Dans un précédent article, je vous présentais pourquoi les comptes à hauts privilèges, véritables pierres angulaires de la sécurité du Système d’Information, doivent faire l’objet d’une attention toute particulière des entreprises. En effet, si le principe semble simple, la mise en application en est tout autre. Ce billet vous présente les principaux obstacles à lever pour réussir son projet de mise sous contrôle de ces comptes clés.
Maintenant que les risques sont identifiés et les bonnes pratiques énoncées, comment passer de la théorie à la pratique ? Je vous livre ci-dessous les principaux obstacles à lever pour réussir son projet de gestion des comptes à hauts privilèges.
Passer d’une problématique IT à une problématique business
Selon l’étude Dimensional Research, bien que 83% des décideurs aient conscience de la problématique, 20% des personnes auditées disent ne changer les mots de passe qu’en cas d’attaque avérée et 4% disent ne jamais changer les mots de passe. L’un des premiers challenges à relever est donc de sensibiliser aux risques auxquelles s’expose l’entreprise. Ainsi, on montre que les trois conséquences majeures d’une faille de sécurité sont :
- la perte de l’accès aux informations critiques
- la perte de confiance des clients ou l’atteinte à la réputation de l’enseigne,
- l’impossibilité de continuer l’activité à court terme
Dans un rapport, Kaspersky Lab précise que le coût direct moyen d’une attaque informatique est de 551k$ pour une entreprise et de 38k$ pour une PME, ce qui montre que la cybersécurité est aujourd’hui devenu un impératif dans la gouvernance de l’entreprise et qu’il existe des risques financier directs. De même, la mise en conformité avec les audits et la législation (et plus récemment la Règlement général sur la protection des données obligatoire en 2018) incite à impliquer les décideurs au plus tôt dans ces projets de transformation structurant. Et pour enfoncer encore plus le clou, l’histoire a montré que le manque de mesure de sécurité mène parfois jusqu’au licenciement, comme ce fut le cas pour le PDG de Target ou encore pour la vice-présidente de Sony Picture.
Savoir identifier l’urgent de l’important
Face à des organisations complexes et à un système d’information parfois très hétérogène, comment prioriser les comptes privilégiés à embarquer ? Pour répondre à cette question, il est d’abord important de savoir quelles sont les ressources indispensables au fonctionnement de l’entreprise. Il est aussi important de savoir cartographier les vulnérabilités existantes et les scenarios d’attaques potentiels. Cette étape préalable permet de réduire l’exposition des comptes critiques et d’adopter une approche progressive basée sur le risque. L’embarquement rapide de ces comptes permet également de gagner en réactivité en cas d’attaque avec une capacité d’action immédiate sur l’ensemble des comptes critiques.
Une fois les accès critiques sous contrôle et respectant la politique de sécurité, l’extension du modèle des moindres privilèges aux autres ressources de l’entreprise permet de limiter drastiquement les risques d’accès malveillants. Parmi les autres mesures à prendre en compte, la mise en place d’une authentification forte ainsi que de rupture protocolaire via la mise en place de serveur de rebond couplé à une bonne gestion des accès nominatifs et des workflows, permet de renforcer la sécurité.
Faire adhérer les utilisateurs
C’est un enjeu majeur : faire accepter le changement ! En effet, il existe sûrement des tas de bonne raisons pour lesquelles des administrateurs peuvent être retissent au changement de leur habitudes : comment porter la responsabilité opérationnelle d’un service sans en maitriser directement les comptes administrateurs ? Quelles garanties de disponibilité ? Quels recours en cas de problèmes ?
Face à ces interrogations, il est important d’impliquer les métiers et les administrateurs au plus tôt afin de prendre en compte les exigences et s’assurer de leur bonne prise en compte. Passées les interrogations initiales, les utilisateurs en tirent souvent un intérêt en se déchargeant de la gestion manuelle de rotation des mots de passe et en leur permettant de garder le contrôle sur les utilisateurs ayant le droit d’accéder aux équipements. Aussi, la traçabilité des accès et des activités permet d’identifier plus facilement l’origine d’un incident de production et d’améliorer son traitement. Ainsi, on constate parfois des réfractaires de la première heure devenir de véritables ambassadeurs auprès de leurs collègues !
Prévoir l’imprévisible
Une fois votre solution mise en place, comment la faire évoluer et lui permettre de faire face aux nouvelles menaces ? Au-delà des droits d’accès et des politiques de sécurité, comment garantir qu’un accès légitime n’est pas utilisé à mauvais escient ? Comment détecter de nouveaux comptes privilégiés et prendre des mesures rapides ? Un couplage avec des équipements de surveillance et d’analyse proactive permet de détecter des comportements suspects et prendre les dispositions nécessaires. Les comptes privilégiés étant au cœur de l’IT, il est primordial de pouvoir anticiper les attaques et alerter sur les activités suspectes.
Et maintenant ?
La question n’est plus de savoir si l’entreprise va être attaquée, mais quand cela va arriver. La plupart du temps, les plus petites structures comme des PME innovantes ne résistent pas à un vol de données critiques pour leur business. L’enjeu est aujourd’hui de mettre en place des systèmes de défense efficaces contre ces nouvelles formes de menaces toujours plus complexes. L’implication des cadres dirigeants est vitale pour faire intégrer les risques cybersécurité dans la stratégie de l’entreprise.
Cyril
Pour aller plus loin
Pour tout savoir sur les tendances 2016 de la cyberdéfense en 120 secondes
Orange Cyberdefense protège vos essentiels
Comptes à hauts privilèges : 6 raisons de s'en préoccuper
Normes et sécurité dans le cloud : la norme internationale ISO/IEC 27017 à l'intention des entreprises
Après une expérience de consulting en sécurité chez Atheos, j’évolue aujourd’hui au sein d’Orange Cyberdefense dans le développement de service de sécurité autour de l’identité, accès et protection des données. Passionné de cybersécurité, j’ai l’esprit disruptif et le goût du challenge.