Post-COVID, le PAM est la clé de voûte d’une nouvelle approche de la cybersécurité

Suite au confinement, l’intégration du télétravail dans les usages obligent les entreprises à repenser leur approche de la cybersécurité ; la gestion des comptes à privilèges (PAM) en est la clé de voute. Le poste de travail du collaborateur se trouve désormais de plus en plus souvent en dehors de l’entreprise. C’est d’ailleurs une nécessité pour assurer la continuité de l’activité en cas de crise, comme la pandémie que nous vivons encore actuellement. Le télétravail est en passe de devenir un standard pour les organisations. Ce nouveau paradigme implique des ouvertures de droits souvent dévolus à des « happy few » (administrateurs en astreinte sur l’infrastructure ou des applications, des prestataires de services, des VIP…). La multiplication des droits dévolus augmente la surface d’attaque en s’affranchissant des contraintes et des règles de sécurité périmétriques mises en place, le cocon de protection dans l’entreprise.

Les comptes à privilèges : la cible privilégiée des hackers

Dans le même temps, les attaques de phishing et d’ingénierie sociale se sont multipliées. Les cybercriminels ont saisi l’occasion de passer férocement à l’attaque. Ce phishing ou l’opération d’ingénierie sociale n’est le plus souvent que le premier pas d’une attaque plus large et aux effets dévastateurs. Toute la communauté de la sécurité informatique se souvient des récentes attaques APT ou de rançongiciels qui ont totalement arrêté l’activité de grandes entreprises. Le scénario est souvent le même. Grâce à cette première étape l’attaquant s’installe puis essaie de se déplacer latéralement dans l’environnement informatique de l’entreprise à la recherche de droits d’administrateur afin d’accroître progressivement ses droits sur l’ensemble du SI. Lorsqu’il a atteint son but, il délivre la véritable attaque en chiffrant, en exfiltrant ou en supprimant toutes les données sur les serveurs, les bases de données, les sauvegardes avec comme conséquence une lourde perte financière pour l’entreprise ciblée et une forte baisse de sa notoriété.

Quelle stratégie adopter ? Penser comme un attaquant…

Pour contrecarrer ses différentes initiatives, il s’agit donc d’abord de penser comme l’attaquant et de lui retirer les armes dont il peut se servir. Dans le contexte du télétravail, il convient donc de supprimer les droits administrateurs sur les postes de travail à l’extérieur de l’entreprise. Dans ce domaine, il ne faut pas confondre les droits métiers gérés depuis les outils de gestion des identités et des accès, des comptes à privilèges. Ces comptes disposant de droits élevés, sont présents à tout point du système d’information : les serveurs, les systèmes d’exploitation, les bases de données, les équipements de sécurité, les accès au Cloud… Il est important de noter que près de 80% des attaques exploitent ces comptes « privilégiés » ce qui demande une surveillance particulière et rigoureuse. Une solution de gestion de l’élévation des privilèges permet d’y répondre en définissant les applications et les profils d’utilisateurs autorisés à élever temporairement ses privilèges.

…et s’appuyer sur le modèle Zero Trust.

Une seconde tactique complémentaire s’appuie sur un des piliers d’un environnement « zéro trust » en couplant des solutions d’authentification multi-facteurs et un accès temporaire au SI. Il est par exemple possible d’avoir une authentification forte qui se double d’un QR code (ou d’un SMS, etc.) à visualiser pour obtenir l’accès. A la fin de la session, l’accès est supprimé et ne peut plus être réutilisé. Ce couplage entre authentification forte et solution d’autorisation en « just In Time  » sur les accès Internet permet de s’affranchir des lourdeurs d’accès via VPN ou de VDI (virtualisation du poste de travail). Elle permet de plus, d’élever le niveau de sécurité en disposant d’une vision instantanée des accès distants dans son SI.

Surveiller les comptes à privilèges en temps réel

Une troisième mesure peut se révéler très utile : la surveillance en temps réel de la gestion des comptes à privilèges du poste de travail jusqu’à la ressource au travers d’outils d’analyses des menaces. Ainsi, lorsqu’un vol d’identifiant est détecté ou pour tout autre comportement suspect, il devient possible d’intervenir immédiatement en interrompant la session ou en bloquant l’exécution d’un programme.

Dans les situations de crise qui demandent de déporter l’activité à l’extérieur de l’entreprise comme la généralisation du télétravail, le suivi et la gestion des comptes à privilèges restent souvent un des angles morts ou un oubli de l’importance des risques qu’ils génèrent. Ces solutions sont cependant les premières à répondre présent pour assurer de manière sécurisée l’activité de l’entreprise et assurer que les salariés puissent continuer leur travail dans de bonnes conditions. La période récente due au Covid-19 est là pour rappeler l’importance des solutions de gestion des comptes à privilèges et le rôle centrale qu’elles jouent dans la sécurité dans des environnements largement ouverts sur l’extérieur. Il est aussi possible dans ce type de solutions de modéliser des profils d’administrateurs et de leur accorder les droits selon leurs spécificités. Un DBA (administrateur de base de données) n’aura pas les mêmes autorisations que l’administrateur qui s’occupe d’une application bureautique ou d’un administrateur sur le stockage ou la sauvegarde des données.

Autres articles susceptibles de vous intéresser