Par William Culbert, directeur Europe du Sud de Bomgar (BeyondTrust dès janvier 2019)
En tant que fournisseur de logiciels de cybersécurité, nous avons mené de nombreuses évaluations des risques pour des entreprises. Au fil des années, nous avons constaté de flagrants faux-pas concernant la sécurité, même dans des entreprises hautement réglementées. Toutefois, la plupart des erreurs de sécurité IT que nous constatons sont relativement courantes et prévisibles. Notre expérience nous a appris qu'il existe cinq erreurs fréquentes en termes de sécurité de l'information que commettent les entreprises.
1.Les identifiants communs
Configurer le même mot de passe sur tous les postes de travail et/ou comptes admin de serveurs est pratique pour les équipes IT, mais ça l'est tout autant pour les hackers et les initiés malveillants. Si une personne mal intentionnée compromet le mot de passe d'une machine, toutes les machines comportant le même mot de passe se trouvent soudain menacées.
2.L'accès persistant
Un trop grand nombre d'entreprises ont des comptes admin comportant les mêmes mots de passe privilégiés depuis longtemps pour gérer les machines. Le problème est que, si un intrus vole le mot de passe, il pourra l'utiliser pour maintenir l'accès aussi longtemps que l'identifiant demeurera inchangé, des semaines, des mois, voire des années.
3.Le périmètre poreux
Les outils de sécurité du périmètre comme les pares-feux et ceux de détection d'intrusion sont efficaces contre les menaces connues. Mais les attaques de phishing ciblées, les attaques zéro-day et autres menaces complexes de ce type peuvent aisément contourner les protections du périmètre et infiltrer le réseau. C'est là qu'intervient l'approche « l'identité est le nouveau périmètre ». Les entreprises sans une dernière ligne de défense pour bloquer les attaques qui pénètrent le périmètre deviennent souvent des victimes potentielles de compromissions de données.
4.Les mauvaises hypothèses
Voici une des hypothèses les plus dangereuses que soutiennent de nombreux groupes IT : croire que leur environnement ne peut pas être compromis ou ne l'a pas été. C'est un mauvais pari. Même les plus petites entreprises peuvent être victimes d'attaques automatisées capables d'analyse en quête de vulnérabilités. Le problème s'aggrave quand rien n'est fait pour rechercher proactivement les intrusions ou les systèmes compromis. Ni pour se préparer à faire face aux cyberattaques qui frapperont inévitablement. Toute entreprise doit adopter la mentalité suivante : « nous avons déjà été compromis ».
5.Les administrateurs locaux
Autoriser les utilisateurs à s'authentifier sur leurs propres machines en tant qu'administrateur est une pratique IT normale, bien que périlleuse. Envisagez ce qui pourrait se produire si quelqu'un tentait d'installer un malware sur l'un de vos systèmes. Si la tentative est faite sur une machine appartenant à un utilisateur normal dans le groupe local de l'administrateur alors ce malware peut faire ce qu'il veut sur ce système. Toutefois, si l'utilisateur final n'a pas d'accès avec niveau admin, alors le malware est limité au contexte non privilégié de l'utilisateur. Ce qui l'empêche de s'installer.
Selon l'édition 2017 du rapport Microsoft Vulnerabilities d'Avecto, 95% des vulnérabilités critiques des navigateurs Microsoft peuvent être atténuées en supprimant les droits administrateur.
La sécurité au cœur de l'approche des pare-feu
Alors, comment une entreprise peut-elle s'y prendre pour pallier ces cinq manquements relatifs aux privilèges ? Commencez par déployer une solution de défense interne comme une solution automatisée de gestion des accès privilégiés, Privileged Access management (PAM). Commencez ce processus par une étape de découverte. Vous ne pouvez pas protéger ce dont vous ignorez l'existence. Commencez donc pars identifier les comptes privilégiés dans votre entreprise.
Après avoir découvert ces comptes critiques, poursuivez en gérant leurs identifiants en rendant leurs mots de passe uniques et en les renforçant. Une fois qu'ils sont gérés, vous pouvez appliquer des workflows de Vault traditionnels pour y avoir accès. Ou vous pouvez mettre en œuvre des contrôles d'accès qui gèrent de façon programmatique les identifiants chaque fois que nécessaire. Ainsi, les utilisateurs finaux ne voient jamais les mots de passe.
Une fois que vous avez découvert, géré et contrôlé l'utilisation des identifiants privilégiés dans votre entreprise, vous pouvez poursuivre en déployant des contrôles des endpoints et l'analyse comportementale. Cela restreindra d'autant votre surface d'attaque et vous informera sur ce qui se passe sur votre réseau.
Cela prend du temps de déployer une solution PAM complète et c'est tout un processus. Toutefois, des actions à forte valeur ajoutée comme la découverte privilégiée, le stockage des mots de passe et la gestion des accès peuvent nettement renforcer votre posture de cybersécurité et plus globalement la posture de sécurité de votre entreprise.