Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Pourquoi les entreprises doivent imposer leurs procédures de sécurité à leurs prestataires ?

novembre 2018 par Julien Cassignol, Ingénieur Avant-Ventes, chez One Identity

Si passer par des prestataires pour la distribution, la gestion des ressources
humaines ou encore l’informatique est de plus en plus simple grâce à la
profusion de services connectés, cette pratique expose néanmoins les activités
des entreprises à de nouveaux risques de cyberattaques.

Les fournisseurs échappent trop souvent aux procédures qu’une entreprise met en
place pour assurer sa sécurité interne, généralement parce qu’ils revendiquent
avoir déjà leurs propres dispositifs de protection. Pourtant, la discipline que
s’imposent les fournisseurs ne répond pas aux mêmes enjeux que celle en vigueur
chez leur client. Et dans tous les cas, l’accès à des données sensibles devrait
être régi par des règles expressément écrites pour assurer leur intégrité.

Prenons l’exemple des cabinets de recrutement : l’année dernière, l’un
d’eux, TalentPen, a laissé fuiter 9400 fichiers contenant les adresses, numéros
de téléphone, e-mails et pièces d’identité de milliers de militaires et agents
secrets américains. Ce prestataire avait placé des copies des données en question
sur un espace de stockage public dans le Cloud d’Amazon. Ces copies ne devaient
rester en ligne que le temps d’être récupérées par l’entreprise de conseil
militaire qui avait contracté le dit service de recrutement. Hélas, TalentPen a
finalement oublié de les effacer. Si le commanditaire dispose lui-même d’une
procédure pour encadrer le déroulement d’une telle opération, il ne s’est en
revanche pas demandé si son prestataire allait en respecter une.

Le problème : ignorer qui chez le prestataire accède à quoi

Parmi les difficultés que pose l’application des procédures de sécurité
internes aux prestataires, il y a le fait que l’on ignore lesquels de leurs
salariés utiliseront les privilèges d’accès qu’on leur fournit. Dès lors, il
est impossible de savoir qui fait quoi sur les systèmes de l’entreprise cliente.
Or, si on fait le choix de ne pas prendre en compte l’identité de la personne qui
accède aux données sensibles, les pirates n’ont plus qu’à dérober des mots
de passe. De fait, les comptes à privilèges utilisés par les fournisseurs sont
aujourd’hui une cible privilégiée des malfaiteurs.

C’est ainsi que, fin 2017, des cybercriminels ont pu discrètement avoir accès à
environ 4 millions d’informations privées concernant les clients de Time Warner.
Là encore, la faute en incombait aux techniciens d’un prestataire, l’éditeur
Broadsoft, qui avaient stocké en clair sur le Cloud d’Amazon le mot de passe du
compte accordé par le commanditaire. Ils l’ont fait pour que leur logiciel ait
plus facilement accès à la base de données des clients de Time Warner. Mais, en
pratique, rien n’était prévu pour vérifier que personne d’autre
n’utiliserait ce canal.

Ignorer qui détient les bons privilèges engendre des failles multiples. Par
exemple, lorsque l’un des collaborateurs du prestataire vient à démissionner, il
est peu probable que ses clients en soient informés. Ils ne pourront donc pas
changer à temps les mots de passe qu’il utilisait pour éviter qu’il parte
avec.

Selon une étude récente de CSO Online, 63% des failles de sécurité d’une
entreprise seraient dues à ses prestataires.

Des procédures dédiées sont possibles pour éviter les risques

Le risque de cybersécurité posé par les fournisseurs peut néanmoins être
réduit grâce à la mise en place de procédures dédiées. Parmi celles-ci, la
plus importante est la gestion granulaire des accès, avec des restrictions au cas
par cas. Ces restrictions comprennent principalement un délai d’utilisation
limité ou l’identification des utilisateurs. Les règles d’accès doivent bien
évidemment tenir compte des réglementations et des standards en vigueur sur le
marché de l’entreprise cliente.

Concernant l’accès temporaire, une attention particulière doit être portée aux
comptes d’administration système puisque ceux-ci n’ont pas vocation à être
utilisés pour des opérations courantes. Les utilisateurs à qui l’on accorde de
tels comptes devraient ainsi toujours y accéder ponctuellement, juste le temps
d’effectuer leur travail.

Afin de pouvoir retracer les actions de chaque utilisateur, il est indispensable
d’utiliser des comptes nominatifs. Au-delà de leur efficacité technique, ils
présentent accessoirement l’avantage de mieux responsabiliser les personnes, ce
qui est susceptible de réduire le nombre d’incidents de sécurité dus aux
maladresses. Les comptes nominatifs sont idéalement monitorés depuis une console
centrale qui fournit tous les détails de l’activité des collaborateurs du
prestataire lorsqu’ils utilisent les accès que l’entreprise cliente leur a
accordés. Ces consoles sont mêmes capables de produire des alertes en temps réel
en cas d’activité dangereuse, voire empêchent l’exécution de commandes
indésirables, ce qui est bien plus efficace que l’analyse de logs à postériori.

Si des comptes partagés s’avèrent néanmoins nécessaires, il est possible de
pallier l’absence d’identification nominative par un gestionnaire de mots de
passe. Ceci permet à chaque utilisateur d’accéder à la ressource dont il a
besoin dans un cadre autorisé, sans pour autant connaître exactement le mot de
passe ni pouvoir s’en servir dans d’autres conditions. Les comptes nominatifs
comme ceux sécurisés par des gestionnaires de mots de passe peuvent être
surveillés par des outils de gestion de session. Ceux-ci reposent sur un moteur de
Machine Learning pour détecter automatiquement les utilisations frauduleuses des
privilèges accordés.

Précisons enfin que les prestataires tirent eux-mêmes les bénéfices de telles
procédures de sécurité. Les traces enregistrées peuvent alimenter leurs audits
de sécurité et servir de preuve pour démontrer la qualité de service qu’ils
facturent.


Voir les articles précédents

    

Voir les articles suivants