Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Michel Vujicic, I-Tracing : Les comptes à privilèges, talon d’Achille de la sécurité des systèmes d’information ?

décembre 2012 par Michel Vujicic, Directeur Associé d’I-Tracing

La traçabilité des accès et des opérations des utilisateurs à privilèges au service de la détection des cyber-attaques et du combat contre les menaces internes.
Les attaques auxquelles nous assistons actuellement confirment l’importance de la gestion des identités des utilisateurs privilégiés. L’authentification des utilisateurs et la traçabilité des accès et des opérations réalisées demeurent, sans aucun doute, le point faible d’un système d’information de plus en plus ouvert au monde extérieur.

Conserver le contrôle du système d’information

Avec la pratique incontrôlée du BYOD (Bring your own device), l’externalisation des maintenances et l’infogérance ou la généralisation des pratiques de Cloud Computing - sujets très discutés et controversés lors des dernières Assises de la Sécurité - la gestion des identités se trouve au cœur du débat. Les programmes de sécurité informatique détectent et empêchent les violations de données. Pourtant, il ne se passe pas un jour sans que de grandes entreprises, appartenant à tous les secteurs de l’économie, soient victimes d’intrusions, de piratages ou de vols d’informations. Les données sensibles sont souvent consultées, voire dérobées, à l’insu de leur propriétaire !

Pour accéder aux données sensibles, il faut entrer. Les attaques et les fuites de données prouvent, s’il est besoin de le faire, que la gestion des identités et des accès reste une faiblesse importante du système d’information. Que la violation des données soit le fruit de l’attaque ciblée d’un cybercriminel ou résulte de l’‘erreur’ d’un utilisateur privilégié, l’impact est désastreux et peut prendre rapidement des proportions insoupçonnées.

La préoccupation majeure des Responsables de la Sécurité demeure bien évidemment le maintien de la capacité opérationnelle du système d’information. Ils doivent tout mettre en œuvre pour conserver un niveau de sécurité élevé. Mais, c’est une mission impossible si la surveillance des accès au système et aux ressources et plus particulièrement, des accès des comptes à privilèges, est négligée. Pour mieux communiquer entre collaborateurs, partenaires et clients, les applications se sont multipliées, renforçant la place du réseau au coeur de l’entreprise mais fragilisant son système d’information. Le contrôle des accès permet d’identifier qui est présent sur le réseau - c’est l’authentification - et connaître les ressources utilisées par chaque personne connectée.

Menaces externes ou menaces internes ?

Quelle que soit la source, il faut les combattre et veiller à ce que les données sensibles soient protégées. D’ailleurs, lorsqu’un pirate obtient l’accès à un compte utilisateur interne comment distinguer son comportement d’une activité légitime ?

La majorité des grands comptes sous-traitent la gestion de la totalité ou d’une partie de l’administration et de la supervision du système d’information. Déléguer des opérations techniques sur le système d’information, pôle stratégique de l’entreprise, à des intervenants externes comporte des risques. Interdire les opérations qui pourraient se révéler dangereuses et conserver la trace de toutes les interventions est indispensable. Par ailleurs, l’entreprise doit pouvoir prouver sa conformité aux normes et obligations réglementaires (ISO 27001, CNIL, Sarbanes-Oxley, PCI-DSS, conformité Bâle 2, « Paquet Télécom », …). La surveillance de l’intégrité des fichiers est un facteur-clé pour assurer la conformité aux normes de sécurité informatique des données.

Certaines menaces internes sont malveillantes, d’autres non. Dans le second cas, les systèmes et les données stratégiques sont involontairement exposés, par erreur ou par manque de discernement. Il s’agit d’un courrier électronique ou d’une application mal utilisée, d’un ordinateur portable ou d’un smartphone perdu ou volé... Les dangers qui en découlent restent toutefois une réelle préoccupation. Dictées par le gain, la rancoeur contre l’employeur ou toute autre motivation, les menaces internes malveillantes risquent d’engendrer d’importants dommages. On constate malheureuse¬ment que les infractions les plus graves sont souvent causées par des utilisateurs disposant de privilèges élevés. On constate aussi que les salariés bénéficient souvent de plus de privilèges qu’ils n’en ont besoin pour effectuer leur travail.

Les comptes à privilèges, sources d’insécurité

Nous devons prendre conscience que les comptes à privilèges, parce qu’ils sont anonymes et ont tous les droits, font courir de grands risques à l’entreprise ! Rien n’empêche un utilisateur mal intentionné de prendre le contrôle du système et d’accéder à l’ensemble des informations. Il peut même effacer ses traces, comme on le voit dans de nombreuses affaires de piratage.
Le « 2010 Data Breach Investigations Report » de Verizon Business, effectué en collaboration avec les services secrets américains, souligne que 48 % des violations de données sont internes ; ce qui représente - ce n’est pas négligeable - une augmentation de 26% par rapport à 2008 ! Dans la plupart des infractions, des privilèges importants avaient été accordés à des membres du personnel ! Une autre enquête, réalisée par B2B International en juillet 2012, révèle que 33% des entreprises accordent à leur personnel un accès sans restriction à leurs ressources à partir de leur smartphone !

Il est normal d’octroyer des pouvoirs à ceux qui en ont besoin. Mais, il est capital de conserver la maîtrise et le contrôle des opérations effectuées sur le système d’information. Prenons l’exemple des comptes administrateur. Ces comptes à privilèges sont utilisés pour exécuter des tâches d’administration comme modifier la configuration d’un équipement. Une mauvaise manipulation pourrait causer une interruption de service. L’entreprise serait alors sévèrement sanctionnée. La baisse de la qualité du service est dommageable à son image, à sa notoriété et se révèle souvent coûteuse.

Tracer et contrôler les interventions sur le S.I.

Si l’utilisation des comptes à privilèges est indispensable, quelles précautions prendre pour protéger les données sensibles ? Dans le cas où l’administration et la supervision du système d’information sont déléguées à une société externe, le périmètre d’intervention autorisé doit être défini. En aucun cas, le personnel du prestataire ne doit avoir accès à l’ensemble du système d’information, pas plus qu’il ne doit connaître les mots de passe des comptes à privilèges dont il dispose pour exécuter les tâches qui lui sont confiées. Des autorisations d’accès temporaire au système permettront aux sous-traitants de travailler. Toutefois, des dispositions particulières seront prises lorsque des tâches sont externalisées chez un fournisseur, installé dans un pays reconnu à risques en matière de protection des données personnelles (cf. la liste des pays à risques établie par la CNIL).

En cas d’incident, retracer ce qu’il s’est passé est essentiel ; en particulier, lorsque les intervenants sur un même serveur ou une même application critique sont nombreux. Qui a fait quoi ? Sur quel équipement ? A quel moment ? Des solutions, appelées solutions d’accès à rebond garantissent la sécurité et assurent le contrôle et la traçabilité des opérations. La conservation des traces des actions effectuées sur le système permet de savoir quelles opérations ont été exécutées par les utilisateurs à privilèges. L’activité étant enregistrée (en vidéo dans certains cas), des recherches post-mortem par mots-clés sont possibles. La traçabilité totale des opérations facilite le diagnostic des incidents critiques. La maîtrise de la gestion des partenaires et des salariés devient alors aisée. Et ce, dans le respect du cadre légal.

Quelle solution à rebond choisir ?

Le rebond est une machine dont l’accès est limité aux personnes, individuellement autorisées à le faire. Il a pour vocation de permettre comme point de passage obligé, les connexions aux équipements informatiques. Les solutions à rebond centralisent les accès des utilisateurs en un point unique afin de maîtriser, contrôler et auditer l’utilisation des comptes à pouvoir. Elles mettent en œuvre tout ou partie des fonctions de sécurité telles que l’authentification, la gestion des habilitations par périmètre et la traçabilité. Certaines incluent la protection des secrets en permettant à un administrateur de se connecter à un équipement sans en connaître le mot de passe. Il convient évidemment de choisir la solution à rebond qui s’adapte à l’environnement technique du système d’information, qui s’interface notamment avec les fonctions de sécurité existantes comme la gestion des identités, des profils, la PKI ou la détection d’incidents de sécurité et qui prend également en compte les contraintes opérationnelles des exploitants.

Il existe plusieurs types de solutions. Une solution en mode bastion dispose d’une double connexion pour contrôler la session finale par les opérations sur le rebond. Une solution en mode proxy fournit l’analyse « transparente » des flux réseau pour contrôler la session système cible. On peut adopter une solution avec agent de traçabilité ou un rebond packagé. Il est aussi possible de choisir un coffre-fort de mots de passe si besoin. Les mots de passe des comptes à pouvoirs sont des secrets critiques. Certaines solutions permettent de limiter la communication de ces secrets - l’utilisateur n’ayant pas besoin de connaître le mot de passe du système pour se connecter - voire intègrent la gestion du renouvellement de ces secrets sur les systèmes.

Enfin, la solution doit tenir compte des protocoles en vigueur au sein de l’entreprise. Les solutions supportent les principaux protocoles - y compris ceux qui utilisent des mécanismes de chiffrement comme RDP et SSH. Elles intègrent plus ou moins efficacement d’autres protocoles comme ICA, Vmware View, Telnet, VNC et http selon les technologies mises en œuvre dans l’entreprise.
Les transferts de fichiers et les clients lourds nécessitent une attention particulière.

Facile à mettre en place, une solution d’accès à rebond maintient la sécurité du Système d’Information à un niveau élevé. Les autorisations d’accès sont centralisées et les accès directs anonymes avec les comptes administrateur sur l’équipement-cible supprimés. La traçabilité des opérations permet de combattre les menaces internes et détecter plus rapidement les attaques qui malheureusement se multiplient.


Voir les articles précédents

    

Voir les articles suivants