Le paysage de la conformité pour les agences gouvernementales évolue constamment pour suivre le rythme des menaces émergentes pour les systèmes du secteur public et le déploiement de nouvelles technologies. Les cyberattaques augmentent non seulement en fréquence, mais deviennent également plus sophistiquées et ciblées. De plus, les environnements cloud, mobiles et DevOps sont les moteurs d'une surface d'attaque en expansion rapide et d'un périmètre de dissolution qui offre toujours plus d'opportunités aux acteurs de la menace à exploiter.
Dans un environnement de menaces en constante évolution, les agences gouvernementales et leurs tiers doivent se conformer à un large éventail d'initiatives et de contrôles de sécurité fédéraux, étatiques, locaux et industriels. Et aujourd'hui, la non-conformité peut non seulement entraîner des sanctions substantielles, mais également un risque accru de violation de la sécurité entraînant la perte de données, des temps d'arrêt et d'autres dommages. Par conséquent, les agences doivent rester vigilantes pour lutter contre les menaces, qu'elles soient internes ou externes, malveillantes ou involontaires, qui révèlent des faiblesses dans leurs défenses et politiques.
Privilèges mal utilisés et accès à distance non sécurisés sont des vecteurs d'attaque couramment exploités
Aujourd'hui, selon Forrester Research, les identifiants à privilèges utilisées de manière inappropriée ou abusive jouent un rôle dans plus de 80% des violations de la sécurité informatique. L'étude BeyondTrust 2019 sur les menaces liées aux accès privilégiés a révélé que les agences gouvernementales et les organismes du secteur public comptaient en moyenne 124 fournisseurs tiers se connectant à leurs systèmes et réseaux, au cours d'une semaine typique. Sans visibilité complète et contrôle granulaire de ces accès, y compris avec la possibilité d'appliquer le moindre privilège, ces accès des fournisseurs représente des voies d'accès risquées dans les environnements. La même étude a révélé que seulement 10% des agences gouvernementales et du secteur public pensaient que l'accès des fournisseurs tiers ne constituait pas une menace pour leur environnement. Donc, si nous pouvons donner une tournure positive à cela, c'est que la plupart des agences sont au moins conscientes qu'elles ont besoin de mieux sécuriser l'accès à distance.
Compte tenu de l'environnement actuel des menaces, les agences doivent disposer de solutions permettant de réduire la surface des menaces et le risque de violations de données. De plus, les responsables d'agence ont besoin de solutions capables de répondre aux initiatives de conformité avec des contrôles de sécurité, des analyses des menaces et des rapports.
Les stratégies IAM et les solutions PAM pour renforcer la sécurité
Les agences gouvernementales et les municipalités sont régulièrement exposées à des attaques qui pourraient facilement être bloquées, ou du moins atténuées, grâce à une stratégie de gestion des accès des identités (IAM) mature et à des solutions de gestion des accès privilégiés (PAM).
Prenons, par exemple, certaines des attaques de ransomware au cours des dernières années contre Atlanta (2018) et Baltimore (2019), ainsi que d'autres villes, municipalités et écoles, qui ont arrêté des systèmes informatiques qui soutenaient des services publics vitaux, causant des dégâts de plusieurs millions de dollars. Dans la plupart des cas, les attaquants ont utilisé des vecteurs de menace qui auraient pu être bloqués, ou du moins atténués, si les villes avaient mis en place une solution PAM globale. Par exemple, les experts en sécurité ont déterminé que le malware RobinHood utilisé pour attaquer les systèmes informatiques de Baltimore ne pouvait pas se propager d'une machine à l'autre sur un réseau à lui seul. Les attaquants auraient dû obtenir un accès privilégié qui les ferait apparaître comme des administrateurs légitimes, puis cibler des ordinateurs individuels.
Une solution PAM robuste peut empêcher les attaquants d'accéder aux identifiants des administrateurs légitimes. Elle peut également découvrir, intégrer et gérer en toute sécurité les identifiants à privilèges pour les comptes humains et de type système dans divers environnements informatiques. L'objectif est au moins double : empêcher les acteurs de la menace - internes ou externes - de prendre pied dans un environnement et limiter la capacité des acteurs de la menace à se déplacer latéralement à travers le réseau d'une agence une fois qu'ils ont pris pied.
Pour accomplir cette tâche, les agences doivent supprimer tous les privilèges administratifs locaux des utilisateurs non informatiques et éliminer l'accès root et super utilisateur lorsque cela est possible. Leurs solutions PAM devraient également renouveler régulièrement les identifiants, ce qui réduit la fenêtre de temps d'utilisation des identifiants, même en cas de vol. De plus, une solution PAM robuste doit avoir la capacité d'exécuter un ensemble de politiques pour déterminer quelles applications ont le droit de s'exécuter avec des droits élevés ou en tant qu'administrateur - idéalement, l'utilisateur n'est pas élevé.
Assurer la sécurité et une productivité maximale
Au fil des ans, les gens ont perçu qu'une forte sécurité de l'information équivaut à une baisse de la productivité. Par conséquent, de nombreuses organisations - publiques et privées - ont été laxistes sur certaines mesures de sécurité, telles que les privilèges de surprovision, permettant aux personnes un large accès aux systèmes pour des raisons de productivité. Si les agences disposent d'une solution PAM robuste, leurs employés, leurs systèmes et leurs réseaux seront plus sûrs, évitant ainsi les incidents de sécurité et les tickets de service d'assistance qui réduisent la productivité, tandis que leur personnel peut atteindre ses objectifs de mission plus rapidement et plus efficacement.
Par William Culbert, Directeur EMEA Sud de BeyondTrust