Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Etude CA : Les pratiques non conformes liées à la gestion des utilisateurs à forts privilèges menacent la sécurité des organisations européennes

octobre 2009 par Marc Jacob

CA dévoile les résultats d’une étude européenne révélant des carences largement répandues dans les entreprises européennes quant à la gestion des utilisateurs privilégiés. Cette étude (intitulée « Gestion des droits d’utilisateurs privilégiés – Il est temps de reprendre le contrôle ») commandée par CA, a été conduite au mois de juin 2009, par le cabinet d’analystes Quocirca, dans 14 pays (Allemagne, Belgique, Danemark, Espagne, Finlande, France, Irlande, Israël, Italie, Norvège, Pays-Bas, Portugal, Royaume-Uni et Suède).

Les utilisateurs privilégiés sont responsables de la maintenance et de la disponibilité des systèmes d’information (administrateurs réseau/IT) ou peuvent avoir des habilitations d’administration des applications, de la sécurité ou des bases de données. Ils bénéficient généralement de droits d’accès bien supérieurs à ceux de la majorité des utilisateurs sur une infrastructure informatique donnée.

Il est révélateur de constater que 41 % des personnes interrogées conformes au standard ISO27001 reconnaissent toujours recourir à des pratiques inadaptées – telles que le partage de comptes privilégiés, voire l’utilisation des identifiants et mots de passe par défaut. Un taux restant encore très élevé (36 %) dans les entreprises dont la conformité au standard ISO27001 a été certifiée par un organisme d’audit externe.

Ces dernières années, de nombreux cas ont défrayé la chronique mettant en lumière les dangers d’une négligence des risques induits par les carences de contrôle des activités des utilisateurs privilégiés. Les administrateurs et/ou utilisateurs privilégiés bénéficiant de prérogatives excessives (ou partageant leur accès) peuvent en effet causer de dommages considérables– délibérés ou accidentels. De surcroit, on sait que les pirates ciblent en priorité ces comptes privilégiés pour accéder à des applications ou à des données exploitables commercialement – données de cartes de crédit, mécanismes complexes de fraude, vols de propriété intellectuelle, etc.

En dépit de ces menaces, cette étude révèle que le contrôle et la supervision des activités des utilisateurs privilégiés ne figurent pas dans les priorités des directions informatiques. Avec une note de 2,5/5 sur l’indice des menaces, cette problématique se classe en effet en 7ième position après les logiciels malveillants (2,9), Internet (2,7), les utilisateurs internes (2,7) et les outils Web 2.0 (2,6). Il semble également que les entreprises ont un excès de confiance dans leur capacité à maîtriser les activités des utilisateurs privilégiés et à faire face à un audit de conformité – leurs craintes majeures se portant sur les pertes de données et sur la compromission éventuelle de la propriété intellectuelle.

Selon cette étude, 24 % des entreprises exercent une forme de contrôle manuel pour superviser les actions et contrôler les accès des utilisateurs privilégiés. Néanmoins, le recours à des processus manuels est considéré comme long, coûteux, peu fiable et propice aux erreurs. En dépit de l’existence de systèmes plus sophistiqués – ayant là un cas d’utilisation particulièrement clair – seulement 26 % des entreprises interrogées semblent avoir déployé un système intégral de gestion des utilisateurs privilégiés. Il semble cependant que cette problématique soit largement reconnue puisque 48 % des sondés déclarent avoir des projets dans ce domaine – bien que souvent reportés… La raison majeure de ces retards tient aux restrictions budgétaires (3,3/5 sur l’échelle des freins potentiels) ; néanmoins, une contradiction apparait ici puisque dans le même temps, 85 % des personnes interrogées déclarent que la part des budgets de sécurité reste stable ou en progression par rapport au budget informatique total. Au final, il semble bien que la raison majeure des retards dans ce domaine soit liée à une sous-évaluation des risques potentiels induits par les activités des utilisateurs privilégiés.

Différences entre pays

Cette étude révèle également d’intéressantes disparités entre pays : le partage des comptes d’administration est extrêmement répandu en France (60 %), en Belgique (60 %) et aux Pays-Bas (53 %) ; paradoxalement, les français sont les plus confiants dans leur capacité à contrôler et superviser les comptes privilégiés (avec une notation de 4,26 sur une échelle de 1 à 5). La partage des comptes d’administration est en revanche beaucoup moins répandu en Espagne (7 %), en Israël (7 %) et en Allemagne (10 %). 63 % des entreprises françaises interrogées s’appuient sur un suivi manuel des activités des utilisateurs privilégiés – contre 50 % en Belgique et 47 % au Danemark.

Principales tendances pour la France :

 La France est, dans cette étude européenne, le pays qui a le plus implémenté la norme ISO 27001 avec un résultat de 77.2% (54.3% d’implémentations et 22.9% d’implémentations certifiées)

 La France est également le pays qui utilise le plus de moyens pour superviser les profils privilégiés, que ce soit le partage des comptes d’administration (60%), le contrôle manuel (62.9%) ainsi que les outils de contrôle (62.9%), ce qui la place en tête du classement de cette étude européenne.

Disparités sectorielles

L’analyse des résultats sectoriels révèle également d’intéressantes disparités : 43 % organisations du secteur public et des entreprises du secteur des télécommunications et médias reconnaissent utiliser des comptes d’administration système partagés ; une proportion chutant à 29 % dans le secteur industriel. Paradoxalement, le secteur des télécommunications et des médias semble la plus confiante (3,7 sur une échelle de 1 à 5) dans sa capacité à maîtriser les activités des utilisateurs privilégiés (contre 3,5 pour les administrations publiques). Néanmoins, le secteur télécommunications et médias semble en avance quant au déploiement d’outils de gestion des utilisateurs privilégiés (37 % contre seulement 18 % dans l’industrie). En synthèse, la diffusion des solutions d’administration des comptes privilégiés atteint 34 % dans le secteur des télécommunication et médias, 25 % dans les administrations, 22 % dans la finance et 13 % dans l’industrie.

« Cette étude démontre clairement que les entreprises négligent encore un aspect critique de leur sécurité : les droits d’accès à forts privilèges – qu’elles s’accordent elles-mêmes ou attribuent à des collaborateurs, résume Tim Dunn, Vice-président, Security Business EMEA de CA. Ces comptes indispensables font généralement l’objet de procédures de gestion définies au cas par cas – allant parfois à l’encontre des exigences des organismes de régulation en sous-estimant leurs exigences de contrôle des privilèges. Il est pourtant de l’intérêt bien compris – tant du département informatique et de ses responsables que des entités métier – que de pouvoir contrôler et superviser ces activités à haut-risque. Le déploiement d’outils dédiés à cette problématique permet de gagner en maturité au fil du temps et de maximiser la conformité dans un domaine particulièrement critique pour réduire les risques et préserver l’intégrité des applications stratégiques. »

Bob Tarzey, Analyste et Directeur de Quocirca Ltd. ajoute : « Cette étude révèle clairement qu’en dépit de l’intérêt que manifestent tous les intervenants – Direction informatique, équipes, divisions métier etc. – le contrôle des utilisateurs privilégiés n’est pas une priorité. Pourtant, les processus manuels sont généralement inefficaces et ne permettent pas de constituer la piste d’audit qu’exigent les organismes de régulation. Le seul moyen de parvenir à une gestion conforme exige d’automatiser la gestion des comptes privilégiés et l’affectation des habilitations et d’avoir une vision à 360° de leurs activités. »


Méthodologie

L’étude intitulée « Gestion des droits d’accès d’utilisateurs privilégiés – Il est temps de reprendre le contrôle » a été conduite par Quocirca, un cabinet d’études et d’analyses spécialisé dans les technologies de l’information et de la communication. 270 interviews ont été menées en juin 2009 auprès de Directeurs informatiques, Responsables senior de la sécurité et d’autres décideurs au sein de quatre secteurs : 1) Télécommunications et médias, 2) Industrie, 3) Services financiers, 4) Administration publique.

CA annonce également aujourd’hui le lancement de nouvelles versions de ses produits de sécurité et de conformité : notamment CA Access Control 12.5 intégrant toutes les technologies requises pour une gestion avancée des utilisateurs privilégiés et des mots de passe. Pour en savoir plus, sur ces nouvelles annonces veuillez consulter : http://www.ca.com/us/press-releases.aspx. Pour télécharger une copie des résultats de cette enquête, veuillez consulter le site suivant : www.ca.com/gb/mediaresourcecentre.

* En matière d’administration des systèmes d’information, le standard ISO27000 prévoit que « l’allocation et l’utilisation des privilèges doivent être restreintes et contrôlées. »


Voir les articles précédents

    

Voir les articles suivants