L'administration sans mot de passe fait référence à la capacité d'exécuter des fonctions administratives sur un endpoint sans avoir besoin d'identifiants privilégiés ou administrateur. C’est un concept simple qui a de grandes répercussions sur la sécurité d'une organisation.
Le risque des comptes admins
Les comptes administratifs ont souvent accès aux informations les plus précieuses de l'organisation (secrets commerciaux, etc.). Malheureusement, ils sont souvent attribués à des utilisateurs classiques afin qu'ils puissent ajouter une imprimante, exécuter un programme spécifique ou même modifier les paramètres du réseau. En effet, les droits admins sont souvent accordés en délivrant un compte admins secondaire pour l'hôte, ou pire, en faisant simplement de ses références actuelles un administrateur local. Le résultat de ces deux choix est une configuration à haut risque qui élargit considérablement la surface de menace des malware, ransomware et des comportements malveillants. La quantité croissante de comptes admins dotés de privilèges excessifs en fait une cible facile pour les acteurs malveillants, chacun de ces comptes admins devenant un vecteur d'attaque. Le dilemme est de savoir comment supprimer les références administratives des deux personnes afin de réduire les risques qu'un acteur malveillants cible ces comptes. La réponse est relativement simple : une administration sans mot de passe peut permettre aux utilisateurs d'exercer ces fonctions professionnelles sans exiger d’identifiants supplémentaires ni introduire de risques inutiles.
Les identifiants privilégiés étant impliqués dans 80 % des attaques (selon Forrester Research), l'élimination des mots de passe privilégiés dès que cela est possible réduit considérablement la surface de menace. Cette constatation est renforcée par le fait que 77 % des vulnérabilités critiques de Microsoft peuvent être atténuées par la suppression des droits admins. Une réduction similaire est également démontrable en appliquant le principe du moindre privilège sur les applications tierces.
Toute stratégie de sécurité des endpoints devrait donc envisager d'utiliser l'administration sans mot de passe comme couche de sécurité après l'antivirus afin d'atténuer les vecteurs d'attaque les plus répandus. Cette approche précède la mise en place de toute stratégie EDR, MDR, XDR ou même l'utilisation de technologies de proxy web et d'inspection de protocole dédiées. En supprimant simplement les droits admins et en appliquant un contrôle des applications basé sur la réputation, il est possible d'éliminer totalement ou du moins de condenser les menaces.
Les avantages de l'administration sans mot de passe
Étant donné qu'avec l'administration sans mot de passe il n'est pas nécessaire d'entrer des références admin pour exécuter les fonctions d'administration, il n'est pas nécessaire de donner à un utilisateur (qu'il soit administrateur ou autre) des références administratives pour exécuter ces tâches. Par conséquent, les identifiants peuvent être supprimés ou retirés de vos répertoires, éliminant ainsi un vecteur d'attaque important et sans impact sur l'expérience utilisateur. C'est là un avantage important de l'administration sans mot de passe : la combinaison du moindre privilège, des fonctions administratives, de l'accès à distance et de la gestion des mots de passe permet d'exercer des fonctions administratives sans avoir besoin de justificatifs supplémentaires. Cela inclut également l'élimination des références partagées lorsque la méthode d'exécution des tâches administratives élève les applications (et non les utilisateurs) en utilisant des techniques comme la tokenisation. Le résultat est qu'il n’existe pas de mots de passe administratifs qu'un acteur de la menace pourrait voler.
Pour information, lors d'un briefing stratégique, le RSSI d'un grand intégrateur a déclaré que son organisation avait réussi à réduire de 95 % le nombre d'appels au service support suite à des attaques par des logiciels malveillants, simplement en mettant en place une approche d'administration sans mot de passe. Cette possibilité de réduire massivement les risques grâce à l'administration sans mot de passe, tout en libérant le service d'assistance pour traiter d'autres projets ou problèmes, devrait justifier l'attention de tout CISO ou personnel de sécurité informatique.
Déployer une administration sans mot de passe
L'administration sans mot de passe ne nécessite que deux étapes préliminaires au sein de toute organisation :
- Identifier les tâches qui nécessitent des privilèges administratifs pour fonctionner
- Identifier les utilisateurs qui doivent les exécuter.
Ensuite, elle peut être appliquée sur la base des fonctionnalités disponibles dans de nombreux systèmes d'exploitation (bien qu'elles soient limitées) ou en déployant une solution de gestion des accès privilégiés pour l’environnement.
L'administration sans mot de passe peut se présenter sous différentes formes et prendre en charge les architectures zero trust, les périmètres définis par logiciel et les meilleures pratiques de contrôle des changements pour tout environnement. Voici les contrôles de sécurité :
- Zero Trust : Toutes les applications sont considérées comme interdites sauf si elles sont explicitement autorisées sur la base d'attributs et si les privilèges d'exécution sont strictement contrôlés. Une documentation détaillée est fournie pour toutes les activités privilégiées. Les privilèges d'application sont élevés, jamais l'utilisateur final, afin de garantir que les plans de contrôle et de données pour la confiance zéro restent complètement séparés.
- Périmètre défini par logiciel : Toutes les applications et tous les privilèges des utilisateurs sont contrôlés sur le endpoint pour une sécurité maximale. Le logiciel qui s'exécute sur le endpoint est renforcé dans le cadre de la stratégie de sécurité logicielle.
- Contrôle des changements : Toutes les exécutions et modifications d'applications, comme les mises à jour de logiciels, peuvent être contrôlées grâce à une intégration complète dans une solution ITSM afin de garantir qu'aucune activité inappropriée, aucun changement ou logiciel malveillant n'infecte le système.
- Services de réputation : Le contrôle des applications peut être effectué par des attributs, vérifié par rapport à des sources tierces et à l'origine de l'exécutable pour s'assurer qu'aucun logiciel malveillant n'est présent.
En considérant tous ces contrôles de sécurité, il est possible d’effectuer une administration sans mot de passe basée sur des règles et des politiques pour les tâches du système d’exploitation et les applications qui nécessitent des droits admin. La clé pour une mise en place efficace de cette stratégie commence par une approche « universal privileged management". Les professionnels de la gestion, des technologies et de la sécurité de l'information doivent convenir qu'un utilisateur ne doit pas avoir de droits administratifs locaux et que tous les utilisateurs doivent fonctionner avec des privilèges d'utilisateur standard. Ensuite, des politiques et des règles peuvent être mises en place pour les tâches appropriées en utilisant les meilleures pratiques pour la gestion des privilèges des endpoints.
Par William Culbert, directeur EMEA Sud chez BeyondTrust