On Oz
Comptes à privilèges : l’incroyable oubli !
06/10/2019

Comptes à privilèges : l’incroyable oubli !

On pourrait imaginer que les comptes utilisateurs qui donnent accès aux systèmes les plus sensibles de l’entreprise sont les mieux protégés. Hélas, c’est loin d’être toujours le cas. Beaucoup d’entreprises n’accordent pas plus d’attention à ces comptes dits « à privilèges » qu’aux autres.

Pourtant, les pirates, eux, ne s’y trompent pas : en 2018, 74 % des attaques réussies auraient nécessité de passer par un tel compte privilégié.

Comptes à privilèges, cibles privilégiées ? « Ces comptes sont en effet des cibles très privilégiées pour les attaquants, car elles donnent accès aux informations et aux systèmes critiques de l’entreprise », confirme Hicham Bouali, Architecte IAM Solutions chez One Identity.

 

Et pourtant, trop souvent, ces comptes ne bénéficient d’aucune protection spécifique. « On retombe souvent sur un problème de mauvaise configuration des équipements, qui est alors exploité par les pirates pour détourner un compte attractif », explique Grégory Cardiet, directeur de l’ingénierie sécurité chez Vectra AI.

 

Dans l’idéal, pourtant, les réseaux d’administration devraient être distincts des réseaux d’usage, afin de séparer le trafic des administrateurs de celui des utilisateurs. Dans les faits, hélas, c’est loin d’être toujours le cas, que ce soit par manque de vigilance de la part des intégrateurs réseau ou par simple volonté de simplification.

 

Sans compter qu’il est compliqué de gérer précisément ces comptes : « L’une des principales difficultés est de connaître exactement les autorisations allouées à de tels comptes et comment ils sont utilisés, ainsi que de gérer leur cycle de vie (leur création et leur suppression). Ce manque de visibilité rend d’ailleurs complexes les analyses de risque », poursuit Hicham Bouali.

 

Mais même une bonne gestion du cycle de vie de ces comptes peut ne pas suffire ! « Même pour les organisations qui parviennent à gérer correctement le cycle de vie de ces comptes sensibles, il est difficile de surveiller exactement ce qui est fait avec, notamment si l’administrateur utilise ses privilèges pour accéder à des données à caractère personnel ou financier sur des supports classiques » met en garde Julien Chamonal, Directeur des ventes chez Varonis.

 

La bonne pratique est de forcer toutes les connexions d’administrateurs à travers un bastion, afin de pouvoir mieux en contrôler l’accès et en protéger le trafic. Dans l’idéal, le bastion devrait également être en mesure de journaliser les actions des administrateurs, afin d’avoir une vision exhaustive de l’usage des systèmes les plus sensibles, ce qui s’avère évidemment utile en temps réel (si tant est que l’entreprise dispose de la capacité à en assurer la supervision), mais aussi a posteriori afin de comprendre une intrusion. Bref : au-delà de la seule protection des comptes à privilèges, c’est en définitive tout un chantier de bonnes pratiques qu’il convient de mettre en place. Ceci explique peut-être cela…

Nos autres billets d'humeur...
09/10/2019

Cybersécurité : l’heure de la concorde public-privé ?

La cybersécurité a pour particularité qu’elle ne fait pas grande distinction entre les besoins de protection des entreprises et ceux des intérêts vitaux de la Nation. Les uns on...

06/10/2019

Zero Trust : penser la sécurité autrement

Imaginé par Google, le modèle de sécurité Zero Trust prend le contre-pied des habitudes courantes : le réseau « privé » n’existe plus, et tout est accessible de partout. De quoi...

06/10/2019

Orchestration et automatisation : deux piliers de la gestion des incidents au service du SOC

Face à l’augmentation du nombre d’incidents à traiter et à la difficulté à recruter des profils experts en nombre suffisant, les SOC doivent se tourner vers d’autres stratégies...

06/10/2019

Office 365 : nouvelle cible préférée des pirates ?

De tout temps, les criminels ont suivi les évolutions de leurs victimes. Aujourd’hui, alors que les entreprises migrent massivement vers le Cloud public en général et vers l’off...

06/10/2019

L’espionnage : un risque à prendre à compte pour les entreprises

Alors que les attaques par rançongiciel ou les escroqueries purement financières font la Une de l’actualité, le risque d’espionnage, par nature moins visible, a parfois du mal à...

06/10/2019

Le DevSecOps : l’alliance indispensable de la sécurité, du code et de l’infrastructure

Si jadis les trois ne se parlaient pas vraiment, il est désormais indispensable d’associer la sécurité aux développeurs et aux exploitants de l’infrastructure pour assurer une m...

06/10/2019

Attaques ciblées : quand les cybercriminels se professionnalisent

La montée en gamme des attaquants se traduit par des attaques plus ciblées, plus discrètes, motivées par un gain financier et conduites par des attaquants de très bon niveau.

06/10/2019

Cyber Kill Chain : comprendre l’attaquant pour mieux le bloquer

L’attaquant doit mener toute une série d’actions pour conduire son opération. Un équipementier de défense américain, Lockheed Martin, a modélisé cette séquence afin de mieux com...