s’affranchir du modèle traditionnel de cybersécurité reposant sur la défense de la forteresse que constitue l’organisation, pour étendre l’application de certaines mesures de sécurité aux utilisateurs et aux droits d’accès au sein même de l’organisation. Le périmètre à sécuriser est donc plus vaste, les environnements à couvrir complexes et hétérogènes. 

Aujourd’hui, de nombreuses solutions logicielles voient le jour pour répondre à la nécessité d’adopter une approche Zéro Trust et construire un modèle de défense le plus exhaustif possible applicable à l’ensemble des droits d’accès utilisateurs des organisations. La gestion des identités et des accès (Identity Access Management, IAM), la segmentation du réseau tout comme l’authentification à double facteur (MFA) en constituent les principaux piliers. Sans surprise, la mise en place d’une politique de gestion des comptes à privilèges (Privileged Access Management, PAM) est également considérée comme un élément constitutif et fondamental à l’adoption du modèle Zéro Trust.

 

Sécuriser ses accès à privilèges : comment se prémunir de tous les risques associés ?

 

Ainsi, la sécurisation des comptes et accès privilégiés de toute organisation nécessite le respect d’un certain nombre de principes, associé à une méthodologie rigoureuse. Les nouveaux usages à l’œuvre, la multiplication des environnements et leur diversité mettent en avant la nécessité de pousser la démarche. L’émergence du modèle Zéro Trust et les concepts qui en découlent placent la sécurisation des accès à privilèges au cœur des priorités à observer pour protéger les actifs des organisations, via la mise en place d’une politique de gestion dédiée. 

Pour autant, la gestion des comptes à privilèges via le recours à un outil Zéro Trust ou à une solution de Privileged Access Management est-il suffisant  ? Accordons-nous le bénéfice du doute : creusons ensemble le sujet et voyons comment la mise en place d’une gouvernance permet de renforcer la sécurité de vos comptes à privilèges !

 

Maîtrisez vos comptes à privilèges contact

Besoin d’un coup de pouce
pour sécuriser vos comptes à privilèges ?
parlons-en
icône contact accès à privilèges

Sur la même thématique